Ramsomware tiếp tục là một trong những mối đe dọa lớn nhất trên Internet. Nhấp chuột vào liên kết giả mạo có thể tạo ra một chuỗi các sự kiện kết thúc với việc tất cả dữ liệu của bạn bị tin tặc mã hóa. Chúng sẽ chỉ mở khóa khi có một khoản tiền chuộc khổng lồ - thường là bằng bitcoin hoặc một loại tiền điện tử khó theo dõi khác.
Các tổ chức phát tán ransomware sử dụng các chiến thuật lây nhiễm ngày càng tinh vi. Chúng không chỉ quan tâm đến việc mã hóa dữ liệu từng chiếc PC đơn lẻ, mà tìm kiếm các “cửa hậu” (backdoor) để thâm nhập mạng lưới TC/DN và sau đó sẵn sàng gây ra sự hỗn loạn tối đa (để đòi số tiền tiền chuộc lớn) bằng cách mã hóa dữ liệu trên càng nhiều thiết bị càng tốt và tập trung vào các tổ chức có khả năng thanh toán cao để phục hồi dữ liệu (còn được gọi là ‘ransomware nhắm mục tiêu’).
Ngoài phần mềm ransomware được nhắm mục tiêu, không thể tránh khỏi tội phạm mạng cũng sẽ cố gắng đa dạng hóa các cuộc tấn công của chúng đến các loại thiết bị khác ngoài PC hoặc máy chủ gồm các sản phẩm tiêu dùng, như: TV thông minh, đồng hồ thông minh, xe hơi / nhà / thành phố thông minh. Khi nhiều thiết bị kết nối với internet, tội phạm mạng cũng sẽ tìm cách kiếm tiền để truy cập vào các thiết bị này. Thật không may, Ransomware là công cụ hiệu quả nhất để trích lợi nhuận tài chính từ các nạn nhân.
Những gì chúng ta đang thấy là một cuộc chạy đua vũ trang giữa những tin tặc đang tìm kiếm những cách thức mới để xâm nhập vào các hệ thống và các TC/DN đang cố gắng lấp đầy mọi khoảng trống trong phòng thủ mã độc tống tiền. Bài viết giới thiệu một số cách để phòng chống Ramsomware:
1. Cập nhật bản vá các lỗ hổng phần mềm cho hệ thống
Vá các lỗ hổng phần mềm là một bước rất quan trọng. Các tổ chức phát tán phần mềm độc hại sẽ tận dụng bất kỳ lỗ hổng phần mềm nào và cố gắng sử dụng chúng như một cách thâm nhập vào mạng trước khi các DN có thời gian để kiểm tra và triển khai các bản vá. WannaCry là một ví dụ kinh điển về hậu quả xảy ra khi bạn không thực hiện vá các lỗ hổng phần mềm kịp.
WannaCry đã gây ra sự hỗn loạn vào mùa hè năm 2017, làm đình trệ tổ chức y tế NHS ở Anh. Bản vá lỗ hổng bảo mật cho phép WannaCry lây lan được phát hành vài tháng trước khi ransomware tấn công. Nhưng các tổ chức đã không cập nhật bản sửa lỗi cho cơ sở hạ tầng của họ và hơn 300.000 PC đã bị lây nhiễm.
Đây là một bài học mà nhiều tổ chức phải rút kinh nghiệm. Theo khảo sát của công ty bảo mật Tripwire, một trong ba chuyên gia CNTT thừa nhận rằng tổ chức của họ đã bị xâm phạm do lỗ hổng chưa được vá.
2. Thay đổi mật khẩu mặc định
Nhấp vào một liên kết độc hại trong email có lẽ là cách bị nhiễm phần mềm độc hại được biết đến nhiều nhất, nhưng đó chưa phải là cách duy nhất.
Theo một nghiên cứu của F-Secure, gần 1/3 ransomware đã được phát tán thông qua các cuộc tấn công giao thức truy cập máy tính từ xa (RDP- Remote Desktop Protocol) và tấn công vét cạn. Tấn công mật khẩu vét cạn được thực hiện bằng cách thử tất cả các khả năng đoán mật khẩu để truy cập vào máy chủ và các thiết bị khác, thường là với sự trợ giúp của các bot (chương trình tự động), với hy vọng tìm ra mật khẩu đang sử dụng.
Vì nhiều công ty không thay đổi mật khẩu mặc định hoặc sử dụng các kết hợp dễ đoán, các cuộc tấn công vét cạn mang lại hiệu quả cao. RDP cho phép điều khiển máy tính từ xa và là một con đường mà ransomware thường hay khai thác. Có những bước bạn cần thực hiện để giảm nguy cơ bị tấn công thông qua RDP, từ việc đảm bảo sử dụng mật khẩu mạnh, đến thay đổi cổng RDP.
3. Đào tạo và hướng dẫn nhân viên nhận diện được các thư điện tử độc hại
Một trong những cách truyền thống để ransomware xâm nhập vào TC/DN của người dùng là qua email. Thực tế, việc phát tán phần mềm độc hại đến hàng ngàn địa chỉ email tốn ít chi phí nhất và dễ dàng để các băng đảng ransomware thử và phát tán phần mềm độc hại. Mặc dù thủ thuật này cơ bản là cũ nhưng vẫn hiệu quả.
Đào tạo đội ngũ nhân viên để họ nhận ra các email đáng ngờ có thể giúp bảo vệ chống lại ransomware và các rủi ro do email khác như lừa đảo. Nguyên tắc cơ bản là: không mở email từ người gửi mà bạn không quen biết; Không nhấp vào các liên kết trong email nếu bạn không chắc chắn đó là hợp pháp; Tránh các tệp đính kèm bất cứ khi nào có thể và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là cách truyền dẫn đến nhiễm phần mềm độc hại; Xem xét sử dụng xác thực hai yếu tố như một lớp bảo mật bổ sung.
4. Gây trở ngại cho việc phát tán ransomeware
Các băng đảng ransomware đang ngày càng tìm kiếm nhiều cách thu lời nhất có thể. Khoản tiền thu được từ những vụ tống tiền mã hóa dữ liệu trên PC không còn đủ hấp dẫn, vì vậy chúng có thể đang cố gắng truy cập vào mạng và mở rộng hơn phạm vi phát tán phần mềm độc hại trước khi kích hoạt và mã hóa mọi thứ.
Làm cho điều này trở nên khó khăn hơn bằng cách phân mảnh các mạng đồng thời giới hạn, bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng. Các cuộc tấn công lừa đảo thường nhắm đến các nhà phát triển hệ thống (developers) đơn giản vì họ có quyền truy cập ở phạm vi rộng trên nhiều hệ thống.
5. Nắm rõ những gì kết nối đến máy tính
PC và máy chủ có thể là nơi lưu trữ dữ liệu của bạn, nhưng chúng không phải là thiết bị duy nhất bạn phải lo lắng.
Nhờ có mạng WiFi văn phòng, Internet vạn vật và cơ chế làm việc tại nhà, giờ đây có rất nhiều thiết bị kết nối với mạng công ty, nhiều thiết bị sẽ thiếu tính năng bảo mật sẵn mà bạn mong đợi từ một thiết bị của công ty.
Càng nhiều thiết bị kết nối, nguy cơ “cửa hậu” càng cao cho tin tặc xâm nhập vào mạng của bạn và sau đó tin tặc sử dụng quyền truy cập đó để di chuyển qua hệ thống của bạn đến các mục tiêu sinh lợi hơn so với máy in được bảo mật kém hoặc máy bán hàng tự động thông minh.
6. Xác định dữ liệu quan trọng và lập chiến lược dự phòng hiệu quả
Có các bản sao lưu an toàn và cập nhật tất cả các thông tin quan trọng là một biện pháp bảo vệ quan trọng, đặc biệt là chống lại ransomware. Trong trường hợp ransomware tấn công một số thiết bị, có bản sao lưu gần nhất có nghĩa là bạn có thể khôi phục dữ liệu đó và hoạt động trở lại nhanh chóng.
7. Cân nhắc kỹ lưỡng trước khi trả tiền chuộc
Kẻ tấn công bằng ransomware đã tìm thấy cách vượt hệ thống phòng thủ của bạn và bây giờ mọi PC trên toàn DN đều bị mã hóa. Bạn có thể khôi phục từ bản sao lưu, nhưng sẽ mất nhiều ngày và bọn tội phạm đòi vài nghìn đô la. Vậy phản ứng của bạn là gì?
Mọi thứ bạn cần biết về ransomware là: nó đã khởi động như thế nào, tại sao nó lại bùng phát, làm thế nào để bảo vệ chống lại ransomeware và phải làm gì nếu PC của bạn bị lây nhiễm.
Đối với một số người, đó có thể là kết luận rõ ràng. Nếu những kẻ tấn công chỉ muốn một số tiền tương đối nhỏ thì trong thời gian ngắn, nó có thể buộc DN phải chi trả vì điều đó có nghĩa là DN có thể nhanh chóng hoạt động trở lại. Tuy nhiên, có những lý do tại sao bạn cần cân nhắc khi trả tiền chuộc vì.
Trước tiên, không có gì đảm bảo rằng người dùng sẽ có quyền truy cập vào dữ liệu/thiết bị của mình và máy tính của họ vẫn sẽ bị nhiễm mã độc trừ khi biết cách quét mã độc và làm sạch trên phạm vi rộng. Nếu tổ chức của bạn muốn trả tiền chuộc, điều đó có thể sẽ khuyến khích nhiều cuộc tấn công hơn.
Trả tiền chuộc, từ tiền của người sử dụng hoặc thông qua bảo hiểm an ninh mạng, là thưởng cho các băng đảng này vì hành vi của chúng. Điều đó có nghĩa là chúng thậm chí còn được tài trợ tốt hơn và có thể chạy các chiến dịch tinh vi hơn chống lại bạn hoặc các tổ chức khác. Nó có thể giúp bạn giảm bớt tổn thất trong thời gian ngắn, nhưng trả tiền chuộc chỉ làm tăng thêm dịch bệnh ransomware.
8. Lập kế hoạch ứng phó khi xảy ra tấn công ransomeware
Một kế hoạch phục hồi phải đề cập đến tất cả các kiểu thảm họa công nghệ phải nên trở thành một phần tiêu chuẩn của kế hoạch kinh doanh và nên bao gồm phần ứng phó ransomware. Đó không chỉ là ứng phó về kỹ thuật - làm sạch PC và cài đặt lại dữ liệu từ các bản sao lưu - mà còn là phải phản ứng kinh doanh rộng hơn cần thiết.
Những điều cần xem xét bao gồm việc giải trình tình hình cho khách hàng, nhà cung ứng và báo chí. Xem xét liệu các cơ quan quản lý cần phải được thông báo, hoặc nếu bạn nên gọi cảnh sát hoặc công ty bảo hiểm. Có một tài liệu là chưa đủ: bạn cũng cần kiểm tra các giả định bạn đã đưa ra, bởi vì một số trong số chúng sẽ sai.
9. Quét và lọc các thư điện tử trước khi gửi đi
Cách dễ nhất để ngăn nhân viên nhấp vào một liên kết ransomware trong một email là email này không bao giờ đến hộp thư của họ. Điều này có nghĩa là sử dụng chức năng quét nội dung và lọc email, phải xử lý nhiều vụ lừa đảo và lừa đảo ransomware trước khi chúng đến được hộp thư tay nhân viên.
Mặc dù các dịch vụ email làm việc rất tốt nhưng hầu như không thể ngăn cản được các cuộc tấn công của các phần mềm độc hại và phishing. Do đó, giải pháp dùng đến các phần mềm Email Client được xem là “cứu cánh” cho người dùng.
10. Hiểu điều gì đang diễn ra trên hệ thống mạng
Có một danh sách các công cụ bảo mật liên quan - từ các hệ thống phát hiện và ngăn chặn xâm nhập đến các gói thông tin bảo mật và quản lý sự kiện (SIEM) - có thể cho phép bạn biết lưu lượng truy cập trên mạng lưới.
Các sản phẩm này có thể giúp bạn cập nhật thông tin về mạng lưới và sẽ giúp phát hiện ra các dấu hiệu bất thường, từ đó xác định khả năng bị tin tặc xâm phạm, cho dù chúng có ý định lây nhiễm hệ thống của bạn bằng ransomware hay gì khác. Nếu bạn không thể thấy những gì đang xảy ra trên mạng, thì không có cách nào có thể ngăn chặn một cuộc tấn công xảy ra.
Khi xây dựng hệ thống phòng thủ chống phần mềm độc hại, nên phát triển các biện pháp giảm thiểu trong ba lớp sau:
- Lớp 1: ngăn chặn mã độc được gửi đến thiết bị
- Lớp 2: ngăn chặn mã độc được thực thi trên thiết bị
- Lớp 3: tăng khả năng phục hồi chống lây lan và để cho phép phản ứng nhanh nếu xảy ra lây nhiễm.
11. Đảm bảo phần mềm chống virus được cập nhật
Nhiều gói phần mềm chống virus hiện nay cung cấp các tính năng phát hiện ransomware hoặc các tiện ích bổ sung nhằm phát hiện ra các hành vi đáng ngờ thường gặp ở tất cả các ransomware như là mã hóa tệp. Các ứng dụng này giám sát các tệp của bạn để biết các dấu hiệu bất thường và tiến hành ngăn chặn kịp thời- như việc một phần mềm lạ đang cố mã hóa tất cả chúng. Một số gói phần mềm bảo mật thậm chí sẽ tạo ra bản sao của các tệp có nguy cơ bị mã hóa bởi ransomware.
Hacker luôn cố gắng tạo ra những loại virus mới, vì thế những chương trình antivirus cần phải thường xuyên được cập nhật dữ liệu để có thể nhận diện được mã độc hiệu quả.
Bùi Đức Chính (Theo Zdnet)
08:00 | 11/06/2020
08:00 | 03/07/2019
13:00 | 12/09/2017
13:00 | 30/06/2020
10:00 | 22/01/2021
13:00 | 12/05/2021
08:00 | 28/06/2021
08:00 | 03/02/2021
08:43 | 24/06/2014
18:00 | 15/07/2021
12:00 | 29/05/2021
10:00 | 22/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024
