Chỉ trong nửa đầu năm 2022, số lượng các biến thể mã độc tống tiền (ransomware) mới do Fortinet xác định được đã tăng gần 100% so với khoảng thời gian sáu tháng trước đó. Đội ngũ nghiên cứu an ninh mạng và mối đe dọa toàn cầu của FortiGuard Labs đã ghi nhận 10.666 biến thể mã độc tống tiền mới trong 6 tháng đầu năm 2022 so với con số 5.400 biến thể trong nửa cuối năm 2021.
Sự gia tăng đột biến các biến thể mã độc tống tiền mới này chủ yếu là do ngày càng nhiều kẻ tấn công lợi dụng phương thức RaaS trên web đen (Ransomware-as-a-Service – dùng dịch vụ mã độc tống tiền).
 |
| Cách thức tấn công của Ransomware. |
Ransomware ngày càng trở nên tinh vi hơn, đòi tiền chuộc nhiều hơn, ảnh hưởng đến các công ty trong mọi ngành nghề ở mọi khu vực địa lý. Các cuộc tấn công mã độc tống tiền nổi tiếng gần đây có thể kể đến như Colonial Pipeline, JBS, và vô số các sự cố mã độc tống tiền khác xảy ra mà không được đưa lên truyền thông.
Tuy nhiên, nhiều cuộc tấn công hoàn có thể được ngăn chặn bằng cách áp dụng các giải pháp an ninh mạng mạnh, bao gồm việc liên tục đào tạo nâng cao nhận thức an ninh mạng cho nhân viên, đồng thời tập trung vào triển khai cách thức ZTNA (Zero Trust Networking Access) và bảo mật endpoint.
Việc phát hiện mã độc tống tiền hiệu quả đòi hỏi sự kết hợp giữa đào tạo và công nghệ. Chuyên gia bảo mật Aamir Lakhani của Fortinet đưa ra khuyến nghị những phương thức giúp phát hiện và ngăn chặn sự phát triển của các cuộc tấn công mã độc tống tiền hữu hiệu nhất hiện nay.
Hướng dẫn cho nhân viên về các dấu hiệu nổi bật của mã độc tống tiền: Việc đào tạo nâng cao nhận thức về bảo mật cho lực lượng lao động ngày nay là điều bắt buộc và sẽ giúp các tổ chức phòng thủ chống lại một loạt các mối đe dọa ngày càng phát triển. Hướng dẫn nhân viên cách phát hiện các dấu hiệu của mã độc tống tiền, chẳng hạn như email được thiết kế giống như email đến từ các doanh nghiệp đáng tin cậy hay cách nhận diện liên kết bên ngoài và tệp đính kèm đáng ngờ.
Dùng mánh khóe dụ dỗ và ngăn chặn những kẻ tấn công: Honeypot là một mồi nhử bao gồm các kho lưu trữ giả mạo các tệp được thiết kế để trông giống như các mục tiêu hấp dẫn đối với những kẻ tấn công. Có thể phát hiện và ngăn chặn cuộc tấn công khi tin tặc đòi tiền chuộc tấn công Honeypot.
Công nghệ lừa đảo qua mạng như thế này không chỉ sử dụng các kỹ thuật và chiến thuật riêng của chính mã độc tống tiền chống lại chính nó để kích hoạt khả năng phát hiện, mà còn khám phá ra các chiến thuật, công cụ và quy trình (TTP) kẻ tấn công sử dụng trong mạng để nhóm chuyên trách bảo mật có thể xác định và khắc phục những lỗ hổng bảo mật đó.
Giám sát mạng và các thiết bị đầu cuối: Bằng cách tiến hành giám sát mạng liên tục, có thể ghi lại lưu lượng truy cập đến và đi, quét file để tìm bằng chứng tấn công (chẳng hạn như việc sửa đổi không thành công), thiết lập đường cơ sở cho hoạt động được chấp nhận của người dùng, và sau đó điều tra mọi dấu hiệu bất thường.
Việc triển khai các công cụ chống virus và chống mã độc tống tiền cũng rất hữu ích vì có thể sử dụng các công nghệ này để đưa vào danh sách trắng các trang web được chấp nhận. Cuối cùng, việc bổ sung các tính năng phát hiện dựa trên hành vi vào hộp công cụ bảo mật là điều cần thiết, đặc biệt khi bề mặt tấn công của tổ chức ngày càng mở rộng và những kẻ tấn công liên tục nâng cao khả năng bằng các cuộc tấn công mới, phức tạp hơn.
Nhìn ra bên ngoài tổ chức: Hãy xem xét việc nhìn ra bên ngoài mạng lưới để tìm hiểu những nguy cơ rủi ro đối với một tổ chức. Dịch vụ DRP, một phần mở rộng của kiến trúc bảo mật, có thể giúp tổ chức nhìn thấy và giảm thiểu ba lĩnh vực rủi ro bổ sung: rủi ro tài sản kỹ thuật số, rủi ro liên quan đến thương hiệu, các mối đe dọa ngầm và các mối đe dọa tiềm ẩn sắp xảy ra.
Tăng cường SOC-as-a-service (dịch vụ đảm bảo an toàn thông tin trên nền tảng website giúp người dùng dễ dàng theo dõi tình hình an ninh mạng bên trong hệ thống theo thời gian thực) cho tổ chức nếu cần: Thực tế hiện tại qua toàn cảnh mối đe dọa, xét cả về tốc độ và mức độ tinh vi, chúng ta hiểu rằng cần nỗ lực hơn để luôn đi trước những kẻ tấn công.
Cụ thể, làm việc thông minh hơn, ví dụ như thuê ngoài các nhiệm vụ, công việc cụ thể như ứng phó với sự cố và săn lùng mối đe dọa. Đây là lý do tại sao việc dựa vào nhà cung cấp dịch vụ Phát hiện và phản hồi được quản lý (MDR) hoặc cung cấp dịch vụ SOC rất hữu ích. Tăng cường năng lực cho tổ chức theo cách này có thể giúp đơn giản hóa quy trình công việc, giải phóng các nhà phân tích để họ có thể tập trung vào các nhiệm vụ nghiên cứu quan trọng nhất.
Ngọc Hải
Nguồn:
