Tấn công mạng là một nỗ lực có chủ ý và ác ý nhằm đạt được quyền truy cập trái phép vào hệ thống máy tính hoặc mạng thông qua các lỗ hổng bảo mật hiện có. Điều này có thể được thực hiện để đánh cắp thông tin bí mật và làm gián đoạn hoạt động bình thường.
Gần đây, ransomware đã trở thành một công cụ phổ biến để tấn công mạng đối với tội phạm mạng. Ransomware thường được phân phối thông qua email lừa đảo, tải xuống theo từng ổ đĩa, phần mềm vi phạm bản quyền và giao thức máy tính từ xa, cùng nhiều thứ khác.
Khi máy tính bị nhiễm ransomware, ransomware sẽ mã hóa các tệp quan trọng trên máy tính. Sau đó, tin tặc yêu cầu một khoản tiền chuộc để khôi phục dữ liệu được mã hóa.
Các cuộc tấn công mạng có thể đe dọa an ninh quốc gia của một quốc gia, làm tê liệt hoạt động trong các lĩnh vực quan trọng của nền kinh tế và gây ra thiệt hại lớn cũng như tổn thất tài chính nghiêm trọng. Đây là những gì đã xảy ra với cuộc tấn công mạng ransomware WannaCry.
Vào ngày 12 tháng 5 năm 2017, ransomware WannaCry, được cho là có nguồn gốc từ Triều Tiên, đã lan rộng trên toàn thế giới và lây nhiễm hơn 200.000 hệ thống máy tính tại hơn 150 quốc gia trong vòng chưa đầy hai ngày. WannaCry nhắm mục tiêu vào các hệ thống máy tính có hệ điều hành Windows. Nó khai thác lỗ hổng trong giao thức chặn tin nhắn của máy chủ hệ điều hành.
Một trong những nạn nhân lớn nhất của vụ tấn công là Cơ quan Y tế Quốc gia Anh (NHS). Hơn 70.000 thiết bị của họ đã bị nhiễm virus, bao gồm máy tính, rạp hát, thiết bị chẩn đoán và máy quét MRI. Các bác sĩ không thể truy cập vào hệ thống của họ hoặc hồ sơ bệnh nhân cần thiết để phục vụ bệnh nhân. Cuộc tấn công khiến NHS thiệt hại gần 100 triệu USD.
Nó có thể tệ đến thế. Tuy nhiên, mọi thứ có thể trở nên tồi tệ hơn nhiều, đặc biệt là với phần mềm ransomware mới và nguy hiểm hơn như BlackCat, để lại rất nhiều nạn nhân sau lưng nó.
Phần mềm tống tiền BlackCat
Phần mềm ransomware BlackCat, được các nhà phát triển gọi là ALPHV, là phần mềm độc hại sau khi lây nhiễm vào hệ thống, nó sẽ lọc và mã hóa dữ liệu trên hệ thống bị ảnh hưởng. Lọc bao gồm việc sao chép và truyền dữ liệu được lưu trữ trong hệ thống. Sau khi BlackCat lọc và mã hóa dữ liệu quan trọng, một khoản tiền chuộc bằng tiền điện tử sẽ được yêu cầu. Nạn nhân của BlackCat phải trả số tiền chuộc được yêu cầu để lấy lại quyền truy cập vào dữ liệu của họ.
BlackCat không phải là ransomware thông thường. BlackCat là ransomware thành công đầu tiên được viết bằng Rust, không giống như các ransomware khác thường được viết bằng C, C++, C#, Java hoặc Python. Ngoài ra, BlackCat cũng là dòng ransomware đầu tiên có một trang web sạch, nơi chúng tiết lộ thông tin bị đánh cắp từ các cuộc tấn công của chúng.
Một điểm khác biệt chính so với các ransomware khác là BlackCat chạy dưới dạng ransomware dưới dạng dịch vụ (RaaS). Raas là một mô hình kinh doanh tội phạm mạng trong đó các nhà phát triển ransomware thuê hoặc bán ransomware của họ dưới dạng dịch vụ cho các cá nhân hoặc nhóm khác.
Trong mô hình này, các nhà phát triển ransomware cung cấp tất cả các công cụ và cơ sở hạ tầng cần thiết để người khác phân phối và khởi động các cuộc tấn công ransomware. Điều này nhằm đổi lấy một phần lợi nhuận mà họ thu được từ các khoản thanh toán bằng ransomware.
Điều này giải thích tại sao BlackCat chủ yếu nhắm vào các tổ chức và công ty vì họ thường sẵn sàng trả tiền chuộc hơn các cá nhân. Các tổ chức, công ty cũng phải trả số tiền chuộc lớn hơn so với cá nhân. Hướng dẫn mọi người và đưa ra quyết định trong các cuộc tấn công mạng được gọi là Tác nhân đe dọa mạng (CTA).
Để buộc nạn nhân trả tiền chuộc, BlackCat sử dụng “kỹ thuật tống tiền ba lần”. Điều này liên quan đến việc sao chép và truyền dữ liệu của nạn nhân cũng như mã hóa dữ liệu trong hệ thống của họ. Nạn nhân sau đó được yêu cầu trả tiền chuộc để truy cập dữ liệu được mã hóa. Nếu không làm như vậy, dữ liệu của họ sẽ bị rò rỉ ra công chúng và/hoặc các cuộc tấn công từ chối dịch vụ (DOS) được tung ra trên hệ thống của họ.
Cuối cùng, nó liên hệ với những người bị ảnh hưởng bởi vụ vi phạm dữ liệu và thông báo cho họ rằng dữ liệu của họ sẽ bị tiết lộ. Đây thường là khách hàng, nhân viên và các đối tác khác của công ty. Điều này nhằm gây áp lực buộc các tổ chức nạn nhân phải trả tiền chuộc để tránh thiệt hại về danh tiếng và các vụ kiện tụng do rò rỉ dữ liệu.
Cách thức hoạt động của ransomware BlackCat
Theo cảnh báo chớp nhoáng do FBI đưa ra, phần mềm tống tiền BlackCat sử dụng thông tin xác thực của người dùng đã bị xâm phạm trước đó để giành quyền truy cập vào hệ thống.
Sau khi vào hệ thống thành công, BlackCat sử dụng quyền truy cập mà nó có để xâm phạm tài khoản người dùng và quản trị viên được lưu trữ trong Active Directory. Điều này cho phép nó sử dụng Bộ lập lịch tác vụ hệ thống Windows để thiết lập các đối tượng chính sách nhóm độc hại (GPO) cho phép BlackCat triển khai ransomware để mã hóa các tập tin trên hệ thống.
Trong cuộc tấn công BlackCat, các tập lệnh PowerShell được sử dụng cùng với Cobalt Strike để vô hiệu hóa các tính năng bảo mật trên mạng của nạn nhân. BlackCat sau đó đánh cắp dữ liệu của nạn nhân từ nơi nó được lưu trữ, bao gồm cả từ các nhà cung cấp dịch vụ đám mây. Sau khi việc này hoàn tất, tội phạm mạng phụ trách cuộc tấn công sẽ triển khai phần mềm tống tiền BlackCat để mã hóa dữ liệu trên hệ thống của nạn nhân.
Nạn nhân sau đó sẽ nhận được thông báo đòi tiền chuộc cho biết hệ thống của họ đã bị xâm phạm và các tệp quan trọng đã bị mã hóa. Thông báo đòi tiền chuộc cũng có hướng dẫn về cách trả tiền chuộc.
Tại sao BlackCat nguy hiểm hơn ransomware thông thường?
BlackCat nguy hiểm so với các ransomware thông thường vì một số lý do:
Nó được viết bằng Rust
Rust là ngôn ngữ lập trình nhanh, an toàn và mang lại hiệu suất tốt hơn cũng như quản lý bộ nhớ hiệu quả. Bằng cách sử dụng Rust, BlackCat thu được tất cả những lợi ích này, khiến nó trở thành một phần mềm ransomware rất phức tạp và mạnh mẽ với khả năng mã hóa nhanh. Điều này cũng gây khó khăn cho việc thiết kế ngược BlackCat. Rust là ngôn ngữ đa nền tảng cho phép tội phạm mạng dễ dàng tùy chỉnh BlackCat để nhắm mục tiêu vào các hệ điều hành khác nhau, chẳng hạn như Windows và Linux, làm tăng phạm vi nạn nhân tiềm năng.
Nó sử dụng mô hình kinh doanh RaaS
Việc BlackCat sử dụng ransomware làm mô hình dịch vụ cho phép nhiều tác nhân đe dọa triển khai ransomware phức tạp mà không biết cách tạo ra nó. BlackCat thực hiện tất cả công việc khó khăn cho bọn tội phạm mạng, những kẻ chỉ cần triển khai nó trên hệ thống dễ bị tấn công. Điều này làm cho các cuộc tấn công ransomware nâng cao trở nên dễ dàng đối với tội phạm mạng muốn khai thác các hệ thống dễ bị tấn công.
Nó cung cấp các khoản thanh toán lớn cho các chi nhánh
Với việc BlackCat sử dụng mô hình Raas, người sáng tạo kiếm được tiền bằng cách nhận một phần tiền chuộc trả cho tội phạm mạng triển khai mô hình đó. Không giống như các dòng Raas khác tính phí tới 30% tiền chuộc, BlackCat cho phép tội phạm mạng giữ từ 80% đến 90% tiền chuộc. Điều này làm tăng sức hấp dẫn của BlackCat đối với các cuộc tấn công mạng, cho phép BlackCat thu hút nhiều chi nhánh sẵn sàng sử dụng nó trong các cuộc tấn công mạng.
Có một trang web rò rỉ web công khai
Không giống như các phần mềm ransomware khác tiết lộ thông tin bị đánh cắp trên web tối, BlackCat tiết lộ thông tin bị đánh cắp trên một trang web có thể truy cập được trên web sạch. Bằng cách tiết lộ dữ liệu bị đánh cắp, nhiều người có thể truy cập dữ liệu đó hơn, làm tăng hậu quả của một cuộc tấn công mạng và gây thêm áp lực buộc nạn nhân phải trả tiền chuộc.
Ngôn ngữ lập trình Rust đã giúp BlackCat tấn công rất hiệu quả. Bằng cách sử dụng mô hình Raas và đưa ra khoản thanh toán khổng lồ, BlackCat thu hút nhiều tội phạm mạng hơn, những kẻ có nhiều khả năng sử dụng mô hình này trong các cuộc tấn công của chúng.
Chuỗi lây nhiễm ransomware BlackCat
BlackCat có được quyền truy cập ban đầu vào hệ thống thông qua thông tin xác thực bị xâm phạm hoặc bằng cách khai thác các lỗ hổng trong Microsoft Exchange Server. Khi họ có được quyền truy cập vào hệ thống, các tác nhân độc hại sẽ phá hoại tính bảo mật của hệ thống và thu thập thông tin về mạng của nạn nhân cũng như nâng cao đặc quyền của họ.
Sau đó, phần mềm tống tiền BlackCat sẽ di chuyển ngang qua mạng, truy cập vào nhiều hệ thống nhất có thể. Điều này rất hữu ích khi yêu cầu tiền chuộc. Càng nhiều hệ thống bị tấn công, nạn nhân càng có nhiều khả năng phải trả tiền chuộc.
Sau đó, những kẻ độc hại sẽ lọc dữ liệu hệ thống để sử dụng cho mục đích lừa đảo. Khi dữ liệu quan trọng đã được trích xuất, giai đoạn phân phối tải trọng BlackCat sẽ bắt đầu.
Các tác nhân độc hại cung cấp BlackCat bằng Rust. BlackCat trước tiên dừng các dịch vụ như sao lưu, ứng dụng chống vi-rút, dịch vụ internet hệ thống Windows và máy ảo. Sau khi hoàn tất, BlackCat mã hóa các tệp trên hệ thống và phá hủy hình nền hệ thống, thay thế bằng thông báo đòi tiền chuộc.
Bảo vệ bạn khỏi BlackCat Ransomware
Mặc dù BlackCat tỏ ra nguy hiểm hơn các chương trình ransomware khác đã được lưu ý trước đây, nhưng các tổ chức có thể tự bảo vệ mình khỏi ransomware theo một số cách:
Mã hóa dữ liệu quan trọng
Một phần trong chiến lược tống tiền của Blackhat liên quan đến việc đe dọa tiết lộ thông tin chi tiết của nạn nhân. Bằng cách mã hóa dữ liệu quan trọng, tổ chức này bổ sung thêm một lớp bảo vệ cho dữ liệu của mình, do đó làm tê liệt các kỹ thuật tống tiền được tội phạm mạng BlackHat sử dụng. Ngay cả khi nó bị rò rỉ, nó sẽ không ở định dạng mà con người có thể đọc được.
Cập nhật hệ thống của bạn thường xuyên
Nghiên cứu của Microsoft tiết lộ rằng trong một số trường hợp, BlackCat đã sử dụng các máy chủ trao đổi chưa được vá lỗi để có quyền truy cập vào hệ thống của tổ chức. Các công ty phần mềm thường xuyên phát hành các bản cập nhật phần mềm để giải quyết các lỗ hổng và vấn đề bảo mật có thể đã được phát hiện trong hệ thống của họ. Để bảo mật, hãy cài đặt các bản vá phần mềm ngay khi có sẵn.
Sao lưu dữ liệu của bạn đến nơi an toàn
Các tổ chức nên ưu tiên sao lưu dữ liệu thường xuyên và giữ dữ liệu ở một vị trí ngoại tuyến riêng biệt và an toàn. Điều này nhằm đảm bảo rằng ngay cả khi dữ liệu quan trọng được mã hóa, nó vẫn có thể được khôi phục từ các bản sao lưu hiện có.
Triển khai xác thực đa yếu tố
Ngoài việc sử dụng mật khẩu mạnh trên hệ thống, hãy triển khai xác thực đa yếu tố, yêu cầu nhiều thông tin xác thực trước khi cấp quyền truy cập vào hệ thống. Điều này có thể được thực hiện bằng cách định cấu hình hệ thống để tạo mật khẩu một lần được gửi đến số điện thoại hoặc email được liên kết cần thiết để truy cập hệ thống.
Giám sát hoạt động mạng và tập tin hệ thống
Các tổ chức nên liên tục theo dõi hoạt động trên mạng của mình để phát hiện và ứng phó với hoạt động đáng ngờ trên mạng của mình càng nhanh càng tốt. Các hoạt động mạng cũng cần được các chuyên gia bảo mật ghi lại và xem xét để xác định các mối đe dọa tiềm ẩn. Cuối cùng, hệ thống phải được triển khai để theo dõi cách các tệp trên hệ thống được truy cập, ai truy cập chúng và cách chúng được sử dụng.
Bằng cách mã hóa dữ liệu quan trọng, cập nhật hệ thống, thường xuyên sao lưu dữ liệu, triển khai xác thực đa yếu tố và giám sát hoạt động của hệ thống. Các tổ chức có thể đi trước một bước và ngăn chặn các cuộc tấn công của BlackCat.
Tài nguyên đào tạo: Ransomware
Để tìm hiểu thêm về các cuộc tấn công mạng và cách tự bảo vệ mình trước các cuộc tấn công bằng ransomware như BlackCat, chúng tôi khuyên bạn nên tham gia một trong các khóa học này hoặc đọc những cuốn sách được đề xuất bên dưới:
# 1. Đào tạo nâng cao nhận thức về an ninh
Đây là một khóa học tuyệt vời dành cho tất cả những ai muốn được an toàn trực tuyến. Khóa học được giảng dạy bởi Tiến sĩ Michael Biocchi, Chuyên gia bảo mật hệ thống thông tin được chứng nhận (CISSP).
Khóa học bao gồm lừa đảo, kỹ thuật xã hội, rò rỉ dữ liệu, mật khẩu, duyệt web an toàn và thiết bị cá nhân, đồng thời cung cấp các mẹo chung để giữ an toàn trực tuyến. Khóa học được cập nhật thường xuyên và bất kỳ ai sử dụng internet đều có thể tận dụng nó.
#2. Đào tạo an ninh, an toàn Internet cho nhân viên
Khóa học này được thiết kế riêng cho người dùng Internet hàng ngày và được thiết kế để giáo dục họ về những rủi ro bảo mật mà mọi người thường không biết cũng như cách tự bảo vệ mình khỏi các mối đe dọa.
Được cung cấp bởi Roy Davis, chuyên gia bảo mật thông tin được CISSP chứng nhận, khóa học này đề cập đến trách nhiệm pháp lý của người dùng và thiết bị, lừa đảo và các email độc hại khác, kỹ thuật xã hội, xử lý dữ liệu, mật khẩu và câu hỏi bảo mật, duyệt web an toàn, thiết bị di động và phần mềm tống tiền. Việc hoàn thành khóa học sẽ cung cấp cho bạn chứng chỉ hoàn thành khóa học, đủ để đảm bảo tuân thủ các quy định về dữ liệu ở hầu hết các nơi làm việc.
#3. An ninh mạng: đào tạo nhận thức cho người mới bắt đầu
Đây là khóa học Udemy được cung cấp bởi Usman Ashraf của Học viện Logix, một công ty khởi nghiệp đào tạo và cấp chứng chỉ. Usman được chứng nhận CISSP và có bằng Tiến sĩ. trong mạng máy tính và kinh nghiệm giảng dạy và công nghiệp sâu rộng.
Khóa học này cung cấp cho người tham gia thông tin chuyên sâu về kỹ thuật xã hội, mật khẩu, xóa dữ liệu an toàn, mạng riêng ảo (VPN), phần mềm độc hại, ransomware và mẹo duyệt web an toàn, đồng thời giải thích cách sử dụng cookie để theo dõi mọi người. Khóa học không mang tính kỹ thuật.
#4. Ransomware lộ diện
Đây là cuốn sách của Nihad A. Hassan, một nhà tư vấn bảo mật thông tin độc lập và chuyên gia về an ninh mạng và pháp y kỹ thuật số. Cuốn sách dạy cách giảm thiểu và đối phó với các cuộc tấn công của ransomware, đồng thời cung cấp cho người đọc cái nhìn sâu sắc về các loại ransomware khác nhau đang tồn tại, chiến lược phân phối và phương pháp khôi phục của chúng.
Cuốn sách cũng mô tả các bước cần thực hiện trong trường hợp bị nhiễm ransomware. Điều này bao gồm cách trả tiền chuộc, sao lưu và khôi phục các tệp bị nhiễm cũng như tìm kiếm trực tuyến các công cụ giải mã để giải mã các tệp bị nhiễm. Nó cũng thảo luận về cách các tổ chức có thể phát triển kế hoạch ứng phó sự cố với ransomware để giảm thiểu thiệt hại do ransomware gây ra và nhanh chóng đưa mọi thứ trở lại bình thường.
#5. Phần mềm tống tiền: Hãy lấy nó. Ngăn chặn. Hồi phục
Allan Liska, kiến trúc sư bảo mật cấp cao và chuyên gia về ransomware tại Recorded Future, sẽ trả lời tất cả các câu hỏi hóc búa về ransomware trong cuốn sách này.
Cuốn sách cung cấp bối cảnh lịch sử về lý do tại sao ransomware lại trở nên phổ biến trong những năm gần đây, cách ngăn chặn các cuộc tấn công của ransomware, các lỗ hổng mà tác nhân độc hại nhắm đến bằng ransomware và hướng dẫn cách sống sót sau một cuộc tấn công bằng ransomware với thiệt hại tối thiểu. Ngoài ra, cuốn sách còn trả lời câu hỏi quan trọng nhất, liệu có đáng để trả tiền chuộc không? Cuốn sách này cung cấp một khám phá thú vị về ransomware.
#6. Hướng dẫn bảo vệ khỏi ransomware
Đây là cuốn sách phải đọc đối với bất kỳ cá nhân hoặc tổ chức nào muốn tự trang bị vũ khí chống lại ransomware. Trong cuốn sách này, chuyên gia thâm nhập và bảo mật máy tính Roger A. Grimes đưa ra kinh nghiệm và kiến thức sâu rộng của mình trong lĩnh vực này để giúp mọi người và tổ chức tự bảo vệ mình khỏi ransomware.
Cuốn sách cung cấp một kế hoạch chi tiết thực tế cho các tổ chức đang tìm cách phát triển các biện pháp phòng vệ mạnh mẽ chống lại phần mềm tống tiền. Nó cũng dạy bạn cách phát hiện một cuộc tấn công, nhanh chóng hạn chế thiệt hại và quyết định có trả tiền chuộc hay không. Nó cũng đưa ra một kế hoạch nhằm giúp các tổ chức giảm thiểu thiệt hại về danh tiếng và tài chính do các vi phạm an ninh nghiêm trọng gây ra.
Cuối cùng, nó dạy bạn cách tạo nền tảng an toàn cho an ninh mạng và bảo hiểm bảo vệ pháp lý nhằm giảm thiểu sự gián đoạn đối với hoạt động kinh doanh và cuộc sống hàng ngày của bạn.
Ghi chú của tác giả
BlackCat là một ransomware mang tính cách mạng, chắc chắn sẽ thay đổi hiện trạng khi nói đến an ninh mạng. Đến tháng 3 năm 2022, BlackCat đã tấn công thành công hơn 60 tổ chức và thu hút được sự chú ý của FBI. BlackCat là một mối đe dọa nghiêm trọng và không tổ chức nào có thể bỏ qua nó.
Sử dụng ngôn ngữ lập trình hiện đại và các phương pháp tấn công, mã hóa và ransomware độc đáo, BlackCat đã khiến các chuyên gia bảo mật phải bắt kịp. Tuy nhiên, cuộc chiến chống lại ransomware này vẫn chưa thất bại.
Bằng cách triển khai các chiến lược được thảo luận trong bài viết này và giảm thiểu khả năng xảy ra lỗi của con người trong việc làm lộ hệ thống máy tính, các tổ chức có thể đi trước một bước và ngăn chặn một cuộc tấn công thảm khốc bằng ransomware BlackCat.
