An toàn thông tinBảo mật

Ransomware: xác định, bảo vệ, phát hiện và khôi phục

Fantasista
Fantasista 22/08/2021
Updated 2021/08/22 at 3:01 Chiều
19 Min Read

Ransomware và Threat Intelligence

1. Tổng quan về module

Xác định các đặc điểm chính của các cuộc tấn công ransomware và nguồn thông tin về mối đe dọa.

Ransomware là một vấn đề lớn trên toàn thế giới. Đây là loại vấn đề đòi hỏi sự chuẩn bị trước để giải quyết nó một cách hiệu quả. Trước khi bạn có thể đối phó với nó, bạn cần phải hiểu nó là gì. Mô-đun này sẽ giải thích ransomware là gì. Điều này không có nghĩa là các bài báo đã không thực hiện tốt công việc giải thích một số tác động, nhưng có nhiều điều hơn là chỉ những tác động kinh doanh được mô tả trong tin tức.

Biết trước tác động kinh doanh là gì không đủ để giúp bạn chuẩn bị, bảo vệ bản thân trước những mối đe dọa này hoặc phản ứng hiệu quả và dọn dẹp sau một cuộc tấn công thành công. Tuy nhiên, hiểu được thông tin về mối đe dọa có thể hữu ích. Cuối cùng, có thể không thể ngăn những cuộc tấn công này xảy ra, nhưng thông tin về mối đe dọa có thể giúp bạn chuẩn bị tốt nhất có thể và phản ứng nhanh chóng.

Xác định đặc điểm của ransomware và tác động của nó đến hoạt động kinh doanh.

  • Ransomware là gì?
  • Ransomware vs. Malware
  • Ransomware Markers

Khám phá nơi thu thập thông tin để hỗ trợ chuẩn bị cho các kiểu tấn công này.

  • Mối đe dọa thông minh
  • Áp dụng thông minh về mối đe dọa
  • Nguồn tin tức về mối đe dọa
  • Chia sẻ thông tin
  • Giải mã Ransomware

2. Ransomware là gì?

Thuật ngữ phần mềm độc hại (malware) là một từ ghép nối giữa các từ độc hại (malicious) và phần mềm (software). Ransomware là một loại phần mềm độc hại. Bởi vì nó đã trở nên quá phổ biến và có một số đặc điểm cụ thể, nó được chia thành một loại riêng. Có một thời gian khi giun là thứ như StuxNet, CodeRed và Blaster là những ví dụ về một số loại worm có khả năng phá hủy cao từ vài năm trước. Worm là một vấn đề đến nỗi mọi người đã viết ra những con sâu tốt để cố gắng vượt qua những phần mềm độc hại phá hoại này. Ngày nay, chúng ta không nghe nhiều về worm, bất chấp sự tàn phá mà chúng đã gây ra. Worms rất độc hại, nhưng chúng không có mục tiêu kiếm tiền cho người tạo ra chúng. Ngày nay, phần mềm độc hại đã trở thành một công việc kinh doanh nhiều hơn vì những người phát triển phần mềm độc hại là những người kinh doanh. Họ đang kinh doanh kiếm tiền bằng mọi cách có thể. Ransomware là một trong những cách đó.

Từ ransomware cũng là một từ ghép, gần như tự giải thích. Đây là software được sử dụng để đòi tiền chuộc (ransom). Thông thường, ransomware giữ dữ liệu làm con tin, mong đợi khoản thanh toán để dữ liệu được giải phóng. Thông thường, nó thực hiện điều này bằng cách mã hóa dữ liệu. Chủ sở hữu của tất cả các tệp đã được mã hóa không còn có thể truy cập vào các tệp đó.

Lý thuyết đang diễn ra là người sở hữu các tập tin muốn lấy lại chúng và sẽ trả một số tiền để có được chìa khóa giải mã. Ransomware đã nhắm mục tiêu vào các cá nhân trong nhiều năm, nhưng trong vài năm gần đây, những kẻ tấn công đã theo đuổi các doanh nghiệp, có lẽ vì có tiền kiếm được từ việc tấn công các doanh nghiệp. Một trong những phần mềm ransomware đầu tiên và nổi tiếng nhất thường đi theo các cá nhân và được gọi là Cryptolocker.

Vấn đề (đối với kẻ tấn công) với việc mã hóa tệp là có nhiều cách để lấy lại tệp mà không phải trả tiền chuộc, như chúng ta sẽ thảo luận sau. Những kẻ tấn công đã phải thích ứng để duy trì nguồn thu nhập của họ. Thay vào đó, những kẻ tấn công đánh cắp tệp từ nạn nhân của chúng và đe dọa phát hành chúng, với giả định rằng các tệp chứa thông tin nhạy cảm sẽ khiến công ty khó xử. Đây là một vấn đề khó giải quyết hơn, mặc dù chúng tôi sẽ xem xét một số chiến lược có thể hữu ích.

Mối quan tâm chung về ransomware là, điều gì sẽ xảy ra nếu chúng ta trả tiền để có được chìa khóa và đối thủ không cung cấp? Chúng tôi đã thanh toán nhưng vẫn không có tệp của mình. Một lần nữa, nên nhớ rằng đây là các giao dịch kinh doanh. Việc cung cấp chìa khóa cho bạn là vì lợi ích tốt nhất của họ. Nếu họ không làm vậy, rất nhanh chóng có tin đồn rằng sự đa dạng của phần mềm tống tiền đã tấn công bạn sẽ khiến bạn vĩnh viễn không thể truy cập được các tệp, vì vậy mọi người sẽ ngừng trả tiền chuộc. Doanh thu của những kẻ tấn công sẽ cạn kiệt.

3. Ransomware vs Malware

Mặc dù ransomware là một loại phần mềm độc hại, nhưng các phần mềm độc hại khác thường được xử lý khác với ransomware. Trong thời gian bùng phát hoặc tấn công phần mềm độc hại, hệ thống sẽ bị nhiễm và cần được làm sạch. Một trong những vấn đề với phần mềm độc hại hiện đại là có lẽ không phải trường hợp hệ thống được cài đặt một loại phần mềm độc hại duy nhất. Thay vào đó, một khi hệ thống bị nhiễm, kẻ tấn công đằng sau phần mềm độc hại thường cài đặt các loại phần mềm độc hại khác với các mục đích khác nhau. Chỉ vì cuối cùng bạn cũng phát hiện ra một phần mềm độc hại không có nghĩa là sẽ không có nhiều bản cài đặt nữa.

Tất cả những điều này để nói rằng điều dễ dàng nhất để làm khi bị dính phần mềm độc hại là xóa sạch hệ thống và xây dựng lại, để đảm bảo rằng bạn đã hoàn toàn làm sạch phần mềm độc hại và không bỏ sót bất kỳ thứ gì. Vì phần mềm độc hại thường có trong tệp thực thi, với artifacts được lưu trữ trong registry trên hệ thống Windows hoặc có thể là một số thư mục hệ thống trên hệ thống Windows hoặc Linux, bạn thường có thể sao chép an toàn tất cả tài liệu, hình ảnh, nhạc và các tệp cá nhân khác của mình trước khi xóa hệ thống.

Vấn đề với ransomware là bạn không thể sao chép các tệp của mình trước khi xóa, mặc dù xóa sạch sẽ là cách tiếp cận tốt nhất đối với ransomware, cũng giống như đối với các dạng phần mềm độc hại truyền thống khác. Các tệp được mã hóa hoặc không thể truy cập được. Bạn có thể sao chép các tệp được mã hóa đi, nhưng khi đã sao chép, bạn sẽ không thể truy cập chúng vào ổ đĩa bị nhiễm. Bạn vẫn cần khóa giải mã để khôi phục tệp.

Một sự cân nhắc khác khiến ransomware trở nên khác biệt là các công ty bảo hiểm tham gia. Các doanh nghiệp đã và đang sử dụng nhiều hơn các chính sách bảo hiểm của họ khi bị tấn công bởi ransomware hơn là khi họ bị tấn công bởi phần mềm độc hại truyền thống. Điều này là do ransomware tác động trực tiếp đến doanh thu của các tổ chức đứng sau cuộc tấn công. Càng nhiều hệ thống tấn công bằng ransomware, họ càng có thể đòi hỏi nhiều tiền hơn. Điều đó không đúng với phần mềm độc hại truyền thống — kẻ tấn công sẽ không cần cài đặt phần mềm độc hại trên mọi hệ thống trong một môi trường để đạt được mục tiêu của chúng. Do quy mô của cuộc tấn công lớn hơn, các doanh nghiệp có nhiều khả năng sử dụng chính sách bảo hiểm của họ hơn. Và bởi vì các công ty bảo hiểm rất nhanh chóng rút tiền ra bằng cách trả tiền chuộc hoặc chi phí phục hồi mà không trả tiền chuộc, họ đã phát triển các chính sách của riêng mình về việc họ sẽ trả tiền hay không.

4. Ransomware Makers

Như đã đề cập trước đây, các tổ chức đứng sau ransomware là các doanh nghiệp và họ luôn tìm cách tối đa hóa lợi nhuận của mình. Càng nhiều hệ thống mà họ có thể lây nhiễm trong một doanh nghiệp, thì họ càng có thể đòi hỏi nhiều tiền hơn. Từ góc độ doanh thu, việc lây nhiễm sang các doanh nghiệp (nơi họ có thể yêu cầu các khoản thanh toán lớn) sẽ hiệu quả hơn nhiều so với lây nhiễm vào hệ thống gia đình (nơi họ có thể có ít khả năng được thanh toán hơn hoặc khoản thanh toán sẽ nhỏ hơn nhiều). Các khoản thanh toán lớn hơn có nghĩa là ít công việc hơn. Tuy nhiên, vấn đề là nếu những kẻ tấn công lây nhiễm vào một hệ thống và ngay lập tức bắt đầu mã hóa các tệp, ai đó sẽ đưa ra cảnh báo trước khi kẻ tấn công có thể di chuyển đến nhiều hệ thống khác. Ngay sau khi cuộc tấn công được phát hiện, nạn nhân có thể thực hiện một số biện pháp đối phó để ngăn chặn nhiều hệ thống hơn bị tấn công.

Đối với kẻ tấn công, cách giải quyết vấn đề này là lây nhiễm càng nhiều hệ thống càng tốt mà không làm bất cứ điều gì gây ra sự chú ý. Trong một doanh nghiệp mà tất cả các hệ thống thường trông giống nhau, bởi vì chúng đến từ cùng một bản build và nhận được các bản cập nhật cùng một lúc thì một cuộc tấn công có khả năng hoạt động chống lại tất cả các hệ thống, nếu những kẻ tấn công đang sử dụng một cuộc tấn công kỹ thuật, như khai thác một phần mềm, lỗ hổng hoặc cấu hình sai, một khi chúng ở trong. Khi những kẻ tấn công có nhiều hệ thống như chúng nghĩ rằng chúng có thể lấy được, chúng sẽ kích hoạt tất cả phần mềm để bắt đầu mã hóa. Bằng cách này, những kẻ tấn công tránh bị bắt sớm và có thể yêu cầu số tiền chuộc tối đa.

Pasted into Ransomware - Ransomware: xác định, bảo vệ, phát hiện và khôi phục

Khi ransomware đã khởi chạy và các tệp bắt đầu mã hóa, một trong những điều đầu tiên mà nạn nhân sẽ nhận thấy là các tệp của họ không còn có cùng phần mở rộng và không thể mở được. Mỗi họ ransomware sẽ có các biến thể về cách nó hoạt động, nhưng họ Maze của ransomware dường như sử dụng các giá trị ngẫu nhiên cho phần mở rộng tệp. Có thể có một số phần mở rộng tệp trên bất kỳ hệ thống nhất định nào và có thể phần mở rộng tệp liên quan theo một cách nào đó với ID nạn nhân đã được “vendor” ransomware chỉ định.

Một điều cần lưu ý về ransomware là sau khi nó đã ảnh hưởng đến một hệ thống, toàn bộ hệ thống không bị ảnh hưởng. Điều này sẽ phản tác dụng. Ví dụ, ransomware sẽ không ảnh hưởng đến .exe hoặc .dllfiles. Một số thư mục cũng được để riêng, bao gồm các tệp chương trình và thư mục Windows. Nếu các tệp trong các thư mục đó được mã hóa, hệ thống sẽ trở nên không hoạt động. Hãy nhớ rằng, mục đích của việc lây nhiễm ransomware là để lấy tiền từ nạn nhân. Nếu nạn nhân phải xóa và khôi phục vì hệ điều hành không hoạt động, việc trả tiền chuộc sẽ không thu được gì của nạn nhân.

Nó cũng phổ biến trên các hệ thống bị ảnh hưởng bởi ransomware là có một tệp yêu cầu tiền chuộc. Bạn có thể tìm thấy một tệp văn bản trong thư mục Documents có tên bao gồm các từ như giải mã, hướng dẫn, trợ giúp, restore hoặc recover. Tệp này sẽ bao gồm hướng dẫn về cách trả tiền chuộc cũng như liên kết đến một trang web, có thể là trên mạng The Onion Router (TOR), nơi bạn có thể thực hiện giải mã thử nghiệm để xác nhận rằng kẻ tấn công có khóa. Có thể có một số ngôn ngữ kèm theo các mối đe dọa về những điều không nên làm, hoặc dữ liệu sẽ bị mất.

Đôi khi, các tệp hướng dẫn này bị bỏ sót nếu chúng không ở vị trí mà người dùng ghé thăm. Một cách thu hút sự chú ý của người dùng ngay lập tức là thay đổi hình nền trên màn hình nền. Maze đã được biết là sử dụng kỹ thuật này để thu hút sự chú ý của người dùng. Hình nền mới sẽ cho biết ransomware là Maze và bao gồm văn bản thường có trong một tệp trên hệ thống.

5. Knowledge Check

Alex là nhà tư vấn an ninh mạng tại một công ty cỡ vừa. Trong vài năm qua, tập đoàn đã chứng kiến các cuộc tấn công ransomware ngày càng leo thang trên toàn thế giới và nhận thấy nhu cầu ngày càng tăng sẵn sàng trước khi các cuộc tấn công xảy ra. Công ty sẵn sàng triển khai chương trình tình báo mối đe dọa và phát triển một giải pháp thực thi để tự bảo vệ mình trước các cuộc tấn công ransomware. C-suite đã yêu cầu Alex thuyết trình trong một cuộc họp nhân viên để nâng cao nhận thức về bảo mật của nhân viên.

Alex đã đưa ra một câu hỏi cụ thể cho bài thuyết trình để đảm bảo rằng khán giả sẽ hiểu các cuộc tấn công ransomware có thể ảnh hưởng đến doanh nghiệp như thế nào.

Câu hỏi: Làm thế nào bạn có thể dễ dàng xác định các hệ thống đã bị xâm nhập bởi ransomware?

  • A. Nhìn vào Windows Registry
  • B. Tìm kiếm thông báo tiền chuộc qua email
  • C. Kiểm tra các tập lệnh khởi động
  • D. Tìm kiếm thông báo tiền chuộc trong thư mục chính

Câu trả lời đúng: D.

Tìm ghi chú tiền chuộc trong thư mục chính. Trong một số trường hợp, tội phạm mạng chỉ cần khóa màn hình bằng ghi chú tiền chuộc để cảnh báo người dùng rằng họ đã bị xâm nhập bởi ransomware.

6. Threat Intelligence

7. Apply Threat Intelligence

8. Source of Threat Intelligence

9. Information Sharing

10. Decrypting Ransomeware

You Might Also Like

Hướng dẫn chung về Kali Linux

Ransomware tấn công có chủ đích vào các tổ chức

Series Pentesterlab – Day 22: CVE-2007-1860: mod_jk double-decoding

Series Pentesterlab – Day 21: From SQL Injection to Shell

Series Tryhackme – Day 01: Starting Out In Cyber Sec

TAGGED: ,
Share this Article
Posted by Fantasista
Follow:
Xin chào, mình là Tân. Mình tạo blog này 01/06/2021. Đây là nơi mình ghi chép lại những suy nghĩ, cảm nhận trong cuộc sống và những kiến thức mà mình học được.
Previous Article Series Pentesterlab – Day 05: Code execution
Next Article Series Pentesterlab – Day 06: Command Execution
Leave a comment

Stay Connected

- Advertisement -

Latest News

Hướng dẫn chung về Kali Linux
Bảo mật Công cụ bảo mật 27/05/2022
Ransomware tấn công có chủ đích vào các tổ chức
An toàn thông tin Bảo mật 03/11/2021
Hướng dẫn kích hoạt IDM Full không cần crack, sử dụng key an toàn
Phần mềm Tiện ích 10/10/2021
Series Pentesterlab – Day 22: CVE-2007-1860: mod_jk double-decoding
Bảo mật Pentest 04/10/2021
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@envato
1.5k Following
71k Followers
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@barts_ron Hi! Thanks for contacting us. It looks like all our systems are running smoothly. You can check the stat…
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@NeilEvansRocks Thank you for reaching out. I am happy to answer general questions here. For more personalized assi…
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@olaarrh Hi there, to continue we would need you to submit a help ticket since we will be dealing with sensitive ac…
Register Lost your password?