Khi Dữ Liệu Của Bạn Bị Tấn Công Bởi Ransomware
Ransomware là một mã độc kết hợp việc mã hóa với đánh cắp dữ liệu và tống tiền.
Các tổ chức bị tấn công bởi ransomware không chỉ phải đối mặt với việc bị mã hóa dữ liệu mà còn có nguy cơ lộ dữ liệu công khai trên trang web rò rỉ và gần đây hơn là nguy cơ từ các cuộc tấn công từ chối dịch vụ phân tán (DDoS) làm gián đoạn hoạt động. Những chiến thuật này được thiết kế để tăng áp lực lên nạn nhân trước yêu cầu tiền chuộc.
Những thông tin sau có thể giúp quản trị viên CNTT đối mặt với tác động của cuộc tấn công của ransomware.
Việc cần làm ngay: kiềm chế và vô hiệu hóa
Điều đầu tiên bạn cần làm là xác định xem cuộc tấn công có còn đang diễn ra hay không. Nếu bạn nghi ngờ điều đó đang xảy ra và bạn không có sẵn công cụ để ngăn chặn, hãy xác định thiết bị nào đã bị ảnh hưởng và cách ly chúng ngay lập tức. Cách đơn giản nhất là rút cáp mạng hoặc tắt bộ điều hợp Wi-Fi. Nếu thiệt hại lan rộng hơn sang một số thiết bị khác, hãy cân nhắc thực hiện việc này ở cấp độ chuyển đổi và đưa toàn bộ phân đoạn mạng vào chế độ ngoại tuyến thay vì từng thiết bị riêng lẻ. Chỉ tắt thiết bị nếu bạn không thể ngắt kết nối mạng.
Thứ hai, bạn cần đánh giá thiệt hại. Điểm cuối, máy chủ và hệ điều hành nào bị ảnh hưởng, cái gì đã bị đánh cắp? Các bản sao lưu của bạn vẫn còn nguyên vẹn hay kẻ tấn công đã xóa chúng? Nếu chúng còn nguyên vẹn, hãy tạo một bản sao ngoại tuyến ngay lập tức. Ngoài ra, máy nào đã được bảo vệ? Chúng sẽ đóng vai trò rất quan trọng trong việc giúp bạn phục hồi trở lại.
Thứ ba, bạn có sẵn kế hoạch ứng phó nào cho sự cố toàn diện không? Nếu không, bạn cần xác định ai sẽ tham gia giải quyết vụ việc này. Sẽ cần có quản trị viên CNTT và quản lý cấp cao, nhưng bạn cũng có thể cần mời các chuyên gia bảo mật bên ngoài, tham khảo ý kiến của cố vấn pháp lý và bảo hiểm mạng. Bạn có nên báo cáo vụ việc cho cơ quan thực thi pháp luật và/hoặc thông báo cho cơ quan bảo vệ dữ liệu không? Ngoài ra còn có câu hỏi về thông tin nào nên được cung cấp cho người dùng và khách hàng vì nhiều người trong số họ có thể đến nơi làm việc và phải đối mặt với thông báo đòi tiền chuộc tương tự trên máy tính để bàn của họ.
Cuối cùng nhưng không kém phần quan trọng: bạn sẽ muốn nói chuyện với mọi người về những gì đang xảy ra, nhưng những kẻ tấn công có thể đang nghe lén, vì vậy đừng sử dụng các kênh liên lạc thông thường của bạn. Ví dụ: nếu những kẻ xâm nhập đã ở trong mạng của bạn trong một khoảng thời gian, chúng có thể có quyền truy cập vào email.
Việc cần làm tiếp theo: điều tra
Khi bạn đã ngăn chặn và vô hiệu hóa được cuộc tấn công, hãy dành thời gian điều tra xem điều gì đã xảy ra để có thể giảm khả năng nó xảy ra lần nữa. Nếu bạn không cảm thấy tự tin khi tự mình thực hiện việc này, thì luôn có sự trợ giúp chuyên nghiệp về ứng phó sự cố và tìm kiếm mối đe dọa 24/7 từ các nhà cung cấp bảo mật, bao gồm cả Sophos.
Theo đội ngũ Phản hồi nhanh của Sophos, đây là những gì bạn cần dự đoán được từ hoạt động của ransomware gây ra trên mạng của mình:
1. Những kẻ tấn công rất có thể đã truy cập mạng của bạn được vài ngày hoặc thậm chí vài tuần. Mã độc ransomware cũng bao gồm việc lọc dữ liệu. Nó được điều hành bởi các nhánh nhỏ, những người kiếm được một phần lợi nhuận từ tiền chuộc. Các chi nhánh này cần thời gian để khám phá mạng của mục tiêu nhằm tìm ra và đánh cắp dữ liệu có giá trị cao, đồng thời đảm bảo sự gián đoạn tối đa vì điều này cho phép họ tính tiền chuộc cao hơn.
Những người ứng phó sự cố của Sophos đã nhận thấy thời gian dừng của kẻ xâm nhập dao động từ khoảng 10 đến 28 ngày trong các cuộc tấn công liên quan đến việc phát hành ransomware.
2. Những kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau để đột nhập vào mạng của bạn. Các phương thức truy cập ban đầu được biết đến của phần mềm ransomware bao gồm các chiến dịch thư rác cung cấp tệp JavaScript độc hại không giới hạn, làm lộ dịch vụ RDP (Giao thức máy tính từ xa) và các mạng riêng ảo (VPN). Các trang web như Shodan.io cung cấp thông tin chi tiết về những việc kẻ tấn công có thể làm để tìm hiểu về mạng của bạn; hãy thử sử dụng nó để tìm kiếm địa chỉ IP bên ngoài của bạn.
Những kẻ tấn công sử dụng ransomware cũng nhắm vào cả hệ thống Windows và Linux.
3. Những kẻ tấn công sẽ có quyền truy cập an toàn vào các tài khoản quản trị viên domain cũng như các tài khoản người dùng khác. Chúng thường xâm phạm nhiều tài khoản trong một cuộc tấn công. Mục tiêu chính của chúng là có quyền truy cập vào tài khoản quản trị viên domain mà họ có thể sử dụng để khởi chạy ransomware. Tuy nhiên, chúng cũng nhắm mục tiêu vào các tài khoản quản trị viên cụ thể có quyền truy cập vào dữ liệu nhạy cảm, hệ thống sao lưu và bảng điều khiển quản lý bảo mật.
Những kẻ tấn công sử dụng các công cụ như Mimikatz để đánh cắp thông tin xác thực truy cập tài khoản và leo thang đặc quyền khi chúng ở trong mạng. Mimikatz có thể nắm bắt thông tin từ một quy trình Microsoft LSASS.exe đang chạy có chứa tên người dùng/mật khẩu của người dùng hiện đang đăng nhập. Đôi khi những kẻ tấn công sẽ để nó chạy và sau đó cố tình làm hỏng thứ gì đó trên máy mà chúng nhắm mục tiêu, kích động quản trị viên đăng nhập để sửa nó. Những kẻ tấn công sau đó có thể lấy được thông tin đăng nhập của quản trị viên này.
Nếu Mimikatz bị chặn bởi phần mềm bảo mật, thay vào đó, những kẻ tấn công có thể sử dụng thứ gì khác như Microsoft Process Monitor để thực hiện kết xuất bộ nhớ LSASS.exe và đưa tệp kết xuất đó trở lại máy của chúng để trích xuất thông tin bằng Mimikatz. Với Mimikatz, mật khẩu dài hay phức tạp không quan trọng vì nó sẽ đưa chúng ra khỏi bộ nhớ.
4. Những kẻ tấn công sẽ quét mạng của bạn. Chúng biết bạn có bao nhiêu máy chủ và điểm cuối cũng như nơi bạn lưu giữ các bản sao lưu, dữ liệu và ứng dụng quan trọng trong kinh doanh. Một trong những điều đầu tiên kẻ tấn công làm khi xâm nhập vào mạng là xác định quyền truy cập chúng có trên máy cục bộ. Bước tiếp theo là tìm hiểu xem có máy từ xa nào tồn tại và liệu chúng có thể truy cập chúng hay không.
Những kẻ tấn công ransomware, giống như nhiều kẻ tấn công bằng bàn phím khác, sử dụng RDP để di chuyển bên trong mạng để xâm nhập vào các máy chủ và máy tính mang tài sản có giá trị cao.
5. Những kẻ tấn công có thể đã tải xuống và cài đặt các lối đi phía sau cho phép chúng truy cập mạng của bạn và cài đặt các công cụ bổ sung. Chúng sẽ thiết lập các thư mục để thu thập và lưu trữ thông tin bị đánh cắp cũng như các kênh để liên lạc với những kẻ tấn công khác và chuyển thông tin ra khỏi mạng của bạn.
Các cửa hậu có nhiều dạng khác nhau. Một số chỉ liên lạc lại với địa chỉ IP của kẻ tấn công, cho phép chúng gửi và nhận lệnh tới máy.
Nhiều cửa hậu được phân loại là ứng dụng hợp pháp. Ví dụ: kẻ tấn công có thể sử dụng các công cụ Quản trị từ xa như RDP để duy trì quyền truy cập. Ngay cả khi RDP bị tắt theo mặc định, kẻ tấn công có quyền truy cập quản trị viên vào máy vẫn rất dễ dàng kích hoạt lại nó. Một công cụ hợp pháp phổ biến khác được sử dụng là AnyDesk. Điều này cho phép kẻ tấn công kiểm soát trực tiếp máy, bao gồm quyền kiểm soát chuột/bàn phím và khả năng nhìn thấy màn hình.
Các nhà khai thác ransomware (ví dụ như mã độc Avaddon) được biết là sử dụng Cobalt Strike, một công cụ pen-test tiên tiến sau khai thác. Những kẻ tấn công thường sẽ cố gắng thiết lập “đèn hiệu” Cobalt Strike. Điều này cho phép việc liên lạc thường xuyên trở lại máy chủ Cobalt Strike (“ra lệnh và kiểm soát” cho cuộc tấn công) và cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn máy. Nó cũng có thể được sử dụng để dễ dàng triển khai thêm các đèn hiệu trên các máy khác trong mạng.
6. Ngoài việc mã hóa dữ liệu và làm gián đoạn phần mềm và hoạt động, các nhà khai thác dạng mã độc này sẽ cố gắng lấy cắp dữ liệu của công ty trước sự kiện ransomware chính. Những người ứng phó sự cố đã điều tra các cuộc tấn công liên quan đến ransomware và phát hiện ra rằng những kẻ vận hành đã sử dụng công cụ lưu trữ WinRar để thu thập dữ liệu, sau đó lọc dữ liệu đến nhà cung cấp lưu trữ đám mây www.Mega.nz bằng ứng dụng MegaSync của họ. Mega được các đối thủ ưa chuộng vì nó mang lại cho họ mức độ ẩn danh.
7. Những kẻ tấn công có thể đã cố mã hóa, xóa, đặt lại hoặc gỡ cài đặt bản sao lưu của bạn. Trừ khi các bản sao lưu của bạn được lưu trữ ngoại tuyến, chúng sẽ nằm trong tầm tay của những kẻ tấn công. Một “bản sao lưu” trực tuyến và luôn sẵn có chỉ là bản sao thứ hai của các tệp đang chờ được mã hóa.
8. Những kẻ tấn công sẽ cố gắng xác định giải pháp bảo mật nào được sử dụng trong mạng và liệu chúng có thể vô hiệu hóa nó hay không. Việc bảo vệ của bạn tốt đến mức nào không quan trọng nếu kẻ tấn công có thể tắt nó đi.
Các công cụ mặc định miễn phí, chẳng hạn như Windows Defender, có thể bị vô hiệu hóa ngay lập tức bởi bất kỳ ai có đủ quyền quản trị viên. Hầu hết các ransomware hiện đại đều cố gắng thực hiện việc này theo mặc định. Những kẻ tấn công cũng cố gắng tìm và giành quyền truy cập vào bảng điều khiển quản lý của các giải pháp bảo mật tiên tiến hơn để vô hiệu hóa mọi biện pháp bảo vệ ngay trước khi chúng khởi chạy ransomware.
Bảng điều khiển quản lý bảo mật được lưu trữ cục bộ sẽ đặc biệt gặp rủi ro vì kẻ tấn công có thể truy cập bằng tài khoản mà chúng đã xâm phạm.
9. Phần dễ thấy nhất của cuộc tấn công là việc phát hành ransomware có thể diễn ra khi không có quản trị viên CNTT hoặc chuyên gia bảo mật nào trực tuyến để nhận ra và ngăn chặn kịp thời quá trình mã hóa tệp kéo dài, có thể vào lúc nửa đêm hoặc cuối tuần.
Lưu ý: Quá trình mã hóa mất hàng giờ. Điểm cuối Windows được mã hóa sẽ có hàng chục hoặc hàng trăm nghìn tệp được mã hóa vào thời điểm phần mềm ransomware hoàn tất. Đối với các máy chủ tệp lớn, con số này có thể lên tới hàng triệu. Đây là lý do tại sao hầu hết các cuộc tấn công bằng ransomware có chủ đích đều được phát động vào lúc nửa đêm, vào cuối tuần hoặc vào ngày lễ, khi có ít người theo dõi hơn.
Cho đến thời điểm này, những kẻ tấn công vẫn cố gắng ẩn nấp, nhưng đến đây chiến thuật của chúng đã thay đổi. Chúng muốn cho bạn biết chúng đang ở đó và những gì chúng đã làm. Chúng muốn bạn xem lượng dữ liệu đã bị mất và hiểu rằng ai đó đã thực hiện việc này một cách cố ý và giờ chúng muốn một khoản thanh toán để giải mã dữ liệu.
Đây là lý do tại sao, trong hầu hết các cuộc tấn công bằng ransomware, các tệp bị mã hóa sẽ có tên mở rộng mới được thêm vào cuối tệp. Ví dụ: “MyReport.docx” có thể trở thành “MyReport.docx.encrypted”. Các ghi chú đòi tiền chuộc thường được hiển thị nổi bật ở nhiều nơi, làm tăng thêm sự hỗn loạn và căng thẳng.
10. Phần mềm tống tiền sẽ được triển khai đến tất cả các điểm cuối của bạn và mọi máy chủ đang trực tuyến tại thời điểm tấn công – miễn đó là điều kẻ tấn công mong muốn. Ransomware được “triển khai” như một ứng dụng thông thường; trong hầu hết các cuộc tấn công, nó không lan truyền ngẫu nhiên theo mọi hướng. Nếu máy chủ của bạn được mã hóa chứ không phải điểm cuối của bạn, đó là do kẻ tấn công đã chọn chỉ nhắm mục tiêu vào máy chủ của bạn.
Phần mềm ransomware có thể được triển khai theo nhiều cách khác nhau. Trong một số trường hợp, những kẻ tấn công có thể đã tạo các tác vụ theo lịch trình trên các điểm cuối và máy chủ trên mạng để triển khai ransomware vào một thời điểm được xác định trước.
Một phương pháp khác thường được nhiều dòng ransomware khác nhau sử dụng là sự kết hợp giữa các tập tin hàng loạt và công cụ Microsoft PsExec, một công cụ tuyệt vời để thực thi các lệnh trên các máy từ xa. Kẻ tấn công có thể tạo một tập tin hàng loạt lặp theo danh sách các địa chỉ IP của bạn, sử dụng PsExec để sao chép phần mềm ransomware vào từng máy rồi thực thi nó. Mặc dù hầu hết các giải pháp bảo mật (bao gồm cả Sophos) đều chặn PsExec theo mặc định, quản trị viên thường cho phép sử dụng nó trên mạng của họ vì họ cũng thấy nó hữu ích – và thật không may, những kẻ tấn công biết điều này.
Những kẻ tấn công cũng có thể tạo hoặc chỉnh sửa tập lệnh đăng nhập Đối tượng chính sách nhóm (GPO) hiện có. Nếu bạn không phát hiện ra điều này, cuộc tấn công có thể khởi động lại mỗi khi máy khởi động và kết nối với miền. Điều này khiến ransomware có vẻ như đang “lây lan” trong khi thật ra nó chỉ do GPO gây ra.
11. Kích hoạt ransomware không phải là cái kết cuối của chuỗi tấn công khi hacker còn ở đó. Những kẻ tấn công có thể sử dụng các công cụ mà chúng đã cài đặt trước đó để duy trì mạng nhằm theo dõi tình hình và thậm chí cả liên lạc qua email của bạn để xem cách bạn phản ứng với việc phát hành phần mềm ransomware. Một email gửi tới Giám đốc điều hành cho biết rằng bạn vẫn ổn vì những kẻ tấn công không mã hóa các bản sao lưu trên Máy chủ X, có thể là một thảm họa nếu kẻ tấn công đọc được nó trong khi vẫn có quyền truy cập vào máy chủ đó.
Kẻ tấn công cũng có thể đợi cho đến khi bạn hồi phục rồi mới thực hiện cuộc tấn công thứ hai để thực sự nhấn mạnh rằng chúng có thể tiếp tục làm điều này cho đến khi bạn trả tiền.
Những kẻ tấn công có một chiến thuật khác được thiết kế để gây áp lực buộc các mục tiêu phải trả tiền: chúng tiến hành một cuộc tấn công DDoS nhằm cố gắng làm gián đoạn các hoạt động và liên lạc.
12. Thời gian khai thác trong hệ thống của bạn có thể đã cho phép những kẻ tấn công đánh cắp thông tin quan trọng, nhạy cảm và bí mật trong kinh doanh mà giờ đây chúng đe dọa sẽ tiết lộ công khai. Các dạng ransomware phổ biến hiện nay, ví dụ như Avaddon có sử dụng bộ điều khiển RaaS vận hành một “trang web rò rỉ” công khai: avaddongun7rngel[.]onion. Các mục tiêu bị các chi nhánh của Avaddon tấn công đang bị đe dọa rằng nguy cơ dữ liệu của họ sẽ bị công bố trên trang web cho bất kỳ ai xem, trừ khi họ trả tiền chuộc. Một số dữ liệu có giá trị hơn có thể được bán cho những kẻ tấn công khác để sử dụng trong các cuộc tấn công tiếp theo.
Những kẻ tấn công sẽ tuyên bố chúng sẽ bắt đầu xuất bản dữ liệu bị đánh cắp ở bất kỳ đâu từ vài ngày đến một tuần sau cuộc tấn công chính nếu không nhận được liên lạc nào từ mục tiêu hoặc khi các cuộc đàm phán không thành công. Chúng thường bắt đầu bằng cách phát hành khoảng 5% dữ liệu mà chúng tuyên bố nắm giữ. Tuy nhiên, có thể mất vài tuần hoặc thậm chí lâu hơn trước khi bất cứ điều gì được công bố.
Hệ thống bảo vệ có thể làm gì
Có một số bước chủ động mà bạn có thể thực hiện để tăng cường bảo mật CNTT trong tương lai, bao gồm:
- Giám sát an ninh mạng của bạn 24/7 và nhận biết năm dấu hiệu ban đầu mà kẻ tấn công hiện diện để ngăn chặn các cuộc tấn công bằng ransomware trước khi chúng khởi chạy
- Tắt giao thức máy tính từ xa (RDP) kết nối internet để ngăn chặn tội phạm mạng truy cập vào mạng. Nếu bạn cần quyền truy cập vào RDP, hãy đặt nó sau kết nối VPN và thực thi việc sử dụng Xác thực đa yếu tố (MFA)
- Hướng dẫn nhân viên về những điều cần chú ý liên quan đến lừa đảo trực tuyến và thư rác độc hại, đồng thời đưa ra các chính sách bảo mật mạnh mẽ
- Giữ bản sao lưu thường xuyên của những dữ liệu hiện tại và quan trọng nhất của bạn trên thiết bị lưu trữ ngoại tuyến. Khuyến nghị tiêu chuẩn cho việc sao lưu là thực hiện theo phương pháp 3-2-1: 3 bản sao dữ liệu, sử dụng 2 hệ thống khác nhau, 1 trong số đó là ngoại tuyến
- Ngăn chặn kẻ tấn công truy cập và vô hiệu hóa bảo mật của bạn: chọn giải pháp nâng cao với bảng điều khiển quản lý được lưu trữ trên đám mây có bật xác thực đa yếu tố và Quản trị dựa trên vai trò để hạn chế quyền truy cập
- Hãy nhớ rằng, không có giải pháp bảo vệ duy nhất nào nên một mô hình bảo mật phòng thủ chuyên sâu theo nhiều lớp là điều cần thiết – hãy mở rộng mô hình này đến tất cả các điểm cuối và máy chủ, đồng thời đảm bảo chúng có thể chia sẻ dữ liệu liên quan đến bảo mật
- Có sẵn kế hoạch ứng phó sự cố hiệu quả và cập nhật kế hoạch đó khi cần thiết. Nếu bạn không cảm thấy tự tin rằng mình có đủ kỹ năng hoặc nguồn lực để thực hiện việc giám sát các mối đe dọa hoặc ứng phó với các sự cố khẩn cấp, hãy cân nhắc việc nhờ đến các chuyên gia bên ngoài để được trợ giúp.
Kết luận
Đối phó với một cuộc tấn công mạng là một trải nghiệm căng thẳng. Việc xóa bỏ mối đe dọa trước mắt và kế thúc vụ việc có thể là lựa chọn tốt, nhưng sự thật là khi làm như vậy bạn khó có thể loại bỏ được mọi dấu vết của cuộc tấn công. Điều quan trọng là bạn phải dành thời gian để xác định cách những kẻ tấn công xâm nhập, rút kinh nghiệm từ mọi sai lầm và cải thiện khả năng bảo mật của mình. Nếu không, bạn sẽ gặp rủi ro rằng kẻ tấn công tương tự hoặc kẻ khác có thể đến và làm điều này với bạn một lần nữa vào tuần tới.