Ransomware: Nó là gì và cách bảo vệ bạn

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

Ransomware là gì?

In the past, ransomware attacks were aimed solely at locking a person’s data or device until they paid money to unlock it. 

Nowadays, however, cybercriminals are taking matters to a whole new level. The 2022 X-Force Threat Intelligence Index revealed that virtually all ransomware attacks have now adopted the ‘double extortion’ strategy, which not only locks data but also expects a ransom payment to prevent theft. In addition, these malicious cybercriminals are introducing an additional threat in their repertoire – triple extortion campaigns involving Distributed Denial of Service (DDoS) assaults – and they are becoming increasingly common.

Ransomware và phần mềm độc hại

Để hiểu rõ hơn về ransomware, trước tiên chúng ta phải xem xét phần mềm độc hại (malicious software) là gì và tác động của nó.

Malware – a term that prompts more questions than answers. Is the malicious software, or is it simply being used for nefarious purposes? As with many aspects of cybersecurity, there’s no single answer to this question; instead, it’s an intricate and complex area in which we must consider multiple factors. The software can be malevolent in its own right; however, the human who operates said software is ultimately responsible for determining whether and how malicious it will be.

Cyber threats are broad, from destructive viruses to crafty Trojans. But there’s a unique strain even more dangerous than these – ransomware. Uncover the mystery behind this malicious software, and learn how to protect yourself from it!

Ransomware hoạt động như thế nào?

Ransomware is designed to lock access and all content within the target computer or network until its attacker receives payment. Even more sophisticated attacks may initiate disk-level encryption with such intensity that, without paying the ransom, it would be impossible to decrypt any files. From 2013 to 2020, the FBI’s Internet Crime Complaint Center noticed a dramatic surge of 243% in reported ransomware occurrences.

Không giống như các hình thức tội phạm mạng khác, ransomware yêu cầu nạn nhân phải hợp tác với tội phạm để làm cho nó thành công.

Như đã nêu trên trang web của họ, FBI cảnh báo không nên trả tiền chuộc nếu cá nhân hoặc công ty bị tấn công bằng ransomware. Bằng cách trả tiền chuộc, không có gì đảm bảo rằng một tổ chức hoặc nạn nhân sẽ lấy lại quyền truy cập vào dữ liệu của họ, làm cho nó trở thành một giải pháp rủi ro và không đáng tin cậy. Đáng buồn thay, trong một số trường hợp mà nạn nhân đã trả tiền chuộc theo yêu cầu của kẻ tấn công, họ vẫn không bao giờ nhận được khóa giải mã hợp pháp để mở khóa dữ liệu của mình. Ngay cả khi họ nhận được một khóa, có thể không phải tất cả các tệp đều có thể khôi phục được. Bằng cách trả tiền chuộc, không chỉ bạn đang cung cấp động lực cho tội phạm tiếp tục thực hiện các cuộc tấn công ransomware vào các tổ chức và cá nhân, mà bạn còn làm cho nó trở nên hấp dẫn hơn đối với các tội phạm mạng tiềm năng khác.

Các biến thể ransomware phổ biến

With numerous ransomware varieties existing, it is no wonder that some are more successful than others. In fact, there are a select few who have risen above the rest in terms of effectiveness and popularity – making them stand out from their counterparts.

1. Ryuk

Ryuk is a type of ransomware that targets a specific type of user. It is usually delivered through an email or someone’s login information to get into a system. Once the system is infected, Ryuk encrypts some files and then asks for money to give them back.

Ryuk nổi tiếng là một trong những loại ransomware tốn kém nhất, với yêu cầu tiền chuộc trung bình vượt quá 1 triệu đô la. Vì lý do này, tội phạm mạng liên quan đến Ryuk thường xuyên nhắm mục tiêu vào các doanh nghiệp có khả năng tài chính dồi dào để đáp ứng các khoản thanh toán cao ngất ngưởng này.

2. REvil (Sodinokibi)

REvil (còn được gọi là Sodinokibi) là một biến thể ransomware độc hại chủ yếu gây phiền toái cho các công ty lớn.

Infamous REvil ransomware, operated by the Russian-speaking group since 2019, is one of the most notorious cyber threats on the internet today. For example, they have been held responsible for significant breaches such as ‘Kaseya’ and ‘JBS’, making them a serious threat to businesses across numerous industries.

Trong vài năm qua, REvil đã đối đầu với Ryuk để giành danh hiệu ransomware tốn kém nhất. Có báo cáo cho rằng phần mềm độc hại này đã yêu cầu thanh toán tiền chuộc lên đến 800,000 đô la.

Initially, REvil was just another traditional ransomware variant, yet it has since progressed. Presently, they use the Double Extortion technique – not only encrypting files but also stealing data from businesses. This means that apart from requesting a ransom to decrypt data, attackers will threaten to publicly expose the stolen information if an additional payment is not rendered.

3. Maze

The Maze ransomware has gained notoriety for its innovative approach to extortion. It not only encrypts files but also steals sensitive data from the victim’s computer and threatens to make it public or sell it if a ransom is not paid. This menacing strategy puts targets in an even more difficult situation – either pay up or face much higher costs due to an expensive data breach.

Although the Maze ransomware group has disbanded, this does not signify that ransomware threats are now obsolete. Several former affiliates of Maze have shifted to using Egregor ransomware instead, and it is widely speculated that these three variants – Sekhmet being the third – share an identical originator.

4. DearCry

Vào tháng 3 năm 2021, Microsoft đã phát hành các bản cập nhật quan trọng cho bốn lỗ hổng trong máy chủ Exchange của họ, nhưng trước khi mọi người có thể áp dụng các bản vá để bảo vệ mình khỏi nguy hiểm tiềm tàng; DearCry đã xuất hiện với một biến thể ransomware mới được thiết kế đặc biệt để khai thác những điểm yếu này.

Ransomware DearCry có thể khóa nhiều tệp, để lại cho người dùng một thông báo tiền chuộc trên máy tính của họ hướng dẫn họ liên hệ với nhà điều hành để biết cách khôi phục quyền truy cập.

5. Lapsus$

The South American ransomware gang, Lapsus$, has been linked to cyberattacks on noteworthy targets worldwide. With intimidation and the potential for sensitive data exposure, the cyber gang has established a name for itself by extorting its victims unless their demands are met. They have bragged about penetrating Nvidia, Samsung, and Ubisoft, amongst other global organizations. This group utilises pilfered source code to make malicious files appear as legitimate software.

6. Lockbit

LockBit là phần mềm được tạo ra để ngăn người khác truy cập dữ liệu. Nó đã tồn tại từ tháng 9 năm 2019. Gần đây, nó đã trở thành một Dịch vụ Ransomware (RaaS). Điều này có nghĩa là mọi người có thể trả tiền để sử dụng nó để ngăn người khác truy cập dữ liệu của họ.

Hậu quả tốn kém của ransomware

People dealing with ransomware are often reticent to admit the amount of ransom they have paid. As outlined in the report Definitive Guide to Ransomware 2022, ransom demands have increased drastically; what used to comprise only single-digit payments has now expanded into seven and eight-digit figures. In the most extreme instances, companies may need to pay a hefty ransom of USD 40-80 million for their data to be returned. Yet these payments aren’t the only cost associated with ransomware attacks; other direct and indirect costs can compound an organization’s financial burden. As reported in IBM’s Cost of Data Breach 2021 study, the standard cost of ransomware attacks without including ransom payments amounted to a staggering USD 4.62 million on average.

Trường hợp của Bệnh viện DCH

DCH là một trung tâm y tế khu vực ở Tuscaloosa, Alabama, hoạt động từ năm 1923.

On October 1st, 2019, DCH Hospitals got attacked by ransomware. Everything electronic was down. They couldn’t take any new patients and had to use all paper for everything.

Một đại diện từ DCH tiết lộ rằng hệ thống đã bị xâm phạm khi ai đó mở và tương tác với một tệp đính kèm email bị hỏng. May mắn thay, không có thông tin bệnh nhân nào bị đe dọa.

Hệ thống Bệnh viện DCH tự hào có ba bệnh viện lớn — Trung tâm Y tế Khu vực DCH, Trung tâm Y tế Northport và Trung tâm Y tế Fayette — phục vụ một phần lớn của Tây Alabama. Ba cơ sở y tế này cung cấp hơn 850 giường và đón hơn 32,000 bệnh nhân hàng năm.

Vào thứ Bảy, ngày 5 tháng 10, để nhanh chóng lấy lại quyền truy cập vào hệ thống của họ, Bệnh viện DCH đã chọn trả tiền chuộc và nhận khóa giải mã từ kẻ tấn công. Tuy nhiên, họ đã quyết định không tiết lộ số tiền đã trả. Vì các hệ thống chăm sóc sức khỏe là quan trọng và nhạy cảm, chúng trở thành mục tiêu dễ dàng cho các cuộc tấn công ransomware. Thường thì các tổ chức này thấy việc trả tiền chuộc có lợi hơn là đối mặt với khả năng mất dữ liệu hoặc gián đoạn. Thông tin bí mật được lưu trữ trong hệ thống của họ quá quý giá để mất. Ransomware độc hại được sử dụng để xâm nhập bảo mật của Bệnh viện DCH đã được một nhân viên vô tình tạo điều kiện bằng cách mở một email lừa đảo chứa tệp đính kèm bị nhiễm. Điều này cho phép phần mềm độc hại truy cập và sau đó lây nhiễm vào mạng máy tính của họ.

5 bước để ngăn chặn trở thành nạn nhân của ransomware

1. Đào tạo nhân viên của bạn về các mối đe dọa an ninh mạng.

Để bảo vệ bản thân khỏi các cuộc tấn công mạng và có thể nhận diện sự xuất hiện của chúng tại nơi làm việc, chúng ta phải thừa nhận trách nhiệm cá nhân của mình đối với an ninh mạng. Mỗi nhân viên nên nhận được đào tạo chuyên biệt về việc nhận diện và ngăn chặn các mối đe dọa không gian mạng. Nhưng cuối cùng, mỗi cá nhân phải tự mình đánh giá các rủi ro tiềm ẩn trong cuộc sống hàng ngày của mình. Sự cố tại Bệnh viện DCH là một ví dụ quan trọng về giá trị của việc có hiểu biết cá nhân về an ninh mạng.

The company must inform the employee of the potential risks of opening email attachments from unknown senders, particularly in a work environment. When in doubt, it’s always best to consult someone with experience before opening any messages, links or attachments. Many businesses have an in-house IT department that will take any reports concerning a phishing attempt to confirm if it is legitimate to the employee. If the message comes from a reliable source like your bank account provider or acquaintances you know personally, contact them directly and confirm that they sent the message and its contents before clicking on any links provided. This way, you can protect yourself from potential cyber-attacks.

2. Sao lưu tệp của bạn.

If you’re ever targeted by ransomware or have some data lost in an attack and don’t want to pay the ransom, having a secure backup of your most valuable information is essential.

Để giảm thiểu hậu quả của một cuộc tấn công độc hại, Bệnh viện DCH nên thực hiện các biện pháp phòng ngừa và sao lưu các tệp quan trọng của họ trước khi sự cố xảy ra. Một bản sao lưu sẽ cho phép họ tiếp tục hoạt động mà không bị gián đoạn do ransomware.

3. Giữ phần mềm của bạn được cập nhật.

Tội phạm mạng thường xuyên lợi dụng các điểm yếu hiện có để đưa phần mềm độc hại vào thiết bị hoặc hệ thống. Các lỗ hổng bảo mật chưa được vá, hoặc zero-day, có thể rất nguy hiểm vì chúng hoặc chưa được biết đến trong ngành an toàn kỹ thuật số hoặc đã được xác định nhưng chưa được giải quyết. Một số nhóm ransomware đã được quan sát mua thông tin tình báo về các lỗ hổng zero-day từ tội phạm mạng, mà họ sử dụng cho các hoạt động độc hại của mình. Cũng được biết rằng hacker có thể sử dụng các lỗ hổng bảo mật đã được vá để xâm nhập hệ thống và thực hiện các cuộc tấn công. 

Điều cần thiết là áp dụng các bản vá thường xuyên để bảo vệ chống lại các cuộc tấn công ransomware nhắm vào các lỗ hổng phần mềm và hệ điều hành.

4. Cài đặt và cập nhật các công cụ an ninh mạng

It’s essential to upgrade cybersecurity tools – anti-malware and antivirus software, firewalls, secure web gateways, as well as enterprise solutions such as endpoint detection and response (EDR), extended detection and response (XDR), which can help security teams detect malicious activity in real-time.

5. Thực hiện các chính sách kiểm soát truy cập

Các tổ chức nên triển khai xác thực đa yếu tố, kiến trúc không tin tưởng, phân đoạn mạng và các biện pháp bảo vệ liên quan để bảo vệ dữ liệu dễ bị tổn thương và ngăn chặn sâu mã hóa di chuyển đến các máy khác trong mạng.

Ransomware cũng nhắm mục tiêu vào cá nhân.

Generally, ransomware stories focus on the aftermath of corporate or healthcare system hacks; however, it is essential to recognize that individuals are not immune from these attacks. In fact, they occur more often than you may think. Individuals must be aware of ransomware’s genuine danger when using the internet, as it could risk their safety and security.

Tội phạm mạng sử dụng hai phương pháp chính khi triển khai ransomware: mã hóa và khóa màn hình.

Ransomware mã hóa

Tội phạm mạng chủ yếu nhắm mục tiêu vào các tệp cụ thể được lưu trữ cục bộ trên thiết bị thông qua ransomware mã hóa. Để chọn ra các tài liệu này, kẻ tấn công sử dụng các thủ đoạn lừa đảo hoặc các hình thức phần mềm độc hại khác để điều tra mục tiêu của họ. Khi các tệp đã được mã hóa, nạn nhân sẽ bị yêu cầu trả tiền chuộc để nhận khóa giải mã cần thiết để truy cập dữ liệu của họ. Hacker thường sử dụng chiến lược này để truy cập thông tin bí mật hoặc nhạy cảm mà các công ty đang cố gắng bảo vệ. Cách tiếp cận này đã trở nên phổ biến trong số các bên độc hại, làm cho các doanh nghiệp và tổ chức trở thành mục tiêu phổ biến.

Ransomware khóa màn hình

Conversely, lock screen ransomware encrypts specific files and renders a user’s device completely inoperable. Locking-screen ransomware will lock up your device and display a full-screen message that is unmovable and unminimizable. You’ll be asked to pay a ransom to unlock the system or retrieve lost data or files.

These programs often employ fear tactics to pressure you into making payments, such as a ticking clock that warns it will delete all your files if time runs out. Cyber attackers often attempt to intimidate individuals by fabricating stories about their devices being linked with illegal activities or inappropriate material and threatening to report them to the authorities if the victim doesn’t pay. To further coerce victims into paying the ransom, some ransomware developers leverage pornographic imagery and threaten that the victim cannot remove it without payment.

Cuối cùng

Thực hiện các biện pháp an ninh mạng hiệu quả, chẳng hạn như thường xuyên cập nhật phần mềm và công cụ bảo mật của bạn, thực thi các chính sách kiểm soát truy cập và nhận thức về các chiến thuật khác nhau được sử dụng bởi các chương trình độc hại này để bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công ransomware. Ngoài ra, các cá nhân nên thực hiện các bước chủ động để bảo vệ thiết bị của họ khỏi các cuộc tấn công ransomware – bao gồm cẩn thận khi mở email hoặc nhấp vào liên kết từ các nguồn không rõ. Với nhận thức và thực hành thận trọng, tất cả chúng ta có thể giúp giảm thiểu mối đe dọa của ransomware trong thế giới kỹ thuật số của chúng ta.