Sự bùng nổ các biến thể ransomware mới này chủ yếu được thúc đẩy bởi web đen. Đăng ký Ransomware dưới dạng dịch vụ (RaaS) do số lượng kẻ tấn công lợi dụng nó ngày càng tăng. Tuy nhiên, bất chấp sự gia tăng của các biến thể ransomware, các kỹ thuật mà kẻ tấn công sử dụng để lây nhiễm ransomware phần lớn vẫn giống nhau. Về mặt dự đoán, đây là tin tốt vì các đội an ninh có kế hoạch đáng tin cậy để bảo vệ chống lại những cuộc tấn công này. Fortinet đã chia sẻ thông tin về các chiến lược giảm thiểu phần mềm tống tiền và cách triển khai chúng trong các tổ chức.
Ransomware là gì, làm thế nào để bảo vệ nó?
Ransomware là phần mềm độc hại giữ dữ liệu làm con tin để đổi lấy tiền chuộc. Kẻ tấn công đe dọa xuất bản, chặn hoặc làm hỏng dữ liệu hoặc ngăn người dùng làm việc hoặc truy cập vào máy tính của họ trừ khi yêu cầu của họ được đáp ứng. Ngày nay, ransomware thường được gửi qua email lừa đảo. Các tệp đính kèm độc hại này sẽ lây nhiễm vào máy tính của người dùng sau khi được mở. Ransomware cũng có thể lây lan thông qua việc tải xuống theo ổ đĩa, xảy ra khi người dùng truy cập một trang web bị nhiễm virus. Phần mềm độc hại trên trang web này được tải xuống và cài đặt mà người dùng không hề hay biết. Ngoài ra còn có các chiến thuật kỹ thuật xã hội gửi email hoặc tin nhắn văn bản để dọa mục tiêu chia sẻ thông tin nhạy cảm, mở tệp có hại hoặc nhấp vào liên kết độc hại.
Những rủi ro khiến cần phải giảm ransomware
Bất kể bạn xem tổ chức nào, đều có thể có những “lỗ hổng” bảo mật khiến tổ chức đó có nhiều khả năng trở thành nạn nhân của một cuộc tấn công bằng ransomware. Những thách thức chung mà các nhóm và tổ chức bảo mật phải đối mặt có thể khiến họ dễ bị tổn thương hơn trước các sự cố mạng bao gồm nhân viên thiếu kiến thức về vệ sinh mạng, chính sách mật khẩu kém, quy trình và giám sát bảo mật kém, và cuối cùng là thiếu nhân viên trong nhóm bảo mật và CNTT.
Bảo vệ khỏi phần mềm tống tiền 5 đường
Việc phát hiện ransomware hiệu quả đòi hỏi sự kết hợp giữa giáo dục và công nghệ. Dưới đây là những cách tốt nhất để phát hiện các cuộc tấn công ransomware hiện tại và ngăn chặn sự phát triển của nó:
- Hướng dẫn nhân viên của bạn về các dấu hiệu đặc trưng của ransomware: Hướng dẫn nhân viên cách phát hiện các dấu hiệu của ransomware, chẳng hạn như các email có vẻ như đến từ các tổ chức thực, các liên kết bên ngoài đáng ngờ và các tệp đính kèm đáng ngờ.
- Sử dụng sự lừa dối để phát hiện (và ngăn chặn) những kẻ tấn công: Honeypot là mồi nhử của các kho lưu trữ tệp giả được thiết kế trông giống như mục tiêu hấp dẫn đối với những kẻ tấn công. Các công nghệ lừa đảo trên mạng như thế này không chỉ kích hoạt khả năng phát hiện bằng kỹ thuật và chiến thuật riêng của ransomware mà còn vạch trần chiến thuật, công cụ và quy trình (TTP) của kẻ tấn công nhằm đảm bảo khả năng xâm nhập mạng thành công để nhóm của bạn có thể xác định và đóng các lỗ hổng này.
- Giám sát mạng và điểm cuối của bạn: Với tính năng giám sát mạng liên tục, bạn có thể ghi lại lưu lượng truy cập vào và ra, quét tệp để tìm bằng chứng về các cuộc tấn công (chẳng hạn như các thay đổi không thành công), thiết lập đường cơ sở cho hoạt động có thể chấp nhận được của người dùng và sau đó điều tra mọi điều có vẻ khác thường . Việc phân phối các công cụ chống virus và chống ransomware cũng hữu ích vì bạn có thể sử dụng những công nghệ này để đưa các trang web được chấp nhận vào danh sách trắng. Cuối cùng, việc thêm tính năng phát hiện dựa trên hành vi vào hộp công cụ bảo mật của bạn là điều cần thiết.
- Nhìn vào tổ chức của bạn từ bên ngoài: Hãy xem xét những rủi ro mà tổ chức phải đối mặt từ bên ngoài mạng. Là một phần mở rộng của kiến trúc bảo mật, dịch vụ DRP có thể giúp tổ chức nhìn thấy và giảm thiểu ba lĩnh vực rủi ro bổ sung: rủi ro tài sản kỹ thuật số, rủi ro liên quan đến thương hiệu và các mối đe dọa ngầm và sắp xảy ra.
- Trao quyền cho nhóm của bạn bằng SOC-as-a-service nếu cần: Thuê ngoài một số nhiệm vụ nhất định như ứng phó sự cố và tìm kiếm mối đe dọa là một biện pháp thông minh. Vì vậy một Phát hiện và phản hồi được quản lý (MDR) nhà cung cấp hoặc SOC như một dịch vụ (Trung tâm điều hành an ninh).
Mặc dù số lượng ransomware không hề giảm nhưng có nhiều công nghệ và quy trình được áp dụng để giúp các nhóm giảm thiểu rủi ro liên quan đến cuộc tấn công này. Có thể ngăn chặn những kẻ tấn công xảo quyệt bằng nhiều cách khác nhau, bao gồm các chương trình giáo dục mạng của fortinet và tăng cường các nỗ lực ZTNA.
