Home

BÁO CÁO TÌNH TRẠNG TẤN CÔNG RANSOMWARE TOÀN CẦU Q3/2023

Đinh Văn Hiệu

BÁO CÁO TÌNH TRẠNG TẤN CÔNG RANSOMWARE TOÀN CẦU Q3/2023

 

Những năm gần đây, các cuộc tấn công bằng mã độc mã hóa dữ liệu (Ransomware) ngày càng tăng lên về số lượng, tinh vi và phạm vi tấn công. Qua thời gian, các nhóm khởi tạo ransomware đã dần thích nghi, phát triển công cụ tấn công của mình và dễ dàng vượt qua những chiến lược phòng thủ thông thường.

XU HƯỚNG CHUNG: SỰ GIA TĂNG VIỆC SỬ DỤNG LỖ HỔNG ĐỂ TẤN CÔNG RANSOMWARE

1. Dịch chuyển trọng tâm ngành mục tiêu sang Ngành công nghiệp chăm sóc sức khỏe

Nửa đầu năm 2023 chứng kiến sự gia tăng các cuộc tấn công Ransomware vào ngành sản xuất. Tuy nhiên những số liệu gần đây lại cho thấy một sự dịch chuyển mục tiêu đáng kể của các cuộc tấn công sang ngành chăm sóc sức khỏe.

Theo lý giải, ngành chăm sóc sức khỏe đặc biệt dễ trở thành mục tiêu của tấn công Ransomware vì diện tích có thể tấn công của ngành này cực kỳ lớn bao gồm nhiều trang web, cổng thông tin, hàng tỷ trang thiết bị y tế IoT, và một mạng lưới lớn các đối tác cung ứng và nhà cung cấp.

2. Các tổ chức, doanh nghiệp với doanh thu cao tiếp tục trở thành mục tiêu chính và trọng tâm của các kẻ tấn công

Những đội ngũ vận hành ransomware không thường thể hiện rằng các cuộc tấn công của mình có chọn lọc mục tiêu nhưng rõ ràng những nạn nhân của chúng thường là các tổ chức và doanh nghiệp với nguồn thu lớn, thường xuyên xử lý các dữ liệu nhạy cảm. Lý do là bởi những “thành tựu” này sẽ giúp nâng cao danh tiếng của ransomware và những kẻ tạo ra nó. Nhờ vậy, những giao dịch chuộc dữ liệu có khả năng mà thành công lớn hơn bởi các nạn nhân, với doanh thu khủng và luôn đề cao danh tiếng, sẵn sàng bỏ một số tiền lớn để bảo vệ hình ảnh của mình.

3.  LOCKBIT tiếp tục là một mối đe dọa tiềm tàng trong khi liên tục có các nhóm Ransomware mới nổi.

Với 240 nạn nhân đã được xác nhận trong Q3-2023, báo cáo ghi nhận tổng số cuộc tấn công của LOCKBIT giảm nhẹ 5% so với quý trước nhưng số nạn nhân cao nhất của nó vẫn cao nhất, .

Tuy nhiên những tên tuổi mới nổi trên bảng xếp hạng ransomware cũng không ngồi yên. Q3-2023 chứng kiến sự tăng mạnh về số lượng cuộc tấn công từ các nhóm mới như Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group và MedusaLocker, cho thấy những nhóm này tuy không có cùng hình ảnh và tầm ảnh hưởng toàn cầu như các nhóm ransomware lớn như LOCKBIT nhưng vẫn là những mối đe dọa mạnh mẽ.

4. Sự gia tăng trong việc sử dụng ngôn ngữ lập trình Rust và GoLang trong các biến thể ransomware mới.

Các nhóm ransomware luôn hướng đến mục tiêu làm cho các cuộc tấn công của chúng trở nên khó hoặc thậm chí là không thể phát hiện hoặc phân tích. Điều này làm cho quá trình nghiên cứu khảo sát về các phương thức xâm nhập và cách hoạt động của ransomware trở nên khó khăn với các tổ chức nạn nhân, chuyên gia bảo mật và chính phủ sau khi các biện pháp sửa chữa tương ứng đã được thực hiện.

Các mô hình tấn công gần đây thể hiện rằng ngôn ngữ lập trình Rust và GoLang dần được sử dụng phổ biến hơn, điển hình trong các nhóm ransomware nổi tiếng như Hive, Agenda, Luna và RansomExx. Có hai lý do cho xu hướng này: (1) ngôn ngữ lập trình như Rust làm cho việc phân tích hoạt động của ransomware trở nên khó khăn trên hệ thống của nạn nhân. (2) các ngôn ngữ dễ dàng tùy chỉnh để nhắm đến nhiều hệ thống vận hành khác nhau, tăng tính nguy hiểm và target base của các ransomware được lập trình bằng những ngôn ngữ này.

Các tổ chức đã hành động như thế nào?

Mỗi thời điểm tổng kết nghiên cứu ta đều thấy ít nhất một tổ chức danh tiếng hoặc doanh nghiệp dẫn đầu của một ngành hàng nào đó trở thành nạn nhân của ransomware. Trong quý này, trường hợp đó đã rơi vào Caesar’s Palace và MGM Casino, chịu sự tấn công bởi ransomware BlackCat/ALPHV.

Điều này đã thu hút sự chú ý của các cơ quan chính phủ các cơ quan lập pháp trên toàn thế giới, buộc họ phải triển khai các biện pháp làm giảm tần suất và tác động của những cuộc tấn công ransomware. Các doanh nghiệp cũng tự đưa ra hành động để ngăn ngừa rủi ro và làm giảm tác động khi chịu tấn công. Tám quyết định và hành động phổ biến, đáng chú ý của doanh nghiệp là:

  1. Đào tạo nhân viên: Nhận thức được tầm quan trọng của đội ngũ nhân sự trong việc chống lại các cuộc tấn công ransomware, các doanh nghiệp đã chú trọng đưa vào bộ máy các khóa đào tạo nhân viên về an ninh mạng, tập trung củng cố nhận thức, nhận dạng các hình thức lừa đảo và xử lý bước đầu các tập tin đáng ngờ.
  2. Lập kế hoạch Ứng phó Sự cố: Dù có những nỗ lực ngăn chặn, các tổ chức hiểu rằng cuộc tấn công Ransomware vẫn có thể xảy ra. Vì vậy, họ đã phát triển kế hoạch ứng phó toàn diện, bao gồm các quy tắc pháp lý để thông báo cho cơ quan chức năng, các thủ tục an ninh nội bộ, phản ứng của đội ngũ bảo mật thông tin và hướng cách ly các hệ thống/sản phẩm bị ảnh hưởng.
  3. Nâng cấp khả năng Phục hồi và Sao lưu dữ liệu: Để đối phó với việc mã hóa dữ liệu trong cuộc tấn công Ransomware, các tổ chức đã tăng cường chiến lược sao lưu dữ liệu và triển khai quy trình khôi phục toàn diện.
  4. Triển khai các kiến trúc Zero-Trust và xác thực đa yếu tố Multi-Factor Authentication (MFA): Các tổ chức đã áp dụng hai biện pháp này để giảm thiểu những yếu điểm liên quan đến con người và bảo vệ dữ liệu quan trọng bằng nhiều lớp xác thực.
  5. Chia sẻ thông tin trong ngành và Hợp tác với các cơ quan hành pháp: Các công ty trong cùng ngành đã hợp tác thông qua Trung tâm Chia sẻ và Phân tích Thông tin (ISACs) để tổng hợp nguồn tài nguyên và thông tin để chống lại các cuộc tấn công Ransomware trong tương lai. Họ cũng làm việc chặt chẽ với cơ quan hành pháp và lập pháp để báo cáo các cuộc tấn công Ransomware, giúp xác định những điểm yếu về an ninh.
  6. Tăng cường sử dụng các nền tảng Threat Intelligence: Các tổ chức tận dụng các nền tảng Threat Intelligence Platform để có thông tin về các mối đe dọa trong thời gian thực, phát hiện bất thường và phân tích hành vi – sử dụng trí tuệ nhân tạo và công nghệ học máy (machine learning) tiên tiến.
  7. Tập trung vào Quản lý Lỗ hổng: Các tổ chức tập trung vào việc quản lý lỗ hổng để đảm bảo rằng phần mềm quan trọng luôn được cập nhật và vá lỗ hổng đều đặn, giảm bề mặt tấn công (attack surface).
  8. Bảo vệ chuỗi cung ứng và quản lý rủi ro từ phía  nhà cung ứng: Nhận thức về việc các nhóm Ransomware có thể tấn công vào chuỗi cung ứng, các tổ chức đã triển khai đánh giá rủi ro từ nhà cung ứng để đảm bảo rằng toàn bộ chuỗi cung ứng của họ được bảo vệ chặt chẽ và đồng đều, chống lại các cuộc tấn công Ransomware tiềm tàng.

Liên hệ tư vấn:

Công ty cổ phần Nam Trường Sơn Hà Nội

Tầng 15, tòa Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, Hà Nội

Tel: 02462.818.045

Email: info.ntshn@nts.com.vn

Ý kiến bình luận

Các bài viết liên quan