Tấn công trên diện rộng, vào hệ thống tài chính tiếp tục là xu hướng tống tiền ransomware

Tính từ đầu năm đến hết tháng 11 năm 2021, gần như mỗi 2 sự cố bảo mật xảy ra tại các công ty do Nhóm ứng phó khẩn cấp toàn cầu của Kaspersky (Kaspersky’s Global Response Emergency Team - GERT) xử lý thì lại có 1 sự cố liên quan đến ransomware – tăng gần 12% so với cùng kỳ năm 2020.

Trong giai đoạn từ tháng 1 đến tháng 11 năm 2021, tỷ lệ yêu cầu IR liên quan đến ransomware do nhóm GERT của Kaspersky xử lý là 46,7%, tăng vọt từ con số 37,9% trong cả năm 2020 và 34% trong năm 2019. Những mục tiêu phổ biến nhất là tổ chức thuộc chính phủ và các ngành công nghiệp với tổng số cuộc tấn công chiếm gần 50% tổng số yêu cầu dịch vụ IR có liên quan đến ransomware trong năm 2021.

Tuy nhiên, khi chuyển hướng sang tấn công đòi khoản tiền chuộc lớn và nhắm vào các mục tiêu cấp cao, các nhóm ransomware đang phải đối mặt với sức ép ngày càng gia tăng từ các chính trị gia và cơ quan hành pháp, khiến hiệu quả của các cuộc tấn công trở thành vấn đề trọng yếu.

Các chuyên gia của Kaspersky lưu ý hai xu hướng quan trọng sẽ trở nên phổ biến vào năm 2022. Thứ nhất, nhiều nhóm ransomware có khả năng phát triển ransomware trên hệ điều hành Linux để tối đa hóa tấn công trên diện rộng – tương tự với RansomExx và Darkside. Thứ hai, các nhóm tấn công sẽ bắt đầu tập trung nhiều vào tống tiền “tài chính”: kẻ tấn công sẽ đe dọa phát tán những dữ liệu tài chính quan trọng của công ty (như các sự kiện sáp nhập hoặc mua lại, kế hoạch niêm yết cổ phiếu), nhằm mục đích hạ giá cổ phiếu. Đứng trước áp lực tài chính, khả năng cao các công ty sẽ chấp nhận chi trả tiền chuộc. 

“Chúng ta chỉ bắt đầu nói về Ransomware 2.0 từ năm 2020, và kỷ nguyên ransomware đã thực sự bùng nổ vào năm 2021”, Vladimir Kuskov, Trưởng Bộ phận Thăm dò Mối đe dọa mạng tại Kaspersky chia sẻ. Các băng nhóm ransomware không chỉ mã hóa dữ liệu, mà chúng còn đánh cắp thông tin từ các cơ quan trọng yếu, quy mô lớn và đe dọa tiết lộ thông tin nếu các nạn nhân không trả tiền chuộc. Dự báo, Ransomware 2.0 sẽ còn tiếp tục lan rộng trong năm tới.

Mặt khác, vì hiện nay ransomware đang là vấn đề nổi cộm, các cơ quan pháp luật đã và đang làm việc cật lực để đánh bại các mối đe dọa dai dẳng, điển hình trong năm nay là nhóm tin tặc DarkSide và REvil. Vòng đời của các băng nhóm này đang bị thu hẹp, điều đó có nghĩa chúng sẽ phải điều chỉnh chiến thuật của mình vào năm 2022 để duy trì lợi nhuận, nhất là khi một số chính phủ đang thảo luận rằng trả tiền chuộc cho tội phạm mạng sẽ là việc bất hợp pháp”.

Để bảo vệ doanh nghiệp khỏi các cuộc tấn công bằng phần mềm tống tiền ransomware, các chuyên gia Kaspersky khuyến nghị:

• Không kết nối dịch vụ máy tính để bàn từ xa (chẳng hạn như RDP) với mạng công cộng nếu không thực sự cần thiết. Luôn luôn sử dụng mật khẩu mạnh cho các dịch vụ này.
• Cài đặt các bản vá lỗi sẵn có trong trường hợp sử dụng các giải pháp VPN thương mại để cung cấp quyền truy cập từ xa và cho phép nhân viên làm việc như đang kết nối với các cổng trong mạng lưới.
• Luôn luôn cập nhật phần mềm trên tất cả các thiết bị để ngăn phần mềm tống tiền khai thác các lỗ hổng bảo mật.
• Chiến lược phòng thủ nên tập trung phát hiện sự dịch chuyển lưu lượng trong mạng và lưu lượng đưa dữ liệu lên Internet. Cần đặc biệt chú ý đến lưu lượng đi để phát hiện các kết nối của tội phạm mạng. Hãy sao lưu dữ liệu thường xuyên. Hãy đảm bảo rằng bạn có thể nhanh chóng truy cập dữ liệu sao lưu trong trường hợp khẩn cấp. Sử dụng thông tin mới nhất từ Threat Intelligence – Dịch vụ thám báo mối đe dọa, để cập nhật thông tin về các chiến thuật, kỹ thuật (TTP) thực tế được các tác nhân nguy hại sử dụng.
• Sử dụng các giải pháp bảo mật đáng tin cậy, như Kaspersky Endpoint Detection and Response, Kaspersky Managed Detection and Response, Kaspersky Endpoint Security for Business (KESB), với các tính năng ngăn chặn lỗ hổng bảo mật, phát hiện hành vi đáng ngờ, và công cụ khắc phục có khả năng vô hiệu hóa các hành động gây hại.