Ransomware là mối đe dọa an ninh mạng nghiêm trọng nhất mà các tổ chức phải đối mặt hiện nay. Nhưng gần đây, các nhà lãnh đạo của Cơ quan An ninh Quốc gia và FBI đều chỉ ra rằng các cuộc tấn công đã giảm trong nửa đầu năm 2022. Sự kết hợp giữa các biện pháp trừng phạt đối với Nga, nơi khởi nguồn của nhiều băng nhóm tội phạm mạng và việc làm sụp đổ thị trường tiền điện tử có thể đã gây ảnh hưởng, khiến các băng nhóm ransomware khó trích tiền và nhận được khoản thanh toán của chúng.
Nhưng chúng ta vẫn chưa ra khỏi rừng. Mặc dù tạm thời sụt giảm nhưng ransomware không chỉ phát triển mạnh mà còn phát triển. Ngày nay, ransomware-as-a-service (RaaS) đã phát triển từ một mô hình tự động, được thương mại hóa dựa trên các bộ công cụ khai thác được đóng gói sẵn thành một hoạt động kinh doanh phức tạp, có mục tiêu cao và do con người điều hành. Đó là lý do khiến các doanh nghiệp thuộc mọi quy mô đều phải quan tâm.
Trở thành RaaS
Mọi người đều biết rằng tội phạm mạng ngày nay được trang bị tốt, có động cơ cao và rất hiệu quả. Họ không làm được điều đó một cách tình cờ và họ không thể duy trì được hiệu quả nếu không liên tục phát triển công nghệ và phương pháp của họ. Động lực thu được lợi nhuận tài chính khổng lồ là hằng số duy nhất.
Các cuộc tấn công ransomware ban đầu là các cuộc tấn công đơn giản, dựa trên công nghệ. Các cuộc tấn công đã tăng cường tập trung vào khả năng sao lưu và khôi phục, khiến kẻ thù cũng tìm kiếm các bản sao lưu trực tuyến và mã hóa chúng trong một cuộc tấn công. Thành công của kẻ tấn công dẫn đến số tiền chuộc lớn hơn và yêu cầu tiền chuộc lớn hơn khiến nạn nhân ít có khả năng trả tiền hơn và có nhiều khả năng cơ quan thực thi pháp luật sẽ vào cuộc hơn. Các nhóm ransomware đáp trả bằng cách tống tiền. Họ chuyển sang không chỉ mã hóa dữ liệu mà còn lấy cắp và đe dọa công khai dữ liệu thường nhạy cảm của khách hàng hoặc đối tác của nạn nhân, gây ra nguy cơ tổn hại thương hiệu và danh tiếng phức tạp hơn. Ngày nay, không có gì lạ khi những kẻ tấn công ransomware tìm kiếm chính sách bảo hiểm mạng của nạn nhân để giúp đặt ra yêu cầu về tiền chuộc và làm cho toàn bộ quá trình (bao gồm cả thanh toán) hiệu quả nhất có thể.
Chúng tôi cũng đã thấy các cuộc tấn công ransomware ít kỷ luật hơn (nhưng gây thiệt hại không kém). Ví dụ: việc chọn trả tiền chuộc lần lượt cũng xác định nạn nhân là đối tượng đáng tin cậy cho một cuộc tấn công trong tương lai, làm tăng khả năng nạn nhân sẽ bị tấn công lần nữa bởi cùng một nhóm ransomware khác. Nghiên cứu ước tính giữa 50% đến 80% (PDF) của các tổ chức trả tiền chuộc lại bị tấn công.
Khi các cuộc tấn công ransomware ngày càng phát triển thì các công nghệ bảo mật cũng phát triển, đặc biệt là trong các lĩnh vực xác định và ngăn chặn mối đe dọa. Các công nghệ chống lừa đảo, lọc thư rác, chống vi-rút và phát hiện phần mềm độc hại đều đã được tinh chỉnh để giải quyết các mối đe dọa hiện đại nhằm giảm thiểu mối đe dọa xâm phạm thông qua email, trang web độc hại hoặc các vectơ tấn công phổ biến khác.
Trò chơi “mèo vờn chuột” nổi tiếng này giữa đối thủ và nhà cung cấp dịch vụ bảo mật nhằm cung cấp khả năng phòng thủ tốt hơn và các phương pháp tiếp cận phức tạp để ngăn chặn các cuộc tấn công bằng ransomware đã dẫn đến sự hợp tác nhiều hơn trong các vòng tội phạm mạng toàn cầu. Giống như các chuyên gia phá két và báo động được sử dụng trong các vụ cướp truyền thống, các chuyên gia phát triển phần mềm độc hại, truy cập và khai thác mạng đang thúc đẩy các cuộc tấn công và tấn công ngày nay. đã tạo điều kiện cho sự phát triển tiếp theo của ransomware.
Mô hình RaaS ngày nay
RaaS đã phát triển để trở thành một hoạt động tinh vi, do con người lãnh đạo với mô hình kinh doanh chia sẻ lợi nhuận phức tạp. Người vận hành RaaS trước đây có thể làm việc độc lập giờ đây ký hợp đồng với các chuyên gia để tăng cơ hội thành công.
Người điều hành RaaS – người duy trì các công cụ ransomware cụ thể, liên lạc với nạn nhân và đảm bảo các khoản thanh toán – giờ đây sẽ thường làm việc cùng với một hacker cấp cao, người sẽ tự thực hiện hành vi xâm nhập. Việc có kẻ tấn công tương tác bên trong môi trường mục tiêu sẽ cho phép ra quyết định trực tiếp trong cuộc tấn công. Làm việc cùng nhau, họ xác định các điểm yếu cụ thể trong mạng, nâng cao đặc quyền và mã hóa dữ liệu nhạy cảm nhất để đảm bảo các khoản thanh toán. Ngoài ra, chúng còn tiến hành trinh sát để tìm và xóa các bản sao lưu trực tuyến cũng như vô hiệu hóa công cụ bảo mật. Tin tặc đã ký hợp đồng thường sẽ làm việc cùng với một nhà môi giới truy cập, người chịu trách nhiệm cung cấp quyền truy cập vào mạng thông qua thông tin xác thực bị đánh cắp hoặc cơ chế lưu trữ đã có sẵn.
Các cuộc tấn công do sự hợp tác chuyên môn này mang lại cảm giác và vẻ ngoài của các cuộc tấn công kiểu đe dọa liên tục, tiên tiến, “lỗi thời” do nhà nước bảo trợ, nhưng phổ biến hơn nhiều.
Làm thế nào các tổ chức có thể tự bảo vệ mình
Mô hình RaaS mới do con người vận hành phức tạp hơn, có mục tiêu rõ ràng hơn và có tính hủy diệt cao hơn nhiều so với các mô hình RaaS trước đây, nhưng vẫn có những phương pháp thực hành tốt nhất mà các tổ chức có thể làm theo để tự bảo vệ mình.
Các tổ chức phải có kỷ luật về vệ sinh an ninh của họ. CNTT luôn thay đổi và bất cứ khi nào điểm cuối mới được thêm vào hoặc hệ thống được cập nhật, nó đều có khả năng gây ra lỗ hổng hoặc rủi ro mới. Các nhóm bảo mật phải tiếp tục tập trung vào các biện pháp bảo mật tốt nhất: vá lỗi, sử dụng xác thực đa yếu tố, thực thi thông tin xác thực mạnh, quét Dark Web để tìm thông tin xác thực bị xâm phạm, đào tạo nhân viên về cách phát hiện các nỗ lực lừa đảo, v.v. Những cái này thực tiễn tốt nhất giúp giảm bề mặt tấn công và giảm thiểu rủi ro mà nhà môi giới truy cập có thể khai thác lỗ hổng để giành quyền truy cập. Ngoài ra, tổ chức càng đảm bảo vệ sinh an ninh chặt chẽ thì các nhà phân tích sẽ càng ít “ồn ào” để sắp xếp trong trung tâm điều hành an ninh (SOC), cho phép họ tập trung vào mối đe dọa thực sự khi xác định được mối đe dọa đó.
Ngoài các biện pháp bảo mật tốt nhất, các tổ chức còn phải đảm bảo họ có khả năng phát hiện và ứng phó mối đe dọa nâng cao. Bởi vì các nhà môi giới truy cập dành thời gian thực hiện trinh sát cơ sở hạ tầng của tổ chức nên các nhà phân tích bảo mật có cơ hội phát hiện ra chúng và ngăn chặn cuộc tấn công ở giai đoạn đầu — nhưng chỉ khi họ có công cụ phù hợp. Các tổ chức nên xem xét các giải pháp phát hiện và phản hồi mở rộng có thể phát hiện và liên kết dữ liệu đo từ xa từ các sự kiện bảo mật trên các điểm cuối, mạng, máy chủ, email, hệ thống đám mây và ứng dụng của họ. Họ cũng cần khả năng phản hồi bất cứ nơi nào cuộc tấn công được xác định để ngăn chặn nó nhanh chóng. Các doanh nghiệp lớn có thể tích hợp những khả năng này vào SOC của họ, trong khi các tổ chức cỡ vừa có thể muốn xem xét mô hình phát hiện và ứng phó được quản lý để giám sát và ứng phó với mối đe dọa 24/7.
Bất chấp sự suy giảm gần đây của các cuộc tấn công ransomware, các chuyên gia bảo mật không nên mong đợi mối đe dọa này sẽ sớm biến mất. RaaS sẽ tiếp tục phát triển, với những điều chỉnh mới nhất được thay thế bằng các phương pháp tiếp cận mới nhằm đáp ứng những đổi mới về an ninh mạng. Nhưng với việc tập trung vào các phương pháp bảo mật tốt nhất kết hợp với các công nghệ ngăn chặn, phát hiện và ứng phó mối đe dọa chính, các tổ chức sẽ trở nên kiên cường hơn trước các cuộc tấn công.
