Ransomware là gì?

Ransomware là một loại phần mềm độc hại được tội phạm mạng sử dụng để giữ dữ liệu với mức giá chuộc cố định - yêu cầu thanh toán để lấy lại các tệp. Phần mềm này thường hoạt động bằng cách mã hóa dữ liệu và chỉ cung cấp khóa giải mã sau khi tiền chuộc được thực hiện. Kể từ khi phát hiện ra, ransomware đã trở thành một loại đạn dược mạng phát triển và tiến hóa nhanh chóng - lây nhiễm cho cả người dùng cá nhân và công ty. Một báo cáo của nhóm NCC mô tả sự gia tăng đáng kinh ngạc của các trường hợp ransomware là 84% vào năm 2023.

Báo cáo của Statista báo cáo cho thấy hơn 72% công ty trên toàn thế giới bị ảnh hưởng bởi ransomware vào năm 2023. Các khoản thanh toán ransomware trong cùng năm đã vượt mốc 1 tỷ đô la, con số cao nhất từng được ghi nhận trong lịch sử ransomware. Do đó, điều quan trọng là phải hiểu lịch sử và sự phát triển của ransomware để chuẩn bị và triển khai tốt hơn các biện pháp chống ransomware mạnh mẽ cho tổ chức của bạn.

What Is Ransomware?

Cuộc tấn công bằng phần mềm tống tiền diễn ra như thế nào?

Ransomware Đầu Tiên

Mỗi nhân vật phản diện đều có một câu chuyện về nguồn gốc, và ransomware cũng không ngoại lệ. Năm 1989, Joseph Popp là một nhà sinh vật học hàng đầu đã phân phối 20.000 đĩa mềm ransomware cho các nhà nghiên cứu AIDS đồng nghiệp của mình. Theo CNN, các đĩa này được gửi qua đường bưu điện đến những người tham dự hội nghị về AIDS của Tổ chức Y tế Thế giới tại Stockholm và được cho là có chứa một bảng câu hỏi trên máy tính mà Tiến sĩ Popp cho biết sẽ giúp xác định nguy cơ mắc AIDS của bệnh nhân.

Tuy nhiên, nhà nghiên cứu được đào tạo tại Harvard này đã lây nhiễm phần mềm độc hại vào mọi đĩa, sau này được gọi là "AIDS kỹ thuật số" đầu tiên. Phần mềm độc hại đã được gửi đến khoảng 90 quốc gia khác nhau và nằm im cho đến khi máy tính được bật 90 lần, sau đó một thông báo đòi tiền chuộc xuất hiện trên màn hình yêu cầu 189 đô la Mỹ được gửi trong một phong bì đến một hộp thư bưu điện ở Panama.

Tất nhiên, cuộc tấn công mạng này chỉ ở mức cơ bản nhất nhưng nó đã mở đường cho sự phát triển của phần mềm tống tiền thành mối đe dọa tinh vi như ngày nay.

Các Loại Ransomware Phổ Biến

Phần mềm tống tiền có thể được phân loại thành 5 loại.

  • Phần mềm dọa nạt: Loại đầu tiên được gọi là "phần mềm dọa nạt" và dựa vào sự không quen thuộc của người dùng với máy tính hoặc phần mềm. Phần mềm độc hại này ngay lập tức nhắm mục tiêu vào người dùng bằng mã lỗi và cảnh báo hệ thống để dọa họ nhấp vào các liên kết đáng ngờ vì sợ làm hỏng thiết bị của họ. Phần mềm độc hại lấy thông tin tài chính của bạn bằng cách yêu cầu thanh toán đơn giản để cảnh báo biến mất.
    • Ví dụ: Phần mềm diệt vi-rút giả mạo, lừa đảo hỗ trợ kỹ thuật
  • Phần mềm mã hóa: Dạng phần mềm tống tiền được biết đến nhiều nhất là "phần mềm mã hóa-phần mềm tống tiền" hoặc "phần mềm mã hóa". Loại phần mềm độc hại này lấy thông tin từ ý tưởng đĩa mềm của Tiến sĩ Popp và sử dụng mã hóa để khiến các tệp không thể truy cập được nếu không có khóa mật mã cụ thể mà chỉ có thể lấy được sau khi thanh toán tiền chuộc. Không giống như pháo binh của Popp, hầu hết các cuộc tấn công bằng phần mềm mã hóa hiện đại đều yêu cầu thanh toán dưới dạng bitcoin – khiến việc theo dõi trở nên khó khăn hơn nhiều so với địa chỉ bưu chính.
    • Ví dụ: CryptoLocker, WannaCry, Locky
  • Locker Ransomware: Thường được gọi là Lockers, loại phần mềm tống tiền này khóa hoàn toàn người dùng khỏi hệ thống, khiến các tệp và ứng dụng không thể truy cập được, đôi khi thậm chí là cả màn hình nền. Màn hình khóa hiển thị yêu cầu tiền chuộc, thường có đồng hồ đếm ngược để tăng tính cấp bách.
    • Ví dụ: Winlocker, phần mềm tống tiền theo chủ đề cảnh sát
  • Doxware hoặc Leakware: Còn được gọi là phần mềm tống tiền, phần mềm tống tiền này đe dọa sẽ công bố thông tin nhạy cảm, chẳng hạn như ảnh cá nhân, hồ sơ tài chính hoặc tài liệu kinh doanh, trừ khi nạn nhân trả tiền chuộc. Do gây ra tổn thất đáng kể về mặt danh tiếng, Doxware được coi là một trong những cuộc tấn công ransomware nguy hiểm nhất trong quá trình phát triển của ransomware.
    • Ví dụ: Maze, REvil/Sodinokibi
  • Ransomware-as-a-Service (RaaS): Đúng như tên gọi, RaaS là ​​mô hình dịch vụ kinh doanh trong đó tội phạm mạng phát triển và bán ransomware cho những tên tội phạm khác. Điều này cho phép ngay cả những tên tội phạm có chuyên môn kỹ thuật hạn chế cũng có thể phát động các cuộc tấn công ransomware. Tin tặc chuyên nghiệp chính xử lý mọi khía cạnh của các cuộc tấn công để đổi lấy một phần tiền chuộc.
    • Ví dụ: Cerber, Satan, Philadelphia

Các Cuộc Tấn Công Ransomware Lớn

Những kẻ tấn công ransomware thường xuyên thay đổi và cải tiến "vũ khí" của mình bằng cách lợi dụng tính ẩn danh và sự thay đổi nhanh chóng của không gian mạng.

Cuộc Tấn Công WannaCry – Tháng 5/2017

Tác động: Hơn 230.000 máy tính trên 150 quốc gia đã bị nhiễm chỉ trong một ngày.

Thiệt hại tài chính: Ước tính khoảng 4 tỷ đô la.

Phần mềm tống tiền WannaCry bùng nổ vào tháng 5 năm 2017, lây nhiễm ít nhất 75.000 máy tính trên 99 quốc gia và ảnh hưởng đến các bệnh viện và doanh nghiệp. Phần mềm tống tiền này nhắm mục tiêu vào các máy tính sử dụng Microsoft Windows làm hệ điều hành và mã hóa dữ liệu quan trọng sau đó tống tiền dưới dạng Bitcoin để trả lại. Phần mềm tống tiền này đã tấn công khoảng 230.000 máy tính trên toàn cầu. Năm 2018, phần mềm độc hại WannaCry cũng tấn công Taiwan Semiconductor Manufacturing – nhà sản xuất chip theo hợp đồng lớn nhất thế giới.

Cuộc Tấn Công Acer – Tháng 3/2021

Tác động: Mất 60GB thông tin quan trọng.

Yêu cầu tiền chuộc: 50 triệu đô la, cao nhất tại thời điểm đó.

Gã khổng lồ máy tính Đài Loan, Acer là nạn nhân của một cuộc tấn công bằng phần mềm tống tiền vào tháng 3 năm 2021, trong đó yêu cầu khoản tiền chuộc 50 triệu đô la Mỹ - khoản tiền chuộc lớn nhất được yêu cầu đối với bất kỳ nạn nhân nào tại thời điểm đó. Nhóm phần mềm tống tiền REvil đã nhận trách nhiệm về vụ vi phạm và công bố hình ảnh báo cáo tài chính và các tài liệu khác được cho là bị đánh cắp từ công ty như một phương tiện để nhận trách nhiệm về vụ tấn công.

Cuộc Tấn Công Brenntag – Tháng 5/2021

Tác động: 150GB dữ liệu bị đánh cắp trong vụ vi phạm.

Thiệt hại tài chính: 4,4 triệu đô la tiền chuộc được trả bằng Bitcoin.

Nhà phân phối hóa chất Đức Brenntag SE được cho là đã trả 4,4 triệu đô la tiền chuộc bằng Bitcoin cho nhóm ransomware DarkSide vào ngày 11 tháng 5 để có được trình giải mã cho các tệp bị tin tặc mã hóa trong một cuộc tấn công ransomware gần đây vào công ty. Các tác nhân đe dọa đã mã hóa các thiết bị trên mạng và tuyên bố đã đánh cắp 150GB dữ liệu trong cuộc tấn công của chúng - chúng đã chứng minh điều này bằng cách tạo một trang rò rỉ dữ liệu riêng tư có mô tả về dữ liệu đã lấy và ảnh chụp màn hình các tệp.

Cuộc Tấn Công Colonial Pipeline – Tháng 5/2021

Tác động: Việc bồi thường đường ống bị chặn đòi hỏi khoảng 13.000 tàu chở nhiên liệu cỡ trung mỗi ngày.

Thiệt hại tài chính: Khoản tiền chuộc khoảng 4,4 triệu đô la bằng tiền điện tử.

Vào đầu tháng 5, Colonial Pipeline Company đã thông báo rằng họ đã trở thành nạn nhân của một cuộc tấn công bằng phần mềm tống tiền. Công ty đã đình chỉ các tài sản CNTT bị ảnh hưởng, cũng như đường ống chính của mình - chịu trách nhiệm vận chuyển 100 triệu gallon nhiên liệu mỗi ngày giữa Texas và New York. Trong quá trình hỗ trợ Công ty Đường ống Colonial trong các nỗ lực phục hồi, FBI đã xác nhận rằng nhóm phần mềm tống tiền DarkSide chính là thủ phạm gây ra vụ tấn công.

Cuộc Tấn Công Accenture – Tháng 8/2021

Tác động: Một lượng dữ liệu khổng lồ 6 terabyte (TB) đã bị đánh cắp.

Thiệt hại tài chính: Số tiền chuộc là 50 triệu đô la

Gã khổng lồ tư vấn CNTT toàn cầu Accenture xác nhận rằng những kẻ điều hành ransomware LockBit đã đánh cắp dữ liệu từ hệ thống của họ trong một cuộc tấn công vào hệ thống của công ty. Theo báo cáo của Bleeping Computer, băng đảng ransomware tuyên bố đã đánh cắp sáu terabyte dữ liệu từ mạng lưới của Accenture và yêu cầu khoản tiền chuộc là 50 triệu đô la Mỹ. Vào tháng 9, công ty đã phủ nhận tuyên bố của băng đảng LockBit rằng họ cũng đã đánh cắp thông tin đăng nhập của khách hàng Accenture để có thể xâm phạm mạng của họ.

Cuộc Tấn Công Ultimate Kronos Group – Tháng 12/2021

Tác động: Khoảng 2.000 khách hàng bị ảnh hưởng.

Tổn thất tài chính: Thỏa thuận thanh toán khoản tiền giải quyết là 6 triệu đô la.

Một trong những công ty nhân sự lớn nhất đã tiết lộ một cuộc tấn công ransomware nghiêm trọng vào tháng 12 năm 2021 đã tác động đến hệ thống bảng lương của nhiều công nhân trong nhiều ngành. Theo NBC News, công ty cho biết các chương trình của họ dựa trên các dịch vụ đám mây—bao gồm cả những chương trình được Whole Foods, Honda và chính quyền địa phương sử dụng để trả lương cho nhân viên—sẽ không khả dụng trong vài tuần. Trong tuyên bố, thành phố Cleveland đã cảnh báo rằng thông tin nhạy cảm có thể đã bị xâm phạm trong cuộc tấn công – chẳng hạn như tên nhân viên, địa chỉ và bốn chữ số cuối của số an sinh xã hội.

Cuộc Tấn Công Nvidia – Tháng 2/2022

Tác động: Thông tin xác thực của nhân viên và thông tin công ty bị xâm phạm.

Tổn thất tài chính: Sự gián đoạn vẫn dẫn đến khoản lỗ 63 triệu đô la doanh thu quảng cáo trong quý IV và 11 triệu đô la chi phí khắc phục.

Nvidia, công ty sản xuất chip bán dẫn lớn nhất thế giới, đã bị xâm phạm bởi cuộc tấn công mạng vào tháng 2 năm 2022. Công ty có trụ sở tại California đã xác nhận rằng tác nhân đe dọa đã bắt đầu rò rỉ thông tin xác thực của nhân viên và thông tin độc quyền trực tuyến. Lapsus$ - một băng nhóm tin tặc, đã nhận trách nhiệm về vụ tấn công và tuyên bố rằng chúng đã truy cập vào 1TB dữ liệu quan trọng của công ty, sau đó yêu cầu Nvidia trả 1 triệu đô la tiền chuộc và một phần trăm phí không xác định. Vào tháng 1, Lapsus$ cũng nhận trách nhiệm về cuộc tấn công bằng phần mềm tống tiền vào Impresa - tập đoàn truyền thông lớn nhất Bồ Đào Nha.

Cuộc Tấn Công Costa Rica – Tháng 4/2022

Tác động: Hơn 600TB dữ liệu bị đánh cắp bị rò rỉ trực tuyến.

Thiệt hại tài chính: Các báo cáo cho thấy thiệt hại hàng ngày khoảng 30 triệu đô la.

Tổng thống Costa Rica đã ban bố tình trạng khẩn cấp sau khi cuộc tấn công bằng phần mềm tống tiền Conti khiến đất nước rơi vào hỗn loạn vào tháng 4 năm nay. Cuộc tấn công đã ảnh hưởng đến các hệ thống chăm sóc sức khỏe trong bối cảnh xét nghiệm covid-19 và có khả năng sẽ gây ra những tác động lâu dài cho đất nước.

Cuộc Tấn Công Nhóm Nikkei – Tháng 5/2022

Tác động: Dữ liệu khách hàng bị xâm phạm.

Tổn thất tài chính: Các khoản lỗ chính xác vẫn chưa được tiết lộ.

Cuối cùng, trụ sở chính tại Singapore của Nikkei Group, gã khổng lồ truyền thông, cũng là nạn nhân của một cuộc tấn công bằng phần mềm tống tiền vào tháng 5 năm 2022. Người ta phát hiện ra rằng có truy cập trái phép vào máy chủ nội bộ của họ và công ty đã phát hiện ra một vi phạm - tuyên bố rằng có khả năng dữ liệu khách hàng đã bị ảnh hưởng. Sự việc này xảy ra sau vụ việc năm 2019, trong đó một nhân viên được hướng dẫn gian lận để chuyển một khoản tiền cho bên thứ ba thông qua trò lừa đảo BEC - khiến tổ chức này thiệt hại khoảng 29 triệu đô la.

Hầu hết các cuộc tấn công này được thực hiện bởi các nhóm tin tặc có xu hướng sử dụng mô hình Ransomware-as-a-service. Những mô hình này tương tự như các khuôn khổ phần mềm-as-a-service, ngoại trừ việc chúng tạo điều kiện cho việc cài đặt và chạy phần mềm độc hại vào mạng. Người dùng dịch vụ này trả tiền để khởi chạy phần mềm tống tiền do các nhà điều hành phát triển.

Cuộc Tấn Công Royal Mail Của Anh – Tháng 1/2023

Tác động: Dữ liệu từ hệ thống của công ty bao gồm trang web theo dõi bưu kiện, hệ thống thanh toán trực tuyến và một số dịch vụ khác.

Tổn thất tài chính: Yêu cầu tiền chuộc 80 triệu đô la không được đáp ứng.

Nhóm khét tiếng nhất trong lịch sử ransomware, LockBit đã phát động một cuộc tấn công vào Royal Mail, dịch vụ bưu chính quốc gia của Vương quốc Anh vào tháng 1 năm 2023. Nhóm này đã tấn công và làm tê liệt một số hệ thống của công ty, khiến hàng triệu lá thư và bưu kiện bị kẹt và không được chuyển phát. LockBit yêu cầu khoản tiền chuộc 80 triệu đô la, tương đương 0,5% doanh thu của công ty, để đổi lấy việc giải mã các tệp. Royal Mail đã từ chối yêu cầu này và cuối cùng nhóm ransomware đã công bố dữ liệu bị đe dọa và trở thành một trong những

Cuộc tấn công MOVEit - Tháng 5 năm 2023

Tác động: 600 tổ chức và gần 40 triệu người được cho là đã bị ảnh hưởng cho đến nay.

Thiệt hại tài chính: Hơn 100 triệu đô la tiền chuộc.

Một trong những sự cố lớn nhất trong năm, CL0P đã tấn công phần mềm chuyển tệp MOVEit vào tháng 5 năm 2023 bằng cách khai thác lỗ hổng tiêm SQL chưa từng biết đến trước đây (CVE-2023-34362). Một số công ty trị giá hàng tỷ đô la bao gồm BBC, Zellis, British Airways, Ofcom, Ernst and Young và Transport for London đã bị ảnh hưởng bởi cuộc tấn công bằng phần mềm tống tiền này. Tổng tác động của cuộc tấn công bằng phần mềm tống tiền này vẫn chưa được biết vì một số công ty không chắc chắn liệu họ có bị ảnh hưởng bởi phần mềm hay không.

Cuộc tấn công mạng vào các sòng bạc Caesars và MGM - Tháng 9 năm 2023

Tác động: Thông tin cá nhân của một số khách hàng MGM và dữ liệu của 41.397 cư dân Maine bị đánh cắp là từ Caesars.

Thiệt hại tài chính: Caesars quyết định trả cho những kẻ tống tiền 15 triệu đô la trong khi MGM từ chối và tự khôi phục cơ sở hạ tầng của mình, dẫn đến khoản lỗ 100 triệu đô la.

Scattered Spider, đơn vị liên kết được cho là của nhóm ALPHV/BlackCat, đã tấn công Caesars và MGM, hai trong số những chuỗi khách sạn và sòng bạc lớn nhất Hoa Kỳ. Cuộc tấn công đã khiến toàn bộ cơ sở hạ tầng của các công ty bị đóng cửa, bao gồm trang web chính và ứng dụng di động, đặt phòng trực tuyến, ATM, máy đánh bạc và máy thẻ tín dụng. Cuộc tấn công được phát động bằng cách sử dụng kỹ thuật xã hội để xác định một nhân viên CNTT trên LinkedIn. Trong khi Caesars đồng ý trả tiền, MGM từ chối trả bất kỳ khoản tiền chuộc nào và thay vào đó tập trung vào việc khôi phục cơ sở hạ tầng của mình.

Cuộc tấn công R00TK1T vào Malaysia - Tháng 1 năm 2024

Tác động: Dữ liệu người dùng của YouTutor bị xâm phạm.

Tổn thất tài chính: Chưa đòi tiền chuộc.

Sau thông báo về chiến dịch tấn công mạng nhằm vào cơ sở hạ tầng của Malaysia vào ngày 26 tháng 1, nhóm tin tặc R00TK1T đã tấn công các giải pháp mạng và nhà tích hợp hệ thống, Aminia, trang web giáo dục trực tuyến, YouTutor và công ty viễn thông, Maxis. Maxis đã phủ nhận vụ vi phạm và xác định được một sự cố liên quan đến hệ thống của bên thứ ba. Nhóm tin tặc này quyết tâm bắt công ty chấp nhận vụ vi phạm, nếu không họ sẽ gây thêm hỗn loạn cho mạng lưới của mình. Nhóm này đã cảnh báo thêm rằng họ đang cùng nhau nhắm mục tiêu vào tất cả các công ty tại Malaysia và sẽ không dừng lại cho đến khi thông điệp của họ được lắng nghe.

Ransomware Known to Date

Để hầu hết các cuộc tấn công bằng phần mềm tống tiền thành công, chúng phải dựa vào một dạng phần mềm tống tiền tiên tiến. Theo Statista, có 78 họ ransomware mới được phát hiện vào năm 2021 - giảm 39% so với cùng kỳ năm trước so với 127 họ ransomware mới được phát hiện trong giai đoạn được đo lường trước đó.

Năm Số lượng họ ransomware mới được tìm thấy
2015 29
2016 247
2017 327
2018 222
2019 95
2020 127
2021 78
2022 26

Nguồn từ Statista

Xu hướng phát hiện phần mềm tống tiền mới liên tục thay đổi tùy thuộc vào một số yếu tố bao gồm các công nghệ mới nổi, lỗ hổng trong hệ thống toàn cầu và các hoạt động an ninh mạng chung được tuân thủ và ban hành trong thời gian đó.

Tổ chức bị ảnh hưởng bởi Ransomware

2023 đánh dấu năm có số lượng tổ chức bị ảnh hưởng bởi các cuộc tấn công ransomware cao nhất. Theo Statista, hơn 72% các tổ chức trên toàn cầu đã trở thành nạn nhân của các cuộc tấn công ransomware vào năm 2023, tăng dần trong năm năm qua. Ngoài ra, mỗi năm kể từ năm 2018, hơn một nửa số người trả lời trong cùng một cuộc khảo sát báo cáo rằng tổ chức của họ phải đối mặt với các cuộc tấn công ransomware. Xét về các ngành công nghiệp trên toàn thế giới, ngành sản xuất dường như thường xuyên bị tấn công bằng phần mềm tống tiền, trong đó thông tin đăng nhập bị xâm phạm là nguyên nhân chính dẫn đến các cuộc tấn công này vào năm 2023.

Thống kê: Tỷ lệ hàng năm của các tổ chức bị ảnh hưởng bởi các cuộc tấn công bằng phần mềm tống tiền trên toàn thế giới từ năm 2018 đến năm 2023 | Statista
Xem thêm số liệu thống kê tại Statista

Các doanh nghiệp trên toàn thế giới bị ảnh hưởng bởi phần mềm tống tiền 2018-2023

Xuất bản bởi Ani Petrosyan, ngày 28 tháng 3 năm 2024

Tính đến năm 2023, hơn 72 phần trăm doanh nghiệp trên toàn thế giới bị ảnh hưởng bởi các cuộc tấn công phần mềm tống tiền. Con số này thể hiện sự gia tăng so với năm năm trước và là con số cao nhất được báo cáo cho đến nay. Nhìn chung, kể từ năm 2018, hơn một nửa số người trả lời khảo sát mỗi năm đều tuyên bố rằng tổ chức của họ đã trở thành nạn nhân của phần mềm tống tiền.

Các ngành bị nhắm mục tiêu nhiều nhất

Vào năm 2023, ngành chăm sóc sức khỏe tại Hoa Kỳ một lần nữa lại là ngành bị nhắm mục tiêu nhiều nhất bởi các cuộc tấn công bằng phần mềm tống tiền. Ngành này cũng phải chịu nhiều vụ vi phạm dữ liệu nhất do hậu quả của các cuộc tấn công mạng. Ngành sản xuất quan trọng đứng thứ hai về số lượng các cuộc tấn công bằng phần mềm tống tiền, tiếp theo là ngành cơ sở vật chất của chính phủ.

Phần mềm tống tiền trong ngành sản xuất

Ngành sản xuất, cùng với các ngành phụ của nó, liên tục bị tấn công bằng phần mềm tống tiền, gây mất dữ liệu, gián đoạn kinh doanh và tổn hại đến danh tiếng. Thông thường, các cuộc tấn công mạng như vậy mang tính quốc tế và có mục đích chính trị. Vào năm 2023, thông tin đăng nhập bị xâm phạm là nguyên nhân hàng đầu gây ra các cuộc tấn công bằng phần mềm tống tiền trong ngành sản xuất.

Ransomware liên tục phát triển và tiến bộ theo cách thức xâm nhập vào mạng. Mặc dù có vẻ như không thể làm gì khi các công ty lớn bị xâm phạm, nhưng mọi người có thể thực hiện các biện pháp an ninh mạng phù hợp ở quy mô nhỏ hơn để đảm bảo rằng họ sẽ không trở thành nạn nhân tiếp theo của một cuộc tấn công ransomware.

Đây là phần mềm độc hại nhắm vào các máy tính chạy hệ điều hành Microsoft Windows và thường lây lan dưới dạng tệp đính kèm trong email. Phần mềm độc hại này thường được sử dụng trong các vụ lừa đảo qua mạng. Phần mềm tống tiền CryptoLocker đã được sử dụng để tấn công Hệ thống vắc-xin của Ý vào tháng 9 năm 2021.

Sangfor Engine Zero với công cụ phân tích AI nhiều giai đoạn có thể phát hiện các biến thể CryptoLocker và có sẵn trên cả hai nền tảng Tường lửa thế hệ tiếp theo (Bảo mật mạng)Bảo mật điểm cuối. Engine Zero được sử dụng trên tường lửa Network Secure để phát hiện các tệp phần mềm độc hại CryptoLocker có thể được nhúng trong tệp đính kèm email và được sử dụng trên Endpoint Secure để phát hiện và xóa các tệp phần mềm độc hại CryptoLocker trên điểm cuối trước khi chúng có thể được kích hoạt.

Biến thể ransomware Petya được phát hiện lần đầu tiên vào năm 2016 và nhắm vào các hệ thống chạy trên Microsoft Windows. Phần mềm độc hại mã hóa bảng tệp chính của máy tính, thay thế bản ghi khởi động chính bằng ghi chú tiền chuộc và khiến máy tính không sử dụng được cho đến khi tiền chuộc được trả. Sau đó, nó phát triển để bao gồm các khả năng mã hóa tệp trực tiếp như một biện pháp an toàn và phiên bản đã sửa đổi có tên là "NotPetya". Phần mềm độc hại này nằm trong số các biến thể ransomware đầu tiên được cung cấp như một phần của hoạt động ransomware-as-a-service.

Phần mềm độc hại mới này dựa trên Conti ransomware và ban đầu được cho là có khả năng xóa dữ liệu. Theo Bleeping Computer, phần mềm tống tiền Onyx tạo điều kiện cho việc phá hủy các tệp lớn hơn 2MB thay vì mã hóa chúng - điều này ngăn chặn các tệp đó bị giải mã ngay cả khi đã trả tiền chuộc. Bản chất phá hoại của phần mềm độc hại khiến các chuyên gia an ninh mạng kiên quyết rằng nạn nhân không nên trả tiền chuộc đã gửi. Các báo cáo cho thấy Onyx đã nhắm mục tiêu vào khoảng 13 nạn nhân từ sáu quốc gia khác nhau.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ đã đưa ra cảnh báo về phần mềm tống tiền Hive, nêu rằng thông tin từ FBI cho thấy phần mềm này đã tấn công hơn 1.500 công ty trên toàn thế giới và nhận được hơn 130 triệu đô la tiền chuộc cho đến khi bị gián đoạn vào năm 2023. Những kẻ tấn công Hive có thể truy cập vào mạng bằng cách phân phối email lừa đảo có tệp đính kèm độc hại hoặc sử dụng thông tin đăng nhập một yếu tố thông qua giao thức kết nối mạng từ xa.

Hive

Nguồn từ trang Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ

Theo FBI, phần mềm tống tiền Zeppelin là một phần mềm phái sinh của họ phần mềm độc hại Vega dựa trên Delphi và hoạt động như Ransomware as a Service (RaaS). Những kẻ tấn công yêu cầu thanh toán tiền chuộc bằng Bitcoin, với số tiền ban đầu dao động từ vài nghìn đô la đến hơn một triệu đô la. Phần mềm độc hại tự cài đặt trong một thư mục tạm thời có tên “.zeppelin” rồi lây lan khắp thiết bị bị nhiễm, mã hóa các tệp. Sau khi lây lan, nó bắt đầu mã hóa các tệp. Sau đó, một ghi chú sẽ xuất hiện trong sổ ghi chép thông báo cho nạn nhân rằng họ đã bị tấn công và phải trả tiền chuộc để lấy lại dữ liệu.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã ban hành một khuyến cáo khác về loại ransomware này, loại ransomware này dựa vào các lỗ hổng trong Giao thức máy tính từ xa (RDP) để truy cập vào mạng. Sau khi mã hóa dữ liệu, một ghi chú đòi tiền chuộc sẽ được để lại cùng với hướng dẫn liên lạc trong mỗi thư mục chứa tệp được mã hóa với thông tin chi tiết về các khoản thanh toán đến một địa chỉ ví Bitcoin cụ thể. Một số báo cáo trích dẫn số liệu khoảng 24 nạn nhân trên toàn thế giới đã được xác định kể từ tháng 1 năm 2023.

Giữ vững vị thế thống trị với hơn 1000 cuộc tấn công được báo cáo vào năm 2023, LockBit vẫn là mối đe dọa lớn nhất trong lịch sử phần mềm tống tiền. Chúng nổi tiếng với các chiến thuật hung hăng và nhắm mục tiêu vào nhiều tổ chức, bao gồm cả cơ sở hạ tầng quan trọng. Vào ngày 20 tháng 2 năm 2024, LockBit đã bị hạ gục bởi một hoạt động quốc tế có sự tham gia của FBI và các cơ quan thực thi pháp luật nhưng đã xuất hiện trở lại bằng cách mở một cổng rò rỉ dữ liệu mới trên mạng TOR.

Nhóm này xuất hiện vào năm 2023 và đã nhanh chóng leo lên thứ hạng cao trong lịch sử ransomware với khoảng 81 nạn nhân. Quá trình phát triển ransomware của nhóm này được theo dõi chặt chẽ vì đây là một nhóm mới tham gia và các chiến thuật cũng như mục tiêu của chúng vẫn đang được triển khai. Chúng được biết đến với việc nhắm vào các tập đoàn lớn. Cảnh báo được đưa ra để thông báo cho mọi người về loại virus ransomware internet mới nổi này.

Hoạt động từ năm 2019, Cl0p là một nhóm đã thành danh với các chiến thuật tống tiền kép. Điều này bao gồm mã hóa dữ liệu của nạn nhân bằng một mật mã mạnh (thường là AES-256) và sau đó đánh cắp một bản sao của dữ liệu trước khi mã hóa. Chúng thường đe dọa sẽ tiết lộ dữ liệu nếu tiền chuộc không được trả. Chúng thường nhắm mục tiêu vào các công ty có doanh thu vượt quá 5 triệu đô la. Theo ước tính, CL0P có thể đã xâm phạm hơn 8.000 tổ chức trên toàn cầu,

BlackCat là một nhóm đáng gờm khác đang cạnh tranh giành quyền thống trị. Nhóm này sử dụng thuật toán AES mạnh để mã hóa các tệp của nạn nhân, khiến việc giải mã mà không có khóa gần như là không thể. Danh tiếng của nhóm này thu hút các chi nhánh và chúng duy trì một kho vũ khí tấn công rộng lớn. Các cuộc tấn công của nhóm này đã gây ra thiệt hại tài chính đáng kể cho các tổ chức. BlackCat đã xâm phạm khoảng 200 tổ chức chỉ trong vài tháng kéo dài từ năm 2021 đến năm 2022.

Giải pháp Sangfor cho các cuộc tấn công Ransomware

Phần mềm tống tiền liên tục phát triển và tiến bộ theo cách thức xâm nhập vào mạng. Mặc dù có vẻ như không thể để cá nhân làm bất cứ điều gì khi các công ty lớn bị xâm phạm, mọi người có thể triển khai các biện pháp an ninh mạng phù hợp ở quy mô nhỏ hơn để đảm bảo rằng họ sẽ không trở thành nạn nhân tiếp theo của một cuộc tấn công bằng phần mềm tống tiền.

Sangfor Technologies là một công ty an ninh mạng và điện toán đám mây đẳng cấp thế giới cung cấp dịch vụ Phòng ngừa phần mềm tống tiền chuyên sâu và tiên tiến cùng cơ sở hạ tầng CNTT hiện đại. Việc phát hiện và tránh phần mềm tống tiền chưa bao giờ đơn giản hơn với giải pháp tích hợp này kết hợp nhiều sản phẩm tiên tiến của Sangfor:

Giải pháp Chống Ransomware Sangfor

Sangfor Network Secure, Sangfor Endpoint Secure và Sangfor Engine Zero cùng nhau tạo nên giải pháp bảo mật Sangfor dành cho phần mềm tống tiền. Giải pháp sử dụng Sangfor Network Secure, tường lửa bảo mật mạng thế hệ tiếp theo (NGFW) tiên tiến để giám sát và bảo vệ toàn diện và tích hợp toàn bộ mạng bảo mật của bạn nhằm loại bỏ mọi mối đe dọa độc hại. Cùng với Sangfor Endpoint Secure (Nền tảng bảo vệ điểm cuối), giải pháp này xác định các tệp độc hại ở cả cấp độ mạng và tại các điểm cuối. Ngoài ra, với Sangfor Engine Zero, giải pháp này cung cấp tỷ lệ phát hiện 99,76% phần mềm độc hại đã biết và chưa biết trên internet.

Xem sản phẩm
Sangfor Anti-Ransomware Solution

Sangfor Network Secure: Tường lửa thế hệ tiếp theo (NGFW)

Sangfor Network Secure là Tường lửa thế hệ tiếp theo (NGFW) cung cấp khả năng bảo vệ toàn diện và đáng tin cậy cho mạng và hệ thống của tổ chức bạn. Các giá trị cốt lõi của nó bao gồm hiệu quả về chi phí, bảo mật do AI và TI cung cấp, hoạt động bảo mật dễ dàng và các tính năng độc đáo như lừa đảo đám mây, WAF, v.v. Sangfor Network Secure được công nhận là nhà cung cấp ‘Có tầm nhìn xa’ trong Gartner Magic Quadrant năm 2022 trong năm thứ 2 liên tiếp, năm thứ 8 trong Gartner Magic Quadrant dành cho Tường lửa mạng, ‘Tiếng nói của khách hàng’ trong Khách hàng nói qua Gartner® Peer Insights™Công ty tường lửa thế hệ tiếp theo của năm 2023 khu vực Châu Á - Thái Bình Dương do Frost & Sullivan bình chọn.

Xem sản phẩm
Next-Generation Firewall (NGFW)

Sangfor Cyber ​​Command: Giải pháp phát hiện và phản hồi mạng (NDR)

Giải pháp phát hiện và phản hồi mạng mang tính đột phá của Sangfor, Cyber ​​Command cung cấp các phản hồi tự động đối với các mối đe dọa xâm nhập vào hệ thống của bạn. Giải pháp này củng cố bảo mật CNTT của tổ chức thông qua việc giám sát chặt chẽ mọi lưu lượng mạng, liên kết các sự kiện bảo mật từ nhiều nguồn khác nhau và áp dụng phân tích lưu lượng mạng và phân tích hành vi dựa trên AI, tất cả đều được hỗ trợ bởi thông tin tình báo về mối đe dọa toàn cầu. Gartner đã công nhận Sangfor Technologies với Cyber ​​Command là nhà cung cấp đại diện cho NDR trong Hướng dẫn thị trường của mình lần thứ hai liên tiếp.

Xem sản phẩm
Cyber Command NDR

Sangfor Endpoint Secure: Nền tảng bảo vệ điểm cuối (EPP)

Sangfor Endpoint Secure là giải pháp phòng ngừa ransomware mạnh mẽ vì nó cài đặt công nghệ honeypot ransomware tiên tiến để nhanh chóng xác định và tiêu diệt các quy trình mã hóa tệp trước khi thiệt hại lớn xảy ra. Nó phát hiện các quy trình liên quan đến ransomware đáng ngờ và chặn chúng chỉ trong vòng 3 giây để đảm bảo tác động tối thiểu đến tài sản của người dùng. Sangfor Endpoint Secure đạt được tỷ lệ phát hiện chính xác là 99,83% bằng cách triển khai các chỉ số ransomware về sự xâm phạm được thu thập từ hơn 12 triệu thiết bị.

Xem sản phẩm
Sangfor Endpoint Secure

Những câu hỏi thường gặp

Ransomware là một loại phần mềm độc hại mã hóa các tệp hoặc khóa người dùng khỏi hệ thống của họ cho đến khi tiền chuộc được trả, thường là bằng tiền điện tử. Một cuộc tấn công ransomware xảy ra khi máy tính hoặc mạng bị nhiễm ransomware, dẫn đến mã hóa dữ liệu hoặc khóa hệ thống cho đến khi tiền chuộc được trả. Một số ví dụ về ransomware đã biết bao gồm WannaCry, NotPetya, Ryuk, v.v. Sự phát triển của ransomware với các kỹ thuật xâm nhập và tống tiền tiên tiến đang trở thành mối đe dọa lớn đối với các tổ chức trên toàn thế giới.

Có một số loại ransomware khác nhau trong suốt lịch sử ransomware, mỗi loại có đặc điểm và phương pháp hoạt động riêng. Một số ví dụ về các loại ransomware bao gồm: 

  • Phần mềm tống tiền mã hóa: CryptoLocker, WannaCry, Locky.
  • Phần mềm tống tiền Locker: Winlocker, phần mềm tống tiền theo chủ đề Cảnh sát.
  • Phần mềm tống tiền di động: Android/Simplocker, Pegasus (iOS).
  • Phần mềm tống tiền dưới dạng dịch vụ (RaaS): Cerber, Satan, Philadelphia.
  • Phần mềm dọa nạt: Phần mềm diệt vi-rút giả mạo, lừa đảo hỗ trợ kỹ thuật.
  • Phần mềm Doxware/Leakware: Maze, REvil/Sodinokibi.

Trong quá trình phát triển của ransomware, tội phạm mạng đã trở nên tinh vi hơn khi sử dụng nhiều phương pháp khác nhau để lây nhiễm ransomware vào máy tính. Một số phương pháp phổ biến bao gồm email lừa đảo, liên kết độc hại, bộ công cụ khai thác, quảng cáo độc hại, tấn công giao thức máy tính từ xa (RDP), tải xuống tự động, mạng chia sẻ tệp và phần mềm vi phạm bản quyền.

Một số cuộc tấn công ransomware khét tiếng nhất trong lịch sử ransomware bao gồm: Cuộc tấn công WannaCry năm 2017 ảnh hưởng đến 200.000 máy tính trên 150 quốc gia gây thiệt hại ròng 4 tỷ đô la, NotPetya (Petya) năm 2017 gây thiệt hại 10 tỷ đô la, cuộc tấn công Colonial Pipeline năm 2021 dẫn đến thiệt hại tài chính 4,4 triệu đô la và REvil tống tiền 200 triệu đô la từ năm 2019 đến năm 2021.

Phần mềm tống tiền lần đầu tiên xuất hiện vào cuối những năm 1980, với trường hợp được ghi nhận sớm nhất là Trojan AIDS (còn được gọi là PC Cyborg) vào năm 1989. Phần mềm tống tiền này được phân phối qua đĩa mềm và nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe. Trojan AIDS đã mã hóa các tệp trên các hệ thống bị nhiễm và yêu cầu thanh toán 189 đô la vào một hộp thư bưu điện ở Panama để nhận khóa giải mã. Kể từ cuộc tấn công đầu tiên, quá trình phát triển của phần mềm tống tiền đã tăng trưởng với tốc độ nhanh hơn nhiều so với những gì các tổ chức mong đợi.

Các dạng phần mềm tống tiền ban đầu tương đối đơn giản so với các biến thể hiện đại. Do sự phát triển của phần mềm tống tiền theo thời gian, chúng đã trở nên tinh vi và phổ biến hơn, với những tiến bộ trong thuật toán mã hóa, phương pháp phân phối (như lừa đảo qua email và bộ công cụ khai thác) và cơ chế thanh toán tiền chuộc (như Bitcoin và các loại tiền điện tử khác).