Hiểu được cách thức ransomware lây nhiễm vào thiết bị và lây lan trên mạng là điều quan trọng để đảm bảo rằng tổ chức của bạn không trở thành nạn nhân tiếp theo của một cuộc tấn công.
Như xu hướng gần đây đã cho thấy, nguy cơ mất quyền truy cập vào dữ liệu, thiết bị và dịch vụ của bạn là do các tác nhân đe dọa hiện đang lấy dữ liệu và đe dọa làm rò rỉ nó trên các trang web đen nếu nạn nhân không trả tiền. Các nhà khai thác ransomware đã trở nên khôn ngoan với mối đe dọa đối với mô hình kinh doanh của họ từ thành công của chính họ: sự chú ý ngày càng tăng của mọi người về mối đe dọa ransomware đã thúc đẩy (ít nhất một số) doanh nghiệp đầu tư vào việc sao lưu và phục hồi. Nhưng những kỹ thuật đó trở nên thừa khi thủ phạm đang nắm giữ dữ liệu công ty và khách hàng nhạy cảm nhất.
Ransomware có thể lây lan sang các máy khác hoặc mã hóa các tệp tin dùng chung trong mạng của tổ chức. Trong một số trường hợp, nó có thể lây lan qua các ranh giới tổ chức để lây nhiễm vào chuỗi cung ứng, khách hàng và các tổ chức khác và thực sự, một số chiến dịch phần mềm độc hại đã đặc biệt các MSP được nhắm mục tiêu. Câu trả lời thực sự cho ransomware nằm ở việc phòng ngừa hơn là chữa bệnh. Vậy làm thế nào phần mềm độc hại này lây nhiễm sang các thiết bị?
1. Lây nhiễm thông qua lừa đảo và kỹ thuật xã hội
Vẫn là phương pháp phổ biến nhất để tin tặc bước đầu lây nhiễm ransomware tới các endpoints là thông qua email lừa đảo. Ngày càng được nhắm mục tiêu, cá nhân hóa và cụ thể thông tin được sử dụng để tạo ra các email nhằm đạt được sự tin tưởng và lừa các nạn nhân tiềm năng mở tệp đính kèm hoặc nhấp vào liên kết để tải xuống PDF độc hại và các tệp tài liệu khác. Chúng có thể trông không thể phân biệt được với các tệp bình thường và những kẻ tấn công có thể lợi dụng cấu hình Windows mặc định để ẩn phần mở rộng thực sự của tệp. Ví dụ: một phần đính kèm có thể được gọi là ‘filename.pdf’, nhưng để lộ toàn bộ phần mở rộng cho thấy nó là một tập tin thực thi, ‘filename.pdf.exe’.
Các tệp có thể ở dạng các định dạng tiêu chuẩn như Phần đính kèm MS Office, tệp PDF hoặc
JavaScript. Nhấp vào các tệp này hoặc bật macro cho phép tệp thực thi, bắt đầu quá trình mã
hóa dữ liệu trên máy của nạn nhân.
2. Lây nhiễm qua các trang web bị xâm phạm
Không phải tất cả các cuộc tấn công ransomware đều phải được đóng gói trong một email độc hại. Các trang web bị xâm nhập là nơi dễ dàng để chèn mã độc. Tất cả những gì cần làm là để một nạn nhân không nghi ngờ có thể truy cập vào trang web, có lẽ là trang mà họ thường xuyên truy cập. Sau đó, trang web bị xâm phạm sẽ định tuyến lại một trang nhắc người dùng tải xuống phiên bản mới hơn của một số phần mềm, chẳng hạn như trình duyệt web, plugin hoặc trình phát đa phương tiện. Những chuyển hướng web như thế này đặc biệt khó phát hiện đối với người dùng nếu không tìm hiểu kỹ mã bên dưới mỗi trang web họ truy cập.
Nếu trang web đã được chuẩn bị để cung cấp ransomware, thì phần mềm độc hại đó có thể được kích hoạt trực tiếp hoặc thông thường hơn là chạy trình cài đặt tải xuống và thả ransomware.
3. Quảng cáo độc hại & vi phạm trình duyệt
Nếu người dùng có lỗ hổng chưa được vá trong trình duyệt của họ, một cuộc tấn công quảng cáo độc hại có thể xảy ra. Sử dụng các quảng cáo phổ biến trên các trang web, tội phạm mạng có thể chèn mã độc hại sẽ tải xuống phần mềm tống tiền sau khi quảng cáo được hiển thị. Mặc dù đây là vector ransomware ít phổ biến hơn, nhưng nó vẫn gây nguy hiểm vì nó không yêu cầu nạn nhân thực hiện bất kỳ hành động công khai nào như tải xuống tệp và bật macro.
4. Bộ công cụ khai thác cung cấp phần mềm tùy chỉnh
Angler, Neutrino và Nuclear là những bộ công cụ khai thác đã được sử dụng rộng rãi trong các cuộc tấn công ransomware. Các khuôn khổ này là một loại bộ công cụ độc hại với các khai thác được viết sẵn nhắm vào các lỗ hổng trong các plugin trình duyệt như Java và Adobe Flash. Microsoft Internet Explorer và Microsoft Silverlight cũng là những mục tiêu phổ biến. Ransomware như Locky và CryptoWall đã được phân phối thông qua các bộ công cụ khai thác trên các trang web bị mắc kẹt và thông qua các chiến dịch quảng cáo độc hại.
5. Tệp bị nhiễm và tải xuống ứng dụng
Bất kỳ tệp hoặc ứng dụng nào có thể được tải xuống cũng có thể được sử dụng cho ransomware. Phần mềm bị bẻ khóa trên các trang web chia sẻ tệp bất hợp pháp để xâm nhập và phần mềm như vậy thường không chứa đầy phần mềm độc hại. Các trường hợp gần đây của MBRLocker, ví dụ, đã đi theo tuyến đường này. Cũng có khả năng tin tặc khai thác các trang web hợp pháp để cung cấp tệp thực thi bị nhiễm. Tất cả những gì nạn nhân cần là tải xuống tệp hoặc ứng dụng và sau đó phần mềm tống tiền được tiêm vào.
6. Ứng dụng nhắn tin làm vector lây nhiễm
Thông qua các ứng dụng nhắn tin như WhatsApp và Facebook Messenger, ransomware có thể
được ngụy trang dưới dạng đồ họa vector có thể mở rộng (SVG) để tải một tệp vượt qua các bộ lọc mở rộng truyền thống. Vì SVG dựa trên XML, tội phạm mạng có thể nhúng bất kỳ loại nội dung nào chúng muốn. Sau khi được truy cập, tệp hình ảnh bị nhiễm sẽ hướng nạn nhân đến một trang web có vẻ hợp pháp. Sau khi tải, nạn nhân được nhắc chấp nhận cài đặt, nếu hoàn thành sẽ phân phối tải trọng và chuyển đến danh bạ của nạn nhân để tiếp tục tác động.
7. Brute Force thông qua RDP
Những kẻ tấn công sử dụng ransomware như SamSam để xâm phạm trực tiếp các điểm cuối bằng cách sử dụng một cuộc tấn công mạnh thông qua các máy chủ Giao thức máy tính từ xa (RDP) có kết nối Internet. RDP cho phép quản trị viên CNTT truy cập và điều khiển thiết bị của người dùng từ xa, nhưng điều này cũng thể hiện một cơ hội cho những kẻ tấn công để khai thác nó cho các mục đích xấu.
Tin tặc có thể tìm kiếm các máy dễ bị tấn công bằng các công cụ như Shodan và các máy quét cổng như Nmap và Zenmap. Sau khi máy mục tiêu được xác định, những kẻ tấn công có thể giành được quyền truy cập bằng cách brute-forcing the password để đăng nhập với tư cách quản trị viên. Sự kết hợp của mặc định hoặc Mật khẩu yếu bằng chứng xác thực và các công cụ bẻ khóa mật khẩu nguồn mở như Aircrack-ng, John The Ripper và DaveGrohl giúp đạt được mục tiêu này. Sau khi đăng nhập với tư cách là quản trị viên đáng tin cậy, những kẻ tấn công có toàn quyền chỉ huy máy và có thể thả ransomware và mã hóa dữ liệu. Họ cũng có thể vô hiệu hóa bảo vệ điểm cuối, xóa các bản sao lưu để tăng khả năng thanh toán hoặc xoay trục để đạt được các mục tiêu khác.
Kết luận
Ransomware tiếp tục phát triển, với ransomware-as-a-service hiện đang ngày càng phổ biến. Các tác giả phần mềm độc hại bán ransomware được xây dựng tùy chỉnh cho tội phạm mạng để đổi lấy phần trăm lợi nhuận. Người mua dịch vụ quyết định mục tiêu và phương thức phân phối. Sự phân phân bổ và rủi ro này dẫn đến phần mềm độc hại được nhắm mục tiêu ngày càng tăng, sự đổi mới trong phương thức phân phối và cuối cùng là tần suất tấn công ransomware cao hơn.
Cùng với mối đe dọa tống tiền do rò rỉ dữ liệu, những xu hướng gần đây này khiến các tổ chức phải đầu tư vào việc bảo mật các thiết bị đầu cuối và mạng cũng như ngăn chặn vi phạm xảy ra ngay từ đầu. Được hỗ trợ bởi AI các công cụ phát hiện hành vi không dựa vào định danh cũng như không dựa vào kết nối cloud.
Nếu bạn muốn xem làm thế nào SentinelOne có thể giúp bảo vệ doanh nghiệp của bạn khỏi phần mềm tống tiền và các mối đe dọa khác, liên hệ chúng tôi hôm nay hoặc yêu cầu một bản demo miễn phí tại https://smartnet.net.vn/lien-he/ , hotline 0866107561.
Bản dịch từ bài viết: 7 Common Ways Ransomware can infect your organization