Phải làm gì khi hacker mã hóa dữ liệu của bạn

Tác giả Security+, T.Tư 05, 2024, 10:34:53 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Phần mềm RANSOMWARE... Đó là ông kẹ hiện ra lờ mờ trong mọi công việc kỹ thuật số mà chúng ta thực hiện. Ngay cả những doanh nghiệp không hoạt động chủ yếu trực tuyến cũng có các điểm dữ liệu có thể bị khai thác và tin tặc luôn đề phòng những doanh nghiệp có sức khỏe mạng kém.


Chi phí của một cuộc tấn công cũng ngày càng tăng. Như Gallagher đã báo cáo trong Báo cáo Điều kiện Thị trường Bảo hiểm Mạng năm 2022, trong sáu tháng đầu năm 2021, 590 triệu USD đã được trả dưới dạng tiền chuộc, trái ngược với 416 triệu USD được trả trong cả năm 2020.

Trong khi chúng ta nói về những phương pháp tốt nhất để bảo vệ chính mình, chúng ta có thường xuyên lật lại cuộc trò chuyện và xem xét các bước chúng ta phải thực hiện khi một vụ hack thực sự xảy ra không? Evgueni Erchov, người đứng đầu bộ phận nghiên cứu và chiến lược bảo mật của Arete cho biết: "Thật không may, không ai an toàn trước ransomware".

"Các nhóm tinh vi nhất có thể tập trung vào các tổ chức lớn hơn... nhưng chúng tôi cũng thấy các công ty nhỏ luôn bị nhắm tới."

Erchov là một nhà đàm phán hacker giàu kinh nghiệm, với hơn 20 năm kinh nghiệm trong lĩnh vực bảo mật CNTT, phát triển ứng dụng, điều tra tội phạm mạng, pháp y máy tính, chuỗi khối tiền điện tử và phân tích tình báo mối đe dọa mạng.

Erchov, cùng với John Farley, giám đốc điều hành, thực hành mạng tại Gallagher, đã tổ chức một hội thảo trực tuyến gần đây về những việc cần làm khi bị tin tặc tấn công, thực hiện một cuộc tấn công mô phỏng để cung cấp cho doanh nghiệp các mẹo khôi phục.

Bài thuyết trình "Điều gì thực sự xảy ra khi bạn đàm phán với hacker: Góc nhìn của người trong cuộc" đã làm sáng tỏ một số điểm chính, từ cách giao tiếp với tin tặc, nơi thu thập tiền điện tử nếu tin tặc yêu cầu và cuộc trò chuyện với người bảo lãnh sẽ diễn ra như thế nào khi xem xét các biện pháp kiểm soát mạng.

Liên lạc với Hacker của bạn

Dù bạn có tin hay không, hack là một công việc kinh doanh và tin tặc đối xử với những gì họ làm như vậy.

Bọn tội phạm có tổ chức làm việc cùng nhau để phát hiện các mục tiêu dễ bị tổn thương - từ một tập đoàn lớn cho đến cửa hàng ở góc phố. Nếu doanh nghiệp có khả năng lưu trữ dữ liệu - thông tin thẻ tín dụng, hồ sơ sức khỏe, bí mật thương mại, bạn có thể đặt tên cho nó - doanh nghiệp là mục tiêu khả thi.

Khi tin tặc xâm nhập vào hệ thống, ngôn ngữ được sử dụng theo yêu cầu của chúng có thể theo mô hình tương tự. Tin tặc sẽ lưu ý dữ liệu mà chúng có quyền truy cập - hồ sơ cá nhân của nhân viên, dữ liệu đối tác và khách hàng, tài liệu tài chính và kế toán - và cách chúng định lấy tiền chuộc để mã hóa các tệp này.

Các bước tiếp theo sẽ tập trung vào cách giao tiếp với hacker.

Erchov nói: "Điều đó phụ thuộc vào mức độ tinh vi của nhóm. "Đôi khi, một thông báo đòi tiền chuộc sẽ chứa một địa chỉ email sẽ được sử dụng để qua lại và thương lượng về tiền chuộc."

Tiền và tống tiền: Nhu cầu cuộc sống đã thay đổi như thế nào

Farley nói: "Ngày xưa, 5 hoặc 6 năm trước, tin tặc thường đóng băng dữ liệu của chúng tôi, chúng tôi tống tiền nhưng nếu bạn không trả tiền, bạn sẽ không lấy lại được dữ liệu của mình".

Các chiến thuật hù dọa được tin tặc sử dụng đang thay đổi.

Trong phần mô phỏng của buổi thuyết trình, hacker giả tưởng đe dọa tiết lộ dữ liệu cực kỳ nhạy cảm từ Giám đốc điều hành công ty nếu họ không nhận được 1 triệu USD bitcoin trong vòng 5 ngày. Để chứng minh mức độ nghiêm trọng của chúng, hacker gửi một đoạn trích thông tin nhạy cảm đó.

Erchov cho biết, việc tống tiền và tống tiền kép là chuyện phổ biến đối với tin tặc ngày nay.

Ông nói: "Điều đó thực sự xảy ra khá thường xuyên, trung bình, gần 70% trường hợp hiện nay sẽ liên quan đến việc đánh cắp dữ liệu cùng với mã hóa".

Đó là một chiến thuật được sử dụng để khuyến khích thanh toán, bởi vì nó không chỉ liên quan đến việc mã hóa dữ liệu nhạy cảm mà còn ảnh hưởng đến danh tiếng của công ty. Tiền chuộc không chỉ đơn thuần là lấy dữ liệu; nó trở thành việc giữ dữ liệu đó không lọt vào tay công chúng.

Bitcoin: Làm thế quái nào mà tôi có được thứ đó?

Sau khi quyết định trả tiền cho tin tặc được đưa ra, vấn đề tiếp theo là tìm ra cách thực hiện. Ngày càng nhiều tin tặc yêu cầu thanh toán bằng bitcoin để lấy tiền chuộc, nhưng không phải tất cả các công ty đều hoạt động bằng bitcoin.

Vậy thì, các công ty sẽ làm gì khi dữ liệu của họ bị giữ để đòi tiền chuộc?

Theo lưu ý của Farley và Erchov, mọi người tin rằng nơi đầu tiên tìm đến bitcoin là công ty bảo hiểm mạng của họ. Nhưng điều này không đúng.

Erchov nói: "Điều tra viên pháp y... công ty phụ trách điều tra pháp y và ứng phó tạm thời, thường là công ty sẽ xử lý việc đó".

Tuy nhiên, công ty bảo hiểm mạng có thể ở đó để hướng dẫn quy trình.

Farley nói thêm: "Cái hay của chính sách bảo hiểm mạng là bạn có quyền truy cập vào các công ty này [như công ty điều tra pháp y] có quyền truy cập vào bitcoin và có thể tạo điều kiện thuận lợi cho việc thanh toán".

Các công ty điều tra pháp y cũng thường hoạt động 24/7 và chính sách bảo hiểm mạng đóng vai trò là cầu nối giữa khách hàng và cơ quan pháp y.

Farley lưu ý rằng các khoản thanh toán này cũng được hoàn trả, vì vậy chính sách mạng thường được thiết kế để hoàn trả tiền chuộc sau khi thực tế xảy ra.

Quyết định đàm phán

Mặc dù việc trả tiền cho hacker ngay lập tức để lấy lại dữ liệu đã mã hóa có vẻ như là điều không cần phải đắn đo, nhưng đôi khi thương lượng về khoản tiền chuộc lại là hành động tốt nhất, đặc biệt nếu yêu cầu về tiền chuộc thực sự lớn hoặc không khả thi.

Nhưng điều gì sẽ xảy ra nếu việc hạ thấp tin tặc dẫn đến rò rỉ dữ liệu lớn hơn?

Erchov cho biết: "Họ gần như mong đợi nhu cầu ban đầu sẽ không được đáp ứng".

Nhưng ông nói, điều quan trọng là phải hợp tác với một nhà đàm phán, bởi vì nhà chiến lược đàm phán biết đâu là lời đề nghị hợp lý và đâu là lời đề nghị hợp lý cũng như những gì có thể khiến hacker tức giận.

Tin tốt: Theo Erchov, trung bình, tin tặc sẽ thương lượng giảm 70% số tiền chuộc, dựa trên các trường hợp mà công ty Arete của ông đã giải quyết trong quá khứ.

Nhưng điều đó còn phụ thuộc vào nhiều yếu tố khác nhau.

"Có khả năng các bản sao lưu có thể có sẵn. Vì vậy, trong trường hợp đó, nếu chúng tôi chỉ phải thương lượng để có được lời hứa xóa dữ liệu, điều đó sẽ mang lại cho chúng tôi thêm đòn bẩy vì chúng tôi không cần công cụ giải mã," Erchov đưa ra một ví dụ.

Những câu hỏi mà người bảo lãnh của bạn sẽ hỏi

Farley cho biết: "Ngày nay, chúng ta có một thị trường bảo hiểm mạng rất khó khăn. "Chúng ta đang ở một nơi mà ransomware và các yếu tố khác đang thực sự khiến cộng đồng bảo lãnh phát hành rất lo lắng."

Do bối cảnh rủi ro và quy mô của nhu cầu, tỷ giá đang tăng lên. Một số thực thể có ít biện pháp kiểm soát mạng hơn đang phải đối mặt với việc không được gia hạn.

Vì vậy, làm thế nào một công ty có thể biến mình thành một rủi ro tốt đối với một nhà bảo lãnh phát hành?

Farley nói: "Họ sẽ có rất nhiều câu hỏi dành cho bạn. Ông lưu ý rằng danh sách của ông không bao gồm tất cả nhưng đây là những lĩnh vực chính cần bắt đầu.

"Xác thực đa yếu tố. Nếu bạn không có sẵn điều đó, có khả năng bạn sẽ không được bảo lãnh," ông nói.

Các nhà bảo lãnh cũng sẽ muốn xem việc quản lý bản vá - một kế hoạch bằng văn bản và chi tiết để quản lý mọi hoạt động khai thác của hacker. Phát hiện và phản hồi điểm, là công nghệ được sử dụng để tìm hacker trong hệ thống của bạn và cảnh báo bạn về chúng, là một công cụ kiểm soát khác mà các nhà bảo lãnh muốn thấy.

Cuối cùng, điều quan trọng cần nhớ là nếu công ty của bạn sắp phải hứng chịu một sự kiện ransomware trên mạng, hãy gọi ngay cho đối tác mạng của bạn.

Họ sẽ biết những tài nguyên nào, từ bitcoin, các nhà đàm phán, pháp y, v.v., sẽ hỗ trợ trong việc xoa dịu tin tặc và bảo mật dữ liệu của bạn.