Hoạt động của ransomware (mã độc tống tiền) đã trải qua một chặng đường dài – từ những khởi đầu có phần bí mật và nghiệp dư cho đến những doanh nghiệp chính thức với những thương hiệu và phong cách riêng biệt cạnh tranh nhau trên dark web (web đen).

Nhìn chung, chúng tiếp tục phát triển và thành công bất chấp sự chấm dứt của một số băng nhóm khét tiếng nhất. Chúng tìm ra những cách khác thường để tấn công nạn nhân hoặc sử dụng đến newsjacking để làm cho các cuộc tấn công của mình phù hợp hơn. Các chuyên gia Kaspersky luôn theo dõi các hoạt động của các nhóm ransomware và đã phát hành một báo cáo đề cập đến các xu hướng ransomware mới được phát hiện vào năm 2022 trước “Ngày phòng chống Ransomware”. 

Xu hướng đầu tiên cần lưu ý là việc các nhóm ransomware sử dụng ngày càng nhiều các khả năng đa nền tảng. Ngày nay, chúng nhắm mục đích làm hỏng nhiều hệ thống nhất có thể với cùng một phần mềm độc hại bằng cách viết mã có thể được thực thi trên nhiều hệ điều hành cùng lúc.

Conti, một trong những nhóm ransomware hoạt động tích cực nhất, đã phát triển một biến thể, được phân phối thông qua các chi nhánh được chọn và nhắm mục tiêu vào Linux. Vào cuối năm 2021, Rust và Golang, các ngôn ngữ lập trình đa nền tảng, đã trở nên phổ biến hơn. BlackCat, một băng nhóm phần mềm độc hại tự xưng là “thế hệ tiếp theo” đã tấn công hơn 60 tổ chức kể từ tháng 12.2021, đã viết phần mềm độc hại của chúng bằng Rust. Golang đã được sử dụng trong ransomware bởi DeadBolt, một nhóm nổi tiếng vì các cuộc tấn công vào QNAP.

Ngoài ra, trong suốt cuối năm 2021 và đầu năm 2022, các nhóm ransomware đã tiếp tục hoạt động để tạo điều kiện thuận lợi cho quy trình kinh doanh của chúng, bao gồm việc thường xuyên tái cấu trúc thương hiệu để chuyển hướng sự chú ý từ các cơ quan chức năng và cập nhật các công cụ lọc mã độc. Một số nhóm đã phát triển và triển khai các bộ công cụ hoàn chỉnh giống với các bộ công cụ của các công ty phần mềm lành mạnh.

Lockbit nổi bật như một ví dụ đáng chú ý về sự phát triển của băng đảng ransomware. Tổ chức này tự hào có một loạt các cải tiến so với các đối thủ của mình, bao gồm các bản cập nhật và sửa chữa thường xuyên đối với cơ sở hạ tầng của mình. Chúng cũng lần đầu tiên giới thiệu StealBIT, một công cụ lọc ransomware tùy chỉnh cho phép lọc dữ liệu ở tốc độ cao nhất từ ​​trước đến nay – một dấu hiệu cho thấy sự nỗ lực của nhóm đối với các quy trình tăng tốc các phần mềm độc hại.

Các băng đảng ransomware mang một diện mạo mới vào năm 2022

Xu hướng thứ ba mà các chuyên gia Kaspersky đã chứng kiến ​​là kết quả của tình hình địa chính trị, đề cập đến cuộc xung đột ở Ukraine, đã ảnh hưởng nặng nề đến bối cảnh ransomware. Mặc dù các cuộc tấn công như vậy thường liên quan đến các tác nhân tấn công có chủ đích APT (Advanced Persistent Threat), nhưng Kaspersky đã phát hiện một số hoạt động chính trên các diễn đàn tội phạm mạng và hành động của các nhóm ransomware để đối phó với tình huống này.

Ngay sau khi xung đột bắt đầu, các nhóm ransomware đã chọn phe, dẫn đến các cuộc tấn công có động cơ chính trị của một số băng ransomware ủng hộ Nga hoặc Ukraine. Một trong những phần mềm độc hại mới được phát hiện trong cuộc xung đột là Freeud, được phát triển bởi những người ủng hộ Ukraine. Freeud có chức năng xóa sạch. Nếu phần mềm độc hại chứa danh sách các tệp, thay vì mã hóa, phần mềm độc hại sẽ xóa chúng khỏi hệ thống. 

“Nếu năm ngoái chúng ta nói rằng ransomware đang trong giai đoạn phát triển thì năm nay nó đã tiến đến giai đoạn hưng thịnh. Mặc dù các nhóm ransomware lớn từ năm ngoái đã bị loại bỏ, các nhân tố mới đã xuất hiện với những kỹ thuật chưa từng thấy trước đây”, ông Dmitry Galov, nhà nghiên cứu bảo mật cấp cao tại Nhóm Nghiên cứu và Phân tích toàn cầu (GreAT) của Kaspersky nhận xét. “Tuy nhiên, khi các mối đe dọa ransomware phát triển và mở rộng, cả về mặt công nghệ và địa lý, chúng trở nên dễ dự đoán hơn, giúp chúng tôi phát hiện và phòng thủ tốt hơn.”

Vào ngày 16.5 lúc 4 giờ chiều CET, ông Dmitry Galov, nhà nghiên cứu bảo mật tại nhóm GReAT của Kaspersky sẽ thảo luận về các xu hướng mới nhất trên thị trường ransomware, tập trung vào các nhóm ransomware mới, các kỹ thuật và mục tiêu của chúng. Đăng ký hội thảo trên web tại: https://kas.pr/mx4e

Vào ngày 12.5, là “Ngày phòng chống ransomware”, Kaspersky khuyến khích các tổ chức làm theo các phương pháp tốt nhất này để giúp bảo vệ tổ chức khỏi ransomware:

Luôn cập nhật phần mềm trên tất cả các thiết bị bạn sử dụng để ngăn những kẻ tấn công khai thác các lỗ hổng và xâm nhập vào mạng của bạn. 

Tập trung chiến lược phòng thủ của bạn vào việc phát hiện các tấn công lây lan (lateral movement) và đánh cắp dữ liệu (data exfiltration) vào internet. Đặc biệt chú ý đến lưu lượng gửi đi để phát hiện các kết nối của tội phạm mạng với mạng của bạn. Thiết lập các bản sao lưu ngoại tuyến mà những kẻ xâm nhập không thể giả mạo. Đảm bảo bạn có thể truy cập chúng nhanh chóng khi cần thiết hoặc trong trường hợp khẩn cấp.

Bật tính năng bảo vệ ransomware cho tất cả các thiết bị đầu cuối. Phần mềm miễn phí Kaspersky Anti-Ransomware Tool for Business  bảo vệ máy tính và máy chủ khỏi ransomware và các loại phần mềm độc hại khác, ngăn chặn việc khai thác và tương thích với các giải pháp bảo mật đã được cài đặt. 

Cài đặt các giải pháp chống APT và EDR, cho phép các khả năng phát hiện mối đe dọa tiên tiến, điều tra và khắc phục kịp thời các sự cố. Cung cấp cho Trung tâm Điều hành An ninh mạng (SOC) của bạn quyền truy cập vào thông tin tình báo về mối đe dọa mới nhất và thường xuyên nâng cao kỹ năng cho họ bằng các khóa đào tạo chuyên nghiệp. Tất cả đều có sẵn trong Kaspersky Expert Security framework.

Cung cấp cho nhóm SOC của bạn quyền truy cập vào thông tin tình báo về mối đe dọa mới nhất. Kaspersky Threat Intelligence Portal là một điểm truy cập duy nhất cho thông tin tình báo về mối đe dọa của Kaspersky, cung cấp dữ liệu tấn công mạng và thông tin chi tiết được đội ngũ chúng tôi thu thập trong hơn 20 năm.

Để giúp các doanh nghiệp có khả năng phòng thủ hiệu quả trong những thời điểm hỗn loạn này, Kaspersky đã công bố quyền truy cập miễn phí vào thông tin độc lập, cập nhật liên tục và có nguồn gốc toàn cầu về các cuộc tấn công và đe dọa mạng đang diễn ra. Yêu cầu quyền truy cập vào ưu đãi này tại đây.

Góc quảng cáo