Tuần trước, những người ở khu rừng cổ của tôi, Bắc Carolina, đã hoảng loạn. Bạn không thể mua xăng vì tình yêu hay tiền bạc. Nguyên nhân sâu xa? Colonial Pipeline, một công ty đường ống dẫn dầu và khí đốt lớn, đã bị tấn công bởi một cuộc tấn công bằng mã độc tống tiền lớn. Với việc bốn đường ống dẫn nhiên liệu chính bị đóng cửa, người dân khắp vùng đông nam Hoa Kỳ đã xếp hàng dài tại các trạm xăng cho mỗi giọt xăng mà họ có thể nhận được.
Bạn có thể không tin rằng ransomware là một mối đe dọa nghiêm trọng. Nhưng tôi và hầu hết mọi người khác ở phía đông nam? Chúng tôi tin tưởng.
Đây là cách cuộc tấn công hoạt động. Đầu tiên, phần mềm được sử dụng, DarkSide, là phần mềm độc hại được cung cấp như một dịch vụ cho kẻ gian thông qua một chương trình liên kết. Vâng, ransomware ngày nay là một hoạt động nhượng quyền thương mại.
Giống như các chương trình ransomware khác, DarkSide mã hóa tất cả các tệp của bạn. Nó sử dụng mã hóa Salsa20 hoặc RSA-1024. Điều này sẽ khóa dữ liệu của bạn và bạn – hoặc bất kỳ ai khác – không thể làm gì để tự khôi phục dữ liệu của mình. Cả hai đều có thể bị bẻ khóa, nhưng nó không hề dễ dàng. Điều đó có nghĩa là nếu bạn không có một bản sao lưu cập nhật, bạn sẽ thất bại khá nhiều. Lựa chọn khác của bạn là trả tiền cho một khóa giải mã.
Đó là những gì Colonial Pipeline đã làm; nó buộc phải trả gần 5 triệu đô la. Đoán xem nào? Khóa giải mã hoạt động chậm đến mức các nguồn tin cho biết Colonial Pipeline cuối cùng đã sử dụng các bản sao lưu của chính nó để khôi phục hệ thống kinh doanh.
Những kẻ tấn công ransomware cũng có thể đe dọa tiết lộ dữ liệu nhạy cảm của bạn cho công chúng —và khách hàng của bạn sẽ không yêu thích điều đó! Họ cũng sẽ đe dọa công khai rằng họ có dữ liệu kinh doanh của bạn. Vì bạn gần như chắc chắn không muốn tiết lộ rằng bạn đã bị bẻ khóa, đó là một mối đe dọa hiệu quả. Nếu họ không thể yêu cầu bạn trả tiền cho chính dữ liệu, thì mục đích là tống tiền bạn.
Bạn có thể bị nhiễm phần mềm độc hại DarkSide và các chương trình ransomware khác theo một số cách. Chúng bao gồm, theo công ty bảo mật Intel471, “khai thác phần mềm dễ bị tấn công như Citrix, Remote Desktop Web (RDWeb) hoặc giao thức máy tính từ xa (RDP)” và tất nhiên, lừa đảo. Luôn luôn có lừa đảo.
Theo các nhà nghiên cứu Cybereason, ransomware sẽ dừng các dịch vụ sao lưu, sao chép bóng tối và chống vi-rút. Trên hệ thống Windows, nó cũng sử dụng lệnh PowerShell để xóa tất cả các bản sao ổ đĩa hiện có của bạn.
Điều này sẽ chỉ trở nên tồi tệ hơn. Công ty bảo mật Check Point báo cáo các cuộc tấn công ransomware đã tăng 102% kể từ năm 2020. Tức là trung bình có hơn 1.000 tổ chức bị tấn công mỗi tuần.
Cách ngăn chặn các cuộc tấn công ransomware
Vậy, bạn có thể làm gì? Để bắt đầu, bạn phải thực hành tất cả các kỹ thuật bảo mật tốt thông thường. Điều đó có nghĩa là luôn cập nhật tất cả các chương trình và hệ điều hành với các bản vá mới nhất, liên tục kiểm tra và kiểm tra lại hệ thống của bạn để phát hiện khả năng lây nhiễm, sử dụng xác thực hai yếu tố và làm cho một số nhân viên biết các cuộc tấn công lừa đảo như thế nào và cách tránh chúng.
Bạn cũng cần liên tục thực hiện các bản sao lưu hoàn chỉnh và đảm bảo chúng hoạt động. Nếu bạn không thể khôi phục hệ thống của mình, không quan trọng các bản sao lưu gần đây của bạn như thế nào.
Check Point cũng cảnh báo rằng các cuộc tấn công dường như xảy ra thường xuyên hơn vào các ngày lễ và cuối tuần – đặc biệt là trước các ngày cuối tuần ba ngày. Vì vậy, đừng rời khỏi văn phòng cho đến khi bạn chắc chắn rằng hệ thống của mình đã an toàn và đã được sao lưu đầy đủ.
Bạn cũng nên đầu tư vào phần mềm chống ransomware. Đó là một cuộc chiến liên tục giữa kẻ tấn công và người phòng thủ, và hiện tại, những kẻ tấn công đang dẫn trước. Điều đó nói rằng, ít nhất các chương trình như Bitdefender Antivirus Plus, Check Point ZoneAlarm Anti-Ransomware, Kaspersky Security Cloud và Sophos Intercept X Endpoint mang lại cho bạn cơ hội chiến đấu. Nếu quá muộn và bạn đã bị tấn công, bạn có thể thử NeuShield Data Sentinel để khôi phục dữ liệu.
Bạn có thể thử nhận bảo hiểm kinh doanh cho các cuộc tấn công bằng ransomware. Nhưng nó có thể không có sẵn trong thời gian dài. Công ty bảo hiểm đa quốc gia AXA Group cho biết họ sẽ ngừng viết các chính sách về ransomware tại Pháp. Tôi cho rằng đây là sự khởi đầu của một xu hướng khó chịu.
FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) có danh sách riêng của họ về những điều bạn nên và không nên làm để ngăn chặn ransomware. Đó là một danh sách tốt.
Phải nói rằng, có một khuyến nghị mà tôi không hoàn toàn đồng ý. Họ đề nghị bạn không trả tiền cho bọn tội phạm ransomware: “Trả tiền chuộc có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các đối tượng tội phạm khác tham gia vào việc phân phối ransomware và / hoặc có thể tài trợ cho các hoạt động bất hợp pháp. Việc trả tiền chuộc cũng không đảm bảo điều đó các tệp của nạn nhân sẽ được phục hồi. ”
Nhưng nếu lựa chọn khác duy nhất của bạn không còn hoạt động kinh doanh, bạn không thể làm gì khác ngoại trừ cắn viên đạn, mua Bitcoin và thanh toán.
Đừng nghĩ đó là lối thoát dễ dàng. Nó không thể. Đầu tiên, khoản thanh toán ransomware trung bình, theo công ty bảo mật Sophos, là 170.404 USD. Tệ hơn nữa, ngay cả khi bạn trả tiền, cuộc khảo sát của Sophos chỉ cho thấy 8% các tổ chức có thể lấy lại tất cả dữ liệu của họ. (Chỉ 29% lấy lại một nửa dữ liệu của họ.)
Ồ, và nhân tiện, nếu bạn làm Sophos ước tính việc khôi phục dữ liệu của bạn trở lại bình thường sẽ tiêu tốn trung bình 1,85 triệu USD.
Những gì bạn thực sự cần làm là dành thời gian ngay bây giờ để ngăn chặn ransomware tấn công công ty của bạn ngay từ đầu. Và, nếu có, hãy đảm bảo rằng các bản sao lưu của bạn đã được thiết lập và sẵn sàng hoạt động.
Vâng, đó là rất nhiều công việc. Nhưng giải pháp thay thế tồi tệ hơn nhiều.
Tiếp theo hãy đọc cái này:
Bản quyền © 2021 IDG Communications, Inc.