Cập nhật thông tin về Ransomware

1. Thông tin chung

Từ năm 2020 đến năm 2021 có hơn 130 dòng (họ) mã độc ransomware được phát hiện trên thế giới, ảnh hưởng đến rất nhiều quốc gia trong đó có Việt Nam cũng là một trong số những nước bị ảnh hưởng nhiều nhất trên thế giới.

Trong năm 2021, chúng ta đã biết có một sự kiện lớn liên quan đến Ransomware đó là hệ thống cung cấp dầu của Mỹ Colonial Pipeline bị tin tặc tấn công bằng hình thức mã độc tống tiền Ransomware. Thông thường chính phủ các nước sẽ không thoả hiệp và đàm phán với khủng bố, tuy nhiên với vụ tấn công này nước Mỹ và công ty Colonial Pipeline đã phải trả 4 triệu đô cho hacker để đổi lấy việc phục hồi hệ thống cho 18 bang bờ đông nước Mỹ,

Khi mã độc tấn công vào hệ thống thì đầu tiên dữ liệu sẽ bị mã hoá tiếp theo hacker sẽ gửi cảnh báo cho quý vị. Về mặt lý thuyết thì đã mã hoá thì có thể giải mã được. Tuy nhiên với công nghệ hiện tại thì việc giải mã là cực kỳ khó khi mà hacker cho thời gian rất ngắn để trả tiền chuộc nếu không thì dữ liệu sẽ bị khoá vĩnh viễn bị mất vĩnh viễn hoặc hacker lúc đó sẽ tăng tiền chuộc lên nhiều lần. Hacker luôn luôn đòi thanh toán bằng tiền số, cụ thể trong vụ Colonial Pipeline là Monero không lần theo dấu vết được với bitcoin thì có thể truy vết được.

(Cụ thể hơn, Monero là đồng Privacy Coin (coin ẩn danh) mang các đặc tính ẩn địa chỉ giao dịch của các bên tham gia, ẩn thông tin lượng tiền giao dịch, số dư tài khoản và không thể truy xuất lịch sử giao dịch và Vào tháng 9/2020, sở Thuế vụ Liên bang Mỹ (IRS) treo thưởng 625.000 USD cho bất cứ ai thiết kế được một công cụ có thể truy vết Monero. Nhiều công ty công nghệ của Mỹ đang âm thầm theo đuổi số tiền này theo Forbes đưa tin)

Để nói về mức độ nguy hiểm của mã độc tấn công tống tiền hiện nay thì điểm qua một chút về các loại mã độc hiện nay.

2. Ransomware 2.0

Ransomware ở phiên bản trước chỉ đơn giản là mã hoá và tống tiền nhưng ở phiên bản 2.0 này đã đưa lên các hình thức nghiêm trọng hơn như:

• Ransomware trước đây đơn thuần là một loại mã độc, nhưng với mã độc tống tiền hiện nay mà chúng tôi gọi là Ransomware 2.0 thì nó không chỉ là mã độc thông thường, đứng sau đó là cả một đội vận hành khai thác.
• Đánh cắp dữ liệu nhạy cảm: như ở vụ Colonial Pipeline, các chuyên gia cho rằng công ty đã bị double exploition, tức là tống tiền 2 lần. Lần đầu tiên là dữ liệu bị mã hoá, lần thứ 2 bị tốn tiền để không bị phát tán dữ liệu nhạy cảm.
• Các mã độc ransomware trước đây hiếm khi là tấn công có chủ đích, các hacker thường chỉ sử dụng chiến lước spray and pray tức là cứ phát tán ra và chờ các các nạn nhân dính phải và tự trả tiền. Đối với phiên bản mới thì là một phần của tấn công có chủ đích, tấn công vào các hệ thống trọng yếu.
• Ở ransomware cũ có cơ hội để giải mã hoặc khôi phục dữ liệu từ các bản sao lưu, nếu mã hoá yếu. Ở phiên bản mới không có cơ hội để phòng tránh các tổn thất do mã hoá với độ khó ngẫu nhiên cao trong thời gian ngắn.
• Ở ransomware phiên bản cũ thì tổn thất là mất dữ liệu, mất tiền hoặc cả hai. Nhưng ở phiên bản 2.0 thì khi bị phát tán dữ liệu nhạy cảm sẽ tổn thất về danh tiếng/thương hiệu, thậm chí nhiều loại ransomware còn để lại backdoor để khai thác về sau. Nếu không điều tra, xử lý sạch sẽ, triệt để thì nguy cơ bị khai thác nhiều lần.

Quay lại một chút tôi muốn chia sẻ về thực tế hiện nay : Chính là câu chuyện liên quan về nhận thức của nhiều cá nhân hoặc tổ chức sau khi bị tấn công mã độc như sau. Các cơ quan chủ quản sau khi nhận được trả lời về việc giải mã dữ liệu là không thể thì họ có trả lời là thế thì thôi, không lấy được thì chấp nhận, dữ liệu nào mất thì làm lại hoặc cũng không chết ai :D. Quan điểm của người làm công nghệ là thế nhưng chúng tôi thường khuyến cáo rằng không đơn giản như thế. Không chỉ mất dữ liệu mà nghiêm trọng hơn là hệ thống của các anh đã bị tấn công, đã có lỗ hổng ở đâu đó cho hacker xâm nhập. Phải làm đến nơi đến chốn, phải tìm ra nguyên nhân sâu xa vì sao họ bị tấn công, tấn công bằng hình thức gì và cách xử lý hệ thống ra sao. Điều nguy hiểm là hacker có để lại backdoor không?

Qua đó cũng thấy nhận thức của các cơ quan, bộ phận quản trị công nghệ thông tin về Ransomware nói riêng và mã độc nói chung còn hạn chế. Chưa hiểu rõ được các nguy cơ tiềm ẩn của Ransomware 2.0.

3. Mã độc REvil

Đây là mã độc được Trung tâm giám sát an ninh mạng phát hiện và cảnh báo từ 2019 đến nay. Đã ảnh hướng đến nhiều tổ chức tại Việt Nam

Điều đáng chú ý ở mã độc REvil này là :

1. Khởi đầu tin tặc phát tán ransomware này qua lỗ hổng Oracle Weblogic và thực hiện tấn công vào MSP.
2. Khai thác lỗ hổng CVE-2018-8453 và nâng cấp đặc quyền trong Windows, hiếm khi có trong các Ransomware trước đây. Cho thấy sự tiến hoá của mã độc tống tiền,
3. Sử dụng các chức năng hợp lệ trong bộ xử lý để qua mặt các giải pháp bảo mật.

Các quốc gia trên thế giới bị ảnh hưởng, Việt Nam đứng thứ 4 tại Châu Á. Châu Á là mục tiêu hàng đầu của hacker.

Và hiện nay hacker còn Website của hacker đã rao báo dữ liệu của nạn nhân, ransomware bây giờ hoạt động như là Ransomware as a Service (RaaS) là một hình thức kiếm tiền.

Ban đầu, RaaS sẽ được tổ chức hacker triển khai và vận hành theo các bước:

• Xây dựng bộ kit khai thác (exploit kit)
• Thực hiện các chiến dịch spam
• Kiểm soát các website WordPress và tải mã độc xuống máy người dùng khi người dùng truy cập

Sau đó RaaS có các bước cải tiến bằng cách tấn công theo chuỗi (xâm nhập MSP (Managed Service Provider) và nhắm tới các khách hàng của MSP, tấn công qua các website đã kiểm soát được)

Hiện tại RaaS còn thực hiện dò quét mật khẩu yếu của RDP và khai thác lỗ hổng của ứng dụng server-side.

• Chúng ta có thể thấy được sự tiến hoá không ngừng của Ransomware, từ đó thấy được sự nguy hiểm và tác hại to lớn của mã độc này

4. Giải pháp

Đứng trước các mối nguy cơ đó, làm sao để bảo vệ hệ thống an toàn?

• Đảm bảo hệ điều hành và ứng dụng (nhất là ứng dụng, hệ thống có kết nối Internet) được vá và cập nhật đầy đủ, nhanh chóng.
• Đào tạo cho các nhân viên kiến thức, thực hành về ANM. Ở nhiều đơn vị, quản trị viên có nhận thức rất nghèo nàn, ví dụ như trường hợp nói rằng dữ liệu mất thì thôi, không cần nữa làm lại. Điều đó là rất nguy hiểm, vì không nhận thức được rằng hệ thống có lỗ hổng, bị tấn công mà không sửa chữa thì vô cùng nguy hiểm.
• Chỉ sử dụng các công nghệ bảo mật cao khi thực hiện kết nối từ xa.
• Luôn thực hiện đánh giá bảo mật trên toàn hệ thống mạng.
• Sử dụng các giải pháp bảo vệ thiết bị đầu cuối có các chức năng trong việc phát hiện ransomware, phát hiện các hành vi bất thường và đặc biệt có khả năng khôi phục các tập tin khi không may bị tấn công.
• Luôn cập nhật, nắm bắt các dữ liệu tham báo về xu hướng tấn công mạng.

Xu hướng chuyển đổi và nguy cơ tiềm ẩn

1. Sự phát triển của ngành CNTT và truyền thông

Năm 2000, ngành CNTT và Truyền thông đóng góp 0.5% GDP cả nước (300 triệu đô), số lao động chiếm 0.11%.

Sau 20 năm, năm 2019 ngành CNTT và TT đã nhảy vọt lên 14.3% GPD cả nước (gấp 28 lần năm 2000), doanh thu 120 tỷ đô gấp 400 lần 2000, số lao động 1tr 30 nghìn (tăng 20 lần so với năm 2000), chiếm 1,88% lao động cả nước. Năng suất lao động gấp 7,6 lần năng suất trung bình cả nước.Xuất khẩu trị giá 89,2 tỷ 33,7% xuất khẩu cả nước.

2. Chuyển đổi số

Chuyển đổi số là động lực, nền tảng cho sự phát triển công nghệ lẫn kinh tế của Việt Nam. Hai năm vừa qua dịch bệnh tác động rất lớn đến nên kinh tế Việt Nam, nhưng ở một góc độ tích cực thì dịch bệnh giúp cho sự chuyển đổi số diễn ra nhanh và mạnh hơn.

Theo dự báo của IDC, năm 2023 thì 52% GDP toàn cầu sẽ đến từ kinh doanh trên nền tảng số hoá, hay còn gọi là chuyển đổi số và tốc độ để tạo ra sản phẩm mới sẽ tăng 50-100 lần. Năm 2024 sẽ có khoảng 520 triệu ứng dụng, dịch vụ sẽ được phát triển để phục vụ kinh doanh.

• cho chúng ta thấy muốn thúc đẩy doanh nghiệp, muốn đưa sản phẩm ra thị trường nhanh hơn, nâng cao trải nghiệm của người dùng thì việc chuyển đổi số là không thể thiếu

3. Nguy cơ

Chuyển đổi số sẽ gặp các rủi ro, nguy cơ:

• Phishing: các trang web lừa đảo giống các trang web chính thống, người dùng bị lừa mất tài khoản ngân hàng
• Hàng giả, nhái, kém chất lượng bán trên các gian hàng giả mạo sử dụng hình ảnh chính thống của doanh nghiệp
• Vi phạm bản quyền nội dung số
• Thất thoát source code, tài nguyên dự án
• Tài khoản mạng xã hội, ứng dụng,website dễ bị giả mạo hoặc thậm chí chiếm quyền, ảnh hưởng đến thương hiệu và danh tiếng của doanh nghiệp

Vì sao hacker lựa chọn XMR làm phương tiện trao đổi

Đồng Monero mà chunxong (hacker vụ BKAV) hay REvil yêu cầu là loại tiền mã hóa thường được giới hacker sử dụng vì không thể lần ra các dấu vết giao dịch. Những giao dịch bằng Bitcoin sẽ được ghi lại trên chuỗi khối tương ứng. Nhưng với Monero, thông tin người gửi, người nhận và cả số lượng trao đổi đều được giấu kín.

Theo CoinMarketCaps, đồng tiền số này được ra đời vào năm 2014 với mục tiêu cho phép tất cả các giao dịch diễn ra một cách riêng tư và ẩn danh. Ngoài ra, Monero cũng được thiết kế để giấu thông tin của người gửi và người nhận thông qua việc sử dụng các mật mã tiên tiến.

Monero giành được sự quan tâm sau cuộc truy quét tội phạm công nghệ cao của chính phủ Mỹ. Cuộc điều tra được mở ra sau vụ tin tặc tấn công vào hệ thống thanh toán của Colonial Pipeline, nhà cung cấp dầu khí chính cho bờ Đông nước Mỹ, hồi tháng 5.

Theo Bryce Webster, Giám đốc Tình báo tại GroupSense, một nhóm hỗ trợ nạn nhân nộp tiền chuộc, các nhóm tội phạm mã độc tống tiền đang chuyển sang Monero vì nhận thấy giao dịch bằng Bitcoin khiến danh tính rò rỉ qua chuỗi khối.

Theo Brett Callow, nhà phân tích nguy cơ tại Emisoft, nhóm tống tiền REvil chỉ chấp nhận tiền chuộc được trả bằng Monero. Nhóm này được cho là thủ phạm của vụ tấn công nhắm vào công ty sản xuất thịt JBS vào tháng 6.

Theo Justin Ehrenhofer, chuyên gia quản lý tiền mã hóa, đồng thời thành viên cộng đồng phát triển Monero, ước tính loại coin này chiếm 10-20% tổng giá trị tiền chuộc được trả. Con số này có thể chạm mốc 50% vào cuối năm 2021.

Monero đang là vấn đề nhức nhối đối với lực lượng hành pháp. Trước đó, họ chỉ quen với việc lần theo dấu vết của kẻ tình nghi thông qua sổ cái kỹ thuật số ghi lại giao dịch bằng Bitcoin, với sự giúp đỡ của chuyên gia phân tích tiền mã hóa.

Europol (Cục Cảnh sát châu Âu), trong một báo cáo năm 2020, đã liệt kê tiền bảo mật trong danh sách những yếu tố “khiến các cuộc điều tra tiền mã hóa khó khăn hơn và sẽ phổ biến hơn trong tương lai”.

Vào tháng 9/2020, sở Thuế vụ Liên bang Mỹ (IRS) treo thưởng 625.000 USD cho bất cứ ai thiết kế được một công cụ có thể truy vết Monero. Nhiều công ty công nghệ của Mỹ đang âm thầm theo đuổi số tiền này.

Tham khảo

https://fantasista.vn/ransomware/

https://www.thegioididong.com/game-app/ransomware-la-gi-muc-do-nguy-hiem-va-cach-ngan-chan-1371507