Theo các nhà nghiên cứu an ninh mạng, nhiều băng đảng tội phạm đang thực hiện Ransomware theo mô hình dịch vụ, biến mã độc thành món hàng hóa béo bở.
Ransomware theo mô hình dịch vụ: mối đe dọa mới
Số liệu từ Kaspersky cho thấy, 71% các sự cố an ninh mạng được phát hiện có liên quan đến vấn đề tài chính. Đặc biệt, các cuộc tấn công ransomware đã gia tăng đáng kể, khiến tỷ lệ người dùng bị ảnh hưởng bởi các cuộc tấn công an ninh mạng gần như tăng gấp đôi trong giai đoạn 2021-2022.
Trong bối cảnh các đối tượng tấn công, công nghệ và mối đe dọa mới liên tục xuất hiện, ngay cả việc mở một email bất kỳ cũng tiềm ẩn nhiều rủi ro khó lường...
Ông Igor Kuznetsov - Giám đốc Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky - cho biết: “Hiện có ba lầm tưởng phổ biến về ransomware. Lầm tưởng đầu tiên cho rằng tội phạm mạng chỉ là những kẻ có kiến thức về CNTT, lầm tưởng thứ hai cho rằng các mục tiêu của ransomware được xác định trước khi tấn công, và cuối cùng là lầm tưởng tội phạm ransomware thường hành động cùng nhau.” Trên thực tế, phần lớn các cuộc tấn công mạng đều diễn ra khi kẻ xấu có cơ hội thuận lợi, chứ không phải được lên kế hoạch trước. Nhiều băng đảng tội phạm ransomware hoạt động theo mô hình kinh doanh, thực hiện ransomware dưới dạng dịch vụ (RaaS).
Ransomware theo mô hình dịch vụ là một quy trình tinh vi, bắt đầu bằng việc nhà phát triển ransomware và nhà phát triển packer đóng gói phần mềm độc hại, sau đó tiếp thị phần mềm này cho các tội phạm mạng khác.
Cấu thành nên hệ sinh thái ransomware là các đối tượng tấn công chuyên biệt khác nhau, bao gồm: Người bán quyền truy cập; Nhà phân tích; Cuộc tấn công mạng có chủ đích (APT) được tài trợ...
Trong một số trường hợp, các hoạt động tấn công này có thể bao gồm cả chiến thuật xâm nhập (tương tự như các cuộc tấn công giả định do đội ngũ Red Team thực hiện) để triển khai ransomware một cách hiệu quả. Phương thức tiếp cận theo hình thức hợp tác này giúp tội phạm mạng tận dụng tối đa chuyên môn, khiến các cuộc tấn công ransomware trở nên tinh vi hơn, khó phát hiện và khó phòng thủ hơn. Đồng thời, cách này cũng giúp đảm bảo từng giai đoạn của quy trình - từ xâm nhập đến rửa tiền - đều được xử lý bởi chuyên gia.
Ông Igor cảnh báo: "Các tổ chức bị ảnh hưởng không nên trả tiền chuộc, vì việc đó sẽ tiếp tay cho nhiều tội phạm mạng khác. Ngay cả khi đã trả tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ hoàn trả dữ liệu. Thực tế, dữ liệu có thể đã bị sao chép và phát tán, hoặc được sử dụng để thực hiện các cuộc tấn công tống tiền tiếp theo".
Theo ông này, giải pháp thay thế là nạn nhân có thể khôi phục dữ liệu mà không cần trả tiền, nhờ dịch vụ của Kaspersky. Hiện hãng đã và đang cung cấp các công cụ và khóa giải mã miễn phí cho nhiều loại ransomware.
"Kể từ năm 2018, hơn 1,5 triệu người dùng trên toàn thế giới đã khôi phục dữ liệu thành công nhờ sử dụng các tài nguyên này", Igor cho biết.
Hệ thống Container Hóa – Tuân thủ các quy tắc để giảm thiểu rủi ro
Các cuộc tấn công chuỗi cung ứng, đặc biệt nhắm vào các hệ thống container hóa chạy trên phần mềm nguồn mở, đang trở thành một mối đe dọa đáng lưu tâm trong năm 2024. Những hệ thống được lưu trữ trên đám mây cho phép các dịch vụ hoạt động độc lập với hệ điều hành máy chủ, mở rộng khả năng chạy trong nhiều môi trường khác nhau.
Hệ thống container hóa thường phụ thuộc nhiều vào bên thứ ba. Điều này khiến hệ thống trở nên “mong manh”, dễ gặp bất trắc trước các rủi ro trong chuỗi cung ứng bao gồm các lỗi bảo mật không mong muốn và có chủ đích. Minh họa cho điều này, ông Igor đã đưa ra hai ví dụ điển hình: Sự cố của Crowdstrike và cuộc tấn công vào các tiện ích XZ của Linux.
Hiện nay, có hàng trăm triệu gói mã nguồn mở có sẵn trên các nền tảng như GitHub, phục vụ hơn 100 triệu nhà phát triển. Trung bình mỗi tháng, có tới 670 gói mã nguồn mở chứa mã độc được phát hiện. Đến nay, đã phát hiện hơn 12.000 gói mã nguồn mở có lỗ hổng bảo mật.
Các chuyên gia khuyến nghị, cần thiết lập các chính sách bảo mật nghiêm ngặt cho hệ thống container hóa, bằng cách kiểm soát chặt chẽ các hình ảnh, đảm bảo không chứa nội dung dễ bị tấn công hoặc không đáng tin cậy, quản lý kho hình ảnh để tránh các cài đặt lỗi thời hoặc cấu hình sai, và yêu cầu bộ điều phối áp dụng các chính sách bảo mật nghiêm ngặt về kiểm soát truy cập vào mạng lưới, loại bỏ hoàn toàn các lỗi cấu hình và xác thực. Đồng thời, đảm bảo các container được cấu hình an toàn và hệ điều hành máy chủ quản lý các lõi kernel được chia sẻ một cách có trách nhiệm để giảm thiểu phạm vi tấn công.
Các quy tắc bảo mật chặt chẽ hơn cho hệ thống container hóa nên được áp dụng. Bên cạnh đó, việc tích hợp một giải pháp bảo mật đa lớp như Kaspersky Security Container cùng với một chính sách bảo mật toàn diện là điều vô cùng cần thiết.
Các chuyên gia của Kaspersky khuyến nghị thực hiện các biện pháp tối ưu việc bảo mật:• Thường xuyên cập nhật hệ điều hành, phần mềm ứng dụng và giải pháp bảo mật để vá các lỗ hổng bảo mật mới nhất. • Cung cấp cho đội ngũ SOC quyền truy cập vào Kaspersky Threat Intelligence Portal để cập nhật liên tục các thông tin về các cuộc tấn công mạng mới nhất. Cổng thông tin này cung cấp dữ liệu và thông tin chi tiết về các cuộc tấn công mạng được Kaspersky thu thập trong hơn 20 năm. • Nâng cao năng lực chuyên môn cho đội ngũ an ninh mạng thông qua các khóa đào tạo trực tuyến của Kaspersky do các chuyên gia GReAT phát triển để đối phó hiệu quả với các cuộc tấn công mới nhất. • Triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response để phát hiện, điều tra và khắc phục kịp thời các sự cố ở thiết bị đầu cuối. • Điều tra các cảnh báo và mối đe dọa được xác định bởi các biện pháp kiểm soát an ninh bằng Kaspersky's Incident Response và Digital Forensics của Kaspersky để có cái nhìn sâu hơn. |