Kaspersky đưa hệ sinh thái mã độc tống tiền ra ánh sáng

SkylerNew

Chuyên viên tin tức
Thành viên BQT
“Mã độc tống tiền” thường được nhắc đến mỗi khi các doanh nghiệp thảo luận về các mối đe dọa trên mạng mà họ có thể phải đối mặt vào năm 2021. Các đối tượng tấn công đã tạo dựng tên tuổi và ngày càng “táo bạo” hơn trong hành động, khiến tin tức về các tổ chức bị tấn công bằng mã độc tống tiền liên tục xuất hiện trên trang nhất các báo.

ransomware-data-disclosure-featured.jpg

Tuy nhiên, trong khi tìm cách thu hút sự chú ý của công chúng thì các nhóm này lại che giấu sự phức tạp thực sự của hệ sinh thái mã độc tống tiền. Để giúp các tổ chức hiểu hơn về cách thức hoạt động của hệ sinh thái mã độc tống tiền và cách phòng chống, trong báo cáo gần đây nhất, các nhà nghiên cứu của Karpesky đã thâm nhập sâu vào các diễn đàn darknet, nghiên cứu kỹ các băng nhóm như REvil và Babuk và các băng nhóm khác để phơi bày một số thông tin về loại mã độc này.

Giống như bất kỳ ngành nghề nào, hệ sinh thái mã độc tống tiền bao gồm nhiều đối tượng đảm nhiệm những vai trò khác nhau. Trái ngược với các quan điểm cho rằng các băng nhóm tống tiền bằng mã độc là các băng nhóm thực sự - gắn kết chặt chẽ, cùng nhau vượt qua nhiều khó khăn thử thách, tương tự như các băng nhóm như trong phim Bố già, thực tế lại gần giống với thế giới của 'The Gentlemen’ (Các quý ông) của đạo diễn Guy Ritchie, trong đó nhiều đối tượng khác nhau - phát triển, quản trị bot, bán truy cập, khai thác ransomware - tham gia vào hầu hết các cuộc tấn công, cung cấp dịch vụ cho nhau thông qua các web chợ đen.

Các đối tượng này gặp nhau trên các diễn đàn darknet chuyên biệt, nơi các dịch vụ và đề xuất hợp tác mới nhất được quảng cáo thường xuyên. Những băng nhóm lớn, nổi tiếng hoạt động theo cách riêng không thường xuyên sử dụng các trang web như vậy. Tuy nhiên, một số nhóm nổi tiếng khác lại thường xuyên đăng tải những lời chào hàng và cập nhật tin tức của chúng ở đây bằng cách sử dụng chương trình liên kết. Đây cũng là những nhóm đang gia tăng hoạt động tấn công nhằm vào các tổ chức trong thời gian qua. Chương trình liên kết này là sự hợp tác giữa đối tượng điều hành nhóm tống tiền bằng mã độc và các đồng phạm để chia sẻ lợi nhuận. Trong đó đối tượng điều hành mã độc tống tiền nhận từ 20-40% lợi nhuận, các đối tượng còn lại nhận về 60-80% lợi nhuận.

cZDpEJhF-Teq7RA-dnd9bBPeQZ6k6oesbhuJ8S_M_QwgMgDCBRDlYj46fO5B3VZEi0w6s4aXQKkd7f1IN95J4p9unAvk-2YvScHii53H9RzWldEpHQqYafBVIWdsaFGGKswBdVA


REvil công bố khả năng thực hiện cuộc gọi đến các phương tiện truyền thông và các đối tác của mục tiêu để gia tăng áp lực trả tiền chuộc


fSvgYgeU4vs_j1XYd5R6uincZQF7BqWTl5oJXo8rFSlTCUvuhvMSepgoauaPW6HEbXqCWSqI9uyL_nbxa9IHPFIzOGn8rBjtvl7_0LCsJiDiCIVfF2YUPdsBsMAOiGua5dp2I1k


Ví dụ về các lời chào hàng trong đó liệt kê các điều kiện thanh toán trong chương trình liên kết​

Việc lựa chọn những đối tác này là một quá trình tinh vi với các quy tắc cơ bản do đối tượng điều hành mã độc tống tiền đặt ra ngay từ đầu, bao gồm các tiêu chí về vị trí địa lý và thậm chí cả quan điểm chính trị của đối tượng liên kết. Trong khi đó, nạn nhân bị tống tiền bằng mã độc được lựa chọn theo cơ hội.

Vì các đối tượng gây lây nhiễm các tổ chức và những đối tượng thực sự vận hành mã độc tống tiền là các nhóm khác nhau, được hình thành chỉ vì mong muốn tìm kiếm lợi nhuận, nên các tổ chức bị lây nhiễm về cơ bản đều là những miếng mồi ngon, dễ dàng cho những kẻ tấn công có thể tiếp cận. Những đối tượng tấn công này có thể là đối tượng hoạt động trong các chương trình hợp tác kinh doanh và là đối tượng khai thác độc lập buôn bán quyền truy cập - bằng hình thức đấu giá hoặc với giá cố định, khởi điểm từ 50 USD. Những kẻ tấn công này thường là chủ sở hữu mạng botnet, điều hành các chiến dịch lớn và bán sỉ quyền truy cập vào máy của các nạn nhân, và các đối tượng bán quyền truy cập tìm kiếm các lỗ hổng an ninh bảo mật đã được công bố trong các phần mềm trực tuyến kết nối với Internet, chẳng hạn như các thiết bị VPN chuyên dụng hoặc email gateways, mà chúng có thể sử dụng để xâm nhập vào các tổ chức.

4g8Ojms5EbSucAfPXHpU8_HmPkYzm8vUvrWARtLy9wxO3SwQkmZaxmubL0aZ4_j_XJti4TF9hoXGmEDOALbcHBK8ropI1bNveyLov77FxUOSF4BlvApDi90IRHTfoZOX-Bg5PAc


Ví dụ về chào bán quyền truy cập vào RDP của một tổ chức​

Đối tượng tấn công cũng sử dụng các diễn đàn mã độc tống tiền để đưa ra các lời chào hàng khác. Một số đối tượng khai thác mã độc tống tiền bán các mẫu mã độc và công cụ phát triển mã với giá từ 300 đến 4.000 USD, những đối tượng khác cung cấp Ransomware-as-a-Service (cung cấp mã độc tống tiền như một dịch vụ - trong đó mã độc tống tiền sẽ được bán như các gói dịch vụ) và sẽ được các đối tượng phát triển hỗ trợ liên tục, giá thành các gói có thể dao động từ 120 USD mỗi tháng đến 1.900 USD năm.

Craig Jones, Giám đốc bộ phận Tội phạm mạng, INTERPOL, nhận định: “Trong hai năm qua, chúng tôi thấy rằng tội phạm mạng đã sử dụng mã độc tống tiền ngày càng táo bạo. Các tổ chức bị tấn công không chỉ là doanh nghiệp và cơ quan chính phủ mà các đối tượng khai thác mã độc phần mềm sẵn sàng tấn công các doanh nghiệp thuộc bất cứ quy mô nào. Rõ ràng là tống tiền bằng mã độc đã trở thành một ngành công nghiệp phức tạp liên quan đến nhiều đối tượng với nhiều vai trò khác nhau. Để chống lại các đối tượng này, chúng ta cần tìm hiểu về cách thức vận hành của chúng và cùng đoàn kết chống lại chúng. Ngày Chống mã độc tống tiền là cơ hội tốt để nêu bật nhu cầu này và lưu ý công chúng về tầm quan trọng của việc áp dụng các phương pháp bảo mật hiệu quả. Cùng với các đối tác, Chương trình tội phạm mạng toàn cầu của INTERPOL quyết tâm giảm nhẹ tác động toàn cầu của mã độc tống tiền và bảo vệ an toàn cho cộng đồng trước mối đe dọa ngày càng tăng này.”

Dmitry Galov, nhà nghiên cứu bảo mật tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky nhận định: “Hệ sinh thái mã độc tống tiền là một hệ sinh thái phức tạp với nhiều lợi ích liên quan. Đó là một thị trường linh hoạt với nhiều đối tượng tham gia, một số đối tượng hoạt động theo hình thức tận dụng cơ hội, một số khác - rất chuyên nghiệp và cao cấp - không lựa chọn các mục tiêu cụ thể, mà có thể nhắm tới bất kỳ tổ chức nào, doanh nghiệp dù lớn hay nhỏ, miễn là có thể tiếp cận được. Hơn nữa, hoạt động của chúng đang phát triển mạnh mẽ và sẽ còn tiếp tục tồn tại dai dẳng. Tuy nhiên, chỉ cần áp dụng các biện pháp bảo mật khá đơn giản là đã có thể bảo vệ tổ chức được an toàn trước các đối tượng tấn công. Do đó, ngoài các phương pháp tiêu chuẩn như cập nhật phần mềm thường xuyên và tạo các bản sao lưu dự phòng tách biệt, còn có nhiều động thái khác mà các tổ chức có thể thực hiện để tự bảo vệ".

Ivan Kwiatkowski, nhà nghiên cứu bảo mật cấp cao tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky cho biết thêm: "Chỉ có thể đưa ra quyết định rằng hành động nào có hiệu quả trong việc chống lại hệ sinh thái mã độc tống tiền khi thực sự hiểu rõ các nền tảng của hệ sinh thái này. Chúng tôi hy vọng báo cáo này sẽ làm sáng tỏ cách thức tội phạm mạng tổ chức các cuộc tấn công tống tiền bằng mã độc, để cộng đồng có thể có các biện pháp ứng phó phù hợp.”

Để tìm hiểu thêm về hệ sinh thái mã độc tống tiền, vui lòng xem cập báo cáo đầy đủ tại Securelist .

Nhân Ngày Chống mã độc tống tiền, Kaspersky khuyến khích các tổ chức thực hiện các thực hành tốt nhất để tự bảo vệ chống lại loại mã độc này:
  • Luôn cập nhật phần mềm trên tất cả các thiết của bạn để ngăn chặn các đối tượng tấn công khai thác các lỗ hổng an ninh bảo mật để xâm nhập mạng.
  • Chiến lược phòng thủ nên tập trung phát hiện sự dịch chuyển lưu lượng trong mạng và chuyển dữ liệu lên Internet. Đặc biệt quan tâm đến lưu lượng đi để phát hiện các kết nối của tội phạm mạng. Tạo các bản sao lưu dự phòng ngoại tuyến mà những đối tượng xâm nhập không thể can thiệp. Đảm bảo các bản sao lưu dự phòng này có thể được truy cập nhanh chóng khi cần trong trường hợp khẩn cấp khi cần thiết.
  • Kích hoạt tính năng chống mã độc tống tiền cho tất cả các thiết bị điểm cuối. Karspesky cung cấp công cụ Kaspersky Anti-Ransomware Tool for Business miễn phí để bảo vệ máy tính và máy chủ chống lại mã độc tống tiền và các loại mã độc khác, ngăn chặn việc khai thác lỗ hổng an ninh bảo mật của phần mềm và tương thích với các giải pháp bảo mật đã được cài đặt.
Cài đặt các giải pháp chống APT và EDR, kích hoạt các tính năng khám phá và phát hiện mối đe dọa tiên tiến, điều tra và khắc phục kịp thời sự cố. Cấp quyền truy cập vào thông tin tình báo mới nhất về những mối đe dọa cho đội ngũ SOC của doanh nghiệp; thường xuyên tổ chức các khóa đào tạo chuyên môn để nâng cao kỹ năng cho họ. Tất cả những hành động nói trên đều đã có sẵn trong khuôn khổ Kaspersky Expert Security .
 
Bên trên