Ransomware: Khi tin tặc khóa tập tin của bạn, trả tiền hay không trả tiền?

Tác giả Security+, T.Tư 05, 2024, 01:04:03 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Rất nhiều virus máy tính ẩn náu bên trong hệ thống của bạn. Tin tặc đánh cắp dữ liệu của bạn sẽ cố gắng hoạt động một cách lặng lẽ, lén lút, dưới tầm radar.


Nhưng có một kiểu tấn công khác được biết đến – có mục đích. Nó lẻn vào mạng của bạn và lấy các tập tin của bạn, giữ chúng để đòi tiền chuộc. Nó được gọi là ransomware và theo các chuyên gia an ninh mạng, kiểu tấn công này ngày càng tinh vi hơn.

1. Dán chúng lên

Eric Young, người quản lý mạng máy tính cho một doanh nghiệp nhỏ ở Hermitage, Tenn., nhận được cuộc gọi từ nơi làm việc. Đó là một buổi sáng thứ Hai và theo anh, đó là "một cách rất tồi tệ để bắt đầu tuần mới".

Ai đó trong văn phòng đã mở một email có vẻ hợp pháp. "Nó có nền tảng giống hệt như PayPal," Young nhớ lại, "và nó nói rằng ai đó đã trả tiền cho bạn."

Nhân viên nhấp vào liên kết và hiện ra một cảnh báo màu đỏ chiếm gần hết màn hình. Đó là một mối đe dọa: Trả tiền chuộc cho một hacker ẩn danh, nếu không tất cả các tập tin trong mạng công ty sẽ bị mã hóa — bị khóa bằng khóa kỹ thuật số mạnh đến mức không ai có thể mở được chúng nữa.

Mối đe dọa đến với một chiếc đồng hồ đếm ngược. Young có 72 giờ và khi anh cố gắng tìm giải pháp, bọn trộm mạng đã xâm nhập vào mọi máy tính của công ty - bắt đầu từ Nạn nhân số 1 và kết thúc ở máy chủ của công ty. "Cơ sở dữ liệu của chúng tôi đã được mã hóa và gần như đã mất tất cả những gì chúng tôi đã xây dựng trong 14 năm."

NPR đã nói chuyện với những nạn nhân khác, những người không muốn nêu tên vì sợ mất việc hoặc mất khách hàng. Nhưng họ mô tả cùng một chuỗi các sự kiện.

Một doanh nghiệp nhỏ thậm chí còn gọi 911.

Trung úy Catherine Buckley thuộc Sở cảnh sát Colorado Springs xem lại nhật ký cuộc gọi cho NPR.

Vụ tấn công xảy ra vào ngày 12/11. Một sĩ quan đã đến hiện trường vụ án ngay lập tức. Nhưng khi anh đến đó, các nhân viên quyết định rằng anh thực sự không thể giải quyết được vấn đề. Vì thế họ không báo cảnh sát. Anh ấy rời đi trong vòng 20 phút.

Buckley đọc từ ghi chú của bộ phận: "Một trong những nhân viên đã nhận được email hoặc nhấp vào liên kết mở ra phần mềm độc hại CryptoWall 2.0."

Công ty Tennessee quyết định không trả tiền. Nó không tin tưởng tin tặc sẽ trả lại các tập tin, vì vậy nó dựa vào các bản sao lưu mà nó có. Công ty Colorado Springs đã trả số tiền 750 USD.

Và đây là nơi nó trở nên kỳ lạ hơn.

Mặc dù tội phạm ransomware trước đây chấp nhận thẻ trả trước và các hình thức thanh toán quen thuộc khác, nhưng giờ đây chúng đang chuyển sang cái gọi là "tiền điện tử". Một số vòng chỉ chấp nhận Bitcoin, loại tiền điện tử phổ biến trong giới đầu tư quỹ phòng hộ và những kẻ buôn bán ma túy trực tuyến.

Stu Sjouwerman, người sáng lập công ty CNTT KnowBe4, cho biết: "Việc này không hề dễ dàng đạt được". Anh ta giữ một chiếc ví Bitcoin và đã trả tiền chuộc cho các doanh nghiệp nhỏ bị tin tặc tấn công. "Dịch vụ đó là miễn phí," ông nói. "Chúng tôi gặp gỡ những khách hàng tiềm năng theo cách đó và sau đó nói với họ về các chương trình đào tạo cũng như các dịch vụ khác của chúng tôi".

2. Phần mềm tống tiền phát triển


Không rõ có bao nhiêu người đã bị ransomware tấn công. Theo Rahul Kashyap, nhà nghiên cứu tại công ty an ninh mạng Bromium, con số này hoàn toàn không được báo cáo đầy đủ vì nạn nhân cảm thấy xấu hổ và không biết phải tìm sự giúp đỡ ở đâu.

"Nhiều người thực sự có thể hoảng sợ," ông nói. "Họ có thể tin rằng họ đã làm sai điều gì đó hoặc đã phạm sai lầm dẫn đến sự thỏa hiệp này."

Bromium vừa công bố một nghiên cứu mổ xẻ 30 trường hợp ransomware. Nó phát hiện ra rằng bọn tội phạm ngày càng che giấu danh tính tốt hơn. Ransomware sử dụng mạng trực tuyến ẩn danh Tor để che giấu mọi liên lạc giữa kẻ tấn công và nạn nhân. Theo cách đó, chẳng hạn, Giám đốc điều hành và bộ phận hỗ trợ CNTT không thể đổ lỗi cho một nhân viên cụ thể hoặc giúp đỡ nhân viên đó.

Kashyap nói: "Họ sẽ không thể chặn nạn nhân thực hiện thanh toán". "Vì vậy, nó hoạt động ở cả hai phía để toàn bộ phiên được ẩn danh."

Những tên trộm cũng ngày càng giỏi hơn trong việc tìm kiếm dữ liệu có giá trị. Giống như vàng có giá trị hơn bạc, thiết kế tòa nhà cao tầng của một công ty có giá trị hơn một bản ghi nhớ trong kỳ nghỉ. Tin tặc đã viết mã để tìm các phần mở rộng tệp cao cấp, "như tệp autocad dùng để thiết kế cấu trúc ngành".

3. Bạn có nên trả tiền không?

Ransomware Cryptolocker rất sinh lợi, ước tính có khoảng 500.000 nạn nhân bị nhắm mục tiêu và thu về 3 triệu USD.

Kashyap nói, mặc dù FBI đã phá được một đường dây có trụ sở tại Nga và Ukraine, nhưng vấn đề vẫn chưa biến mất. Các biến thể mới, mạnh mẽ hơn của Cryptolocker đã ra mắt.

Nhưng khi được hỏi liệu anh có ủng hộ việc nạn nhân trả tiền chuộc hay không, anh nói không ngừng: "Hoàn toàn không. Nếu bạn trả tiền, họ sẽ tạo ra nhiều phần mềm độc hại hơn, đơn giản như vậy."

Các chuyên gia bảo mật không đồng ý về điểm này.

Jaeson Schultz tại Cisco cho biết chính sách chung là không thực tế: "Trừ khi bạn có máy tính mạnh và có nhiều thời gian để đoán khóa, thực sự không có cách nào lấy lại được dữ liệu của bạn trừ khi bạn trả tiền chuộc."

Chris Morales tại NSS Labs nói: "Mẹ tôi sở hữu công ty riêng và nếu điều đó xảy ra với bà, tôi sẽ bảo bà trả tiền."

Bộ An ninh Nội địa yêu cầu mọi người không đàm phán với tin tặc. Nhưng một cơ quan thực thi pháp luật khác, văn phòng cảnh sát trưởng ở Tennessee, vừa trả tiền để lấy lại hồ sơ.

Morales cho biết, ransomware đã trở nên quá mạnh mẽ, tin tặc thực sự đã khóa dữ liệu của nạn nhân: "Sự thật là chúng tôi không có cách nào để khôi phục dữ liệu của họ nếu nó bị phá hủy. Vì vậy, chúng tôi không thể giúp họ".

Ông nói, cách bảo vệ tốt nhất là có một bản sao lưu không được kết nối với máy của bạn theo bất kỳ cách nào. Việc lưu trữ mọi thứ trên đám mây hoặc trên ổ USB được cắm vào máy tính của bạn sẽ không hiệu quả.