Năm 2017 là một năm bùng nổ của mã độc mã hoá dữ liệu đòi tiền chuộc (Ransomware) thì đến nay, các cuộc tấn công của ransomware đã tăng hơn 400% trong năm qua, trong khi số lượng các họ và biến thể của nó đã tăng đến 62%.
Ransomware không biến mất mà nó đang nhắm mục tiêu vào doanh nghiệp
WannaCry dễ lây lan, và nó sẽ tiếp tục tìm cách phát tán tiếp tục trừ khi mọi lây nhiễm đơn lẻ được loại trừ. Như trường hợp mã độc Conficker vẫn còn được phát hiện sau 10 năm kể từ lần đầu tiên bị phát hiện. Mặc dù lỗ hổng "WannaCry" trong Windows đã có bản vá bởi Microsoft, nhưng tỷ lệ biến thể phần mềm độc hại gia tăng trên toàn thế giới cho thấy không thiếu các máy vẫn dễ bị xâm nhập.
Trong các nghiên cứu mới nhất, các chuyên gia bảo mật nhận thấy tội phạm mạng đã thay đổi chiến thuật cho mã độc ransomware, chuyển hướng đòi tiền chuộc bằng tiền kỹ thuật số (thường là Bitcoin) sang phân phối phần mềm độc hại "đào tiền điện tử" để ăn cắp tài nguyên vận hành của CPU máy tính người dùng, và âm thầm kiếm tiền từ đó. Các thức này ít thu hút sự chú ý hơn là ransomware, và có thể sinh lợi nếu tiền kỹ thuật số tăng giá trị.
Tuy nhiên, đáng lưu ý, có một xu hướng dịch chuyển từ các ransomware được phát tán hàng loạt (nhắm đến máy tính gia đình hơn máy tính của công ty) sang các cuộc tấn công nhắm mục tiêu vào các doanh nghiệp. Điều này xảy ra thứ nhất là vì người dùng đã có ý thức về ransomware và đã sử dụng nhiều biện pháp phòng ngừa cũng như sao lưu dữ liệu. Thứ hai, phương pháp lan truyền thông qua các cổng SMB có nghĩa là WannaCry tập trung chủ yếu vào các doanh nghiệp. Điều này chứng minh rằng tội phạm có thể tập trung vào chất lượng hơn là số lượng các mục tiêu với hy vọng nhận được lợi nhuận tốt hơn.
Ransomware không biến mất mà nó đang nhắm mục tiêu vào doanh nghiệp. Các chiến dịch gửi thư rác khổng lồ đang được thay thế bằng các cuộc tấn công nhắm mục tiêu, đôi khi sử dụng các phần mềm ransomware ít được biết đến hơn. Ví dụ như vào tháng 6 năm 2017, một công ty lưu trữ web của Hàn Quốc đã trả một khoản tiền chuộc một triệu đôla cho bọn tội phạm mạng sau khi trở thành nạn nhân của một biến thể Linux của ransomware Erebus.
Số tiền thanh toán trung bình thấp hơn rất nhiều so với mức này, thường dao động từ 150 USD cho Jigsaw và 1900 USD cho Cryptomix. Tất nhiên là cho mỗi giải mã. Một người dùng gia đình giả sử bị tống tiền, cần 400 đô la để giải mã một máy tính bị nhiễm Shade, trong khi đó một doanh nghiệp nhỏ với 100 máy tính cần giải mã sẽ bị tính 40.000 đô la.
SamSam là một ví dụ về thay đổi trạng thái của ransomware. Nhóm SamSam thường sẽ xâm nhập một mạng công ty trước khi phân phối ransomware và mã hóa các tập tin. Điều này giúp tội phạm hiểu được môi trường, tìm hiểu những gì cần mã hóa cho hiệu quả tối đa, và có khả năng phá vỡ bất kỳ khả năng sao lưu và phục hồi nào. Điều này có vẻ đã xảy ra trong năm nay tại Hancock Health. Hancock Health quyết định trả tiền chuộc cho SamSam mặc dù họ nghĩ có thể đã phục hồi các tập tin từ bản sao lưu. Một vài ngày sau đó, CEO Steve Long thừa nhận, "mặc dù các tập tin sao lưu y tế điện tử đã không bị đụng chạm đến, nhưng các thành phần cốt lõi của các tập tin sao lưu từ tất cả các hệ thống khác đã bị các tin tặc tấn công và phá huỷ vĩnh viễn."
Một thành phố ở Atlanta cũng bị SamSam tấn công cho đến nay. Thành phố này quyết định không trả tiền chuộc (hơn 51,000 USD); nhưng cho đến nay đã bị buộc phải chi khoảng 3 triệu đô la cho chi phí phục hồi.
Tội phạm mạng nhanh chóng thích nghi với điều kiện và cơ hội mới; nhưng sẽ luôn đi đến nơi chúng có thể đạt được thu nhập tối đa từ nỗ lực tối thiểu. Vì thế, các doanh nghiệp cần trang bị những kiến thức cũng như các phương pháp để ngăn ngừa những rủi ro đến từ mối đe doạ này. Giải pháp bảo mật Kaspersky Endpoint Security for Business với những tính năng nâng cao sẽ giúp bảo vệ dữ liệu cho doanh nghiệp. Ngoài ra, các doanh nghiệp còn có thể sử dụng Kaspersky Anti-Ransomware Tool for Business, công cụ miễn phí này sẽ giúp phát hiện và loại trừ các loại Ransomware nguy hiểm hiện nay.
Thêm bình luận