Ransomware là một trong những loại tội phạm mạng nguy hiểm nhất. Khi dữ liệu trở nên có giá trị hơn, bọn tội phạm phát hiện ra rằng chúng có thể nhận được số tiền lớn hơn bằng cách giữ chúng để đòi tiền chuộc. Những cuộc tấn công này đã trở nên phổ biến một cách đáng sợ, với một số nhóm ransomware thậm chí còn tuyển dụng người trong cuộc để giúp đỡ chúng.
Các công ty đang tìm cách bảo vệ mình khỏi ransomware giờ đây không chỉ cần xem xét các mối đe dọa bên ngoài. Cuộc tấn công tiếp theo có thể đến từ bên trong.
Tại sao các nhóm ransomware cần người trong cuộc?
Yêu cầu nhân viên giúp đỡ khi phạm tội có vẻ là một cách hay để nâng cao cảnh báo, vậy tại sao các băng nhóm ransomware lại chấp nhận rủi ro đó? Hầu hết đều thuộc về những người trong cuộc khiến những cuộc tấn công này có nhiều khả năng thành công hơn.
Nhiều người đồng ý rằng những người trong nội bộ có nguy cơ cao hơn các mối đe dọa bên ngoài vì họ đã có quyền truy cập vào thông tin nhạy cảm—và nhiều công ty không nhận thấy các mối đe dọa từ bên trong. Do đó, nhân viên có thể giúp ích rất nhiều cho các nhóm ransomware nếu được thuyết phục giúp đỡ. Thay vì đột nhập vào các lớp hệ thống bảo mật phức tạp trước đó, tội phạm mạng có thể chỉ cần gửi email cho nhân viên kèm theo một tệp sẽ được cài đặt trên máy tính của nhà máy.
Việc đột nhập vào một doanh nghiệp có thể ngày càng khó khăn khi an ninh quá mạnh. Mặt khác, con người có thể bị thao túng dễ dàng hơn bao giờ hết. Tuyển dụng người trong cuộc giúp thực hiện một cuộc tấn công bằng ransomware thành công dễ dàng hơn nhiều, điều này thường đồng nghĩa với việc nhận được một khoản thù lao lớn.
Phương pháp tuyển dụng nội bộ
Việc ngăn chặn các băng đảng ransomware lừa những người trong cuộc thực hiện công việc bẩn thỉu của chúng bắt đầu bằng việc tìm hiểu cách chúng thực hiện. Dưới đây là một số phương pháp phổ biến nhất.
Kỹ thuật xã hội
Lừa đảo trực tuyến hoặc các hình thức kỹ thuật xã hội khác chiếm tỷ lệ lớn trong các cuộc tấn công bằng ransomware và thật dễ hiểu tại sao. Tuyển dụng ai đó để giúp đỡ tội phạm sẽ dễ dàng hơn nếu họ không biết mình đang làm gì. Các nhóm ransomware có thể lừa nhân viên cài đặt phần mềm độc hại mà họ không hề biết.
Những cuộc tấn công này thường được thực hiện qua email hoặc tin nhắn văn bản, thường chứa liên kết hoặc tệp đính kèm có vẻ hợp pháp. Khi một người trong cuộc không nghi ngờ nhấp vào nó, tệp hoặc liên kết sẽ cài đặt ransomware trên thiết bị làm việc của họ. Kết quả là, nó cho phép các băng nhóm ransomware truy cập vào thông tin nhạy cảm mà không cần phải thuyết phục bất kỳ ai cố tình phạm tội.
Tiếp xúc trực tiếp
Các băng đảng ransomware cũng trở nên cởi mở hơn trong những năm gần đây. Theo Reckless Security, 65% chuyên gia CNTT cho biết tội phạm đã liên hệ trực tiếp với họ hoặc nhân viên của họ để được trợ giúp về một cuộc tấn công bằng ransomware – tăng 17% so với mức năm 2021.
Giống như lừa đảo, những yêu cầu này thường được gửi qua email nhưng một số nhóm ransomware sẽ liên hệ qua điện thoại hoặc mạng xã hội. Trong hầu hết các trường hợp, họ cố gắng thuyết phục nhân viên giúp đỡ bằng cách hối lộ họ. Các băng đảng đưa ra hàng trăm nghìn đô la tiền mặt, tiền điện tử hoặc tiền chuộc để đổi lấy việc cài đặt phần mềm ransomware.
nguồn lực cộng đồng
Các nhà nghiên cứu bảo mật cũng nhận thấy rằng một số nhóm ransomware đang cố gắng sử dụng các cuộc tấn công của chúng như nguồn lực cộng đồng. Tội phạm mạng đăng bài trên các diễn đàn công cộng hoặc các nền tảng truyền thông xã hội được mã hóa như Telegram, kêu gọi những người có thông tin nội bộ liên hệ với chúng. Họ thậm chí có thể tiến hành các cuộc khảo sát công khai về đối tượng mục tiêu hoặc dữ liệu nào cần tiết lộ.
Những bài đăng công khai này tiếp cận được nhiều đối tượng hơn, có khả năng tăng cơ hội nhận được trợ giúp từ bên trong. Theo Tech Compare, mức tiền chuộc trung bình đã hết 2 Hàng triệu đô la, các băng nhóm ransomware sẽ kiếm được số tiền quá đủ từ một cuộc tấn công thành công để trả cho nhiều cộng sự.
Ví dụ về Người trong cuộc giúp đỡ kẻ tấn công ransomware
Một số công ty nổi tiếng nhất trên thế giới đã trở thành mục tiêu của các cuộc tấn công như vậy. vào năm 2021, AP News đưa tin rằng một tội phạm mạng đã đề nghị cho một nhân viên Tesla 500.000 USD để cài đặt ransomware trên máy tính của công ty. Trong trường hợp này, nhân viên đã báo cáo vụ việc thay vì lấy tiền, nhưng điều này làm nổi bật quy mô của các cuộc tấn công này.
Các công ty khác kém may mắn hơn. Vào năm 2019, một cựu nhân viên bất mãn của công ty hỗ trợ công nghệ Asurion đã được chủ cũ trả 50.000 USD mỗi ngày sau khi dữ liệu của hàng triệu khách hàng bị đánh cắp (theo Bitdefender). Cơ quan thực thi pháp luật đã bắt được nhân viên cũ, nhưng không phải sau khi công ty đã chi hàng nghìn đô la tiền chuộc.
Điều đáng chú ý là mặc dù những cuộc tấn công này đã trở nên phổ biến hơn nhưng chúng cũng không hẳn là mới. Theo FBI, một kỹ sư của Boeing đã đánh cắp hàng trăm nghìn tài liệu từ cuối những năm 1970 đến đầu những năm 2000 để tuyển dụng cho cơ quan tình báo Trung Quốc. Trường hợp này có trước ransomware, nhưng là một ví dụ về mức độ các mối đe dọa nội bộ cực đoan có thể có lợi cho các thế lực bên ngoài.
Cách ngăn chặn các mối đe dọa Ransomware nội bộ
Trước rủi ro to lớn, các công ty phải làm mọi thứ trong khả năng của mình để ngăn chặn những người trong cuộc hợp tác với các nhóm ransomware. Dưới đây là ba bước chính hướng tới mục tiêu đó.
Tạo văn hóa nơi làm việc tích cực
Một trong những biện pháp quan trọng nhất bạn có thể thực hiện là đảm bảo nhân viên hài lòng với công việc của họ. Nhân viên càng ít thích chủ nhân của mình thì họ càng có nhiều khả năng nhận hối lộ từ một nhóm ransomware và giúp trả đũa công ty của họ. Xây dựng một nơi làm việc tích cực hơn sẽ giảm thiểu rủi ro này.
Mức lương cạnh tranh là một yếu tố quan trọng tạo nên sự hài lòng của nhân viên, nhưng nó không phải là tất cả. Và Báo cáo Gallup cho thấy chỉ 28% nhân viên cho rằng lương thưởng và phúc lợi là sự thay đổi lớn nhất giúp nơi làm việc của họ trở nên tuyệt vời, so với 41% cho rằng các vấn đề về sự gắn kết và văn hóa. Làm việc với nhân viên để đảm bảo họ cảm thấy được tôn trọng, an toàn và được chăm sóc sẽ phải đi một chặng đường dài.
Đào tạo nhân viên
Các công ty cũng cần đào tạo nhân viên của mình để phát hiện các chiến thuật tấn công xã hội. Nhiều cuộc tấn công ransomware nội bộ xuất phát từ sự cố chẳng hạn như nhấp vào liên kết lừa đảo. Chìa khóa để ngăn chặn những sự cố này là hướng dẫn nhân viên những điều cần chú ý.
Lỗi chính tả, tình trạng cực kỳ khẩn cấp và các tình huống nghe có vẻ khó tin là những dấu hiệu phổ biến của lừa đảo. Nói chung, nhân viên không nên nhấp vào hoặc trả lời các tin nhắn không mong muốn và không bao giờ cung cấp thông tin nhạy cảm qua email.
Triển khai bảo mật không tin cậy
Bảo mật không tin cậy là một bước quan trọng khác trong việc ngăn chặn các mối đe dọa ransomware nội bộ. Cách tiếp cận không tin cậy coi mọi thứ đều có khả năng thù địch, yêu cầu xác minh ở mọi bước trước khi cấp quyền truy cập cho bất kỳ thứ gì hoặc bất kỳ ai. Là một phần của việc này, nó cũng hạn chế quyền truy cập để mỗi nhân viên chỉ có thể nhìn thấy những gì họ cần cho công việc của mình.
Những mô hình bảo mật này khó thực hiện hơn các phương pháp truyền thống nhưng chúng mang lại sự bảo vệ tốt nhất trước các mối đe dọa nội bộ. Vì ngay cả những người trong nội bộ được ủy quyền cũng chỉ có quyền truy cập vào một lượng tài nguyên hạn chế nên việc tuyển dụng những người trong nội bộ không nhất thiết khiến một cuộc tấn công bằng ransomware trở nên đáng giá.
Các mối đe dọa ransomware nội bộ được quản lý
Xu hướng tuyển dụng nội bộ của các nhóm ransomware không hẳn là mới nhưng nó đang ngày càng gia tăng. Đây có thể là một nguyên nhân gây lo ngại, nhưng điều đó không có nghĩa là không thể ngăn chặn được.
Các mối đe dọa ransomware nội bộ nêu bật tầm quan trọng của việc giảm niềm tin vào an ninh mạng. Các mối đe dọa có thể đến từ mọi nơi, thậm chí từ những nhân viên đáng tin cậy, vì vậy tốt nhất bạn nên bảo mật mọi thứ ở mức tối đa.
