Các
Vào năm 2019, thế giới đã trải qua một phương thức tấn công bằng ransomware mới - Mã độc tống tiền kép. Cuộc tấn công, do một nhóm độc hại-
Năm 2020 Cũng chứng kiến các nhóm độc hại như REvil, Ragnar-lock và Lock bit gia nhập Maze để tham gia vào việc khai thác thành công và tàn phá các doanh nghiệp. Đã có, hơn
Trong một cuộc tấn công bằng mã độc tống tiền Double, các phần mềm độc hại có quyền truy cập trái phép vào mạng để trích xuất và mã hóa dữ liệu với hy vọng được thanh toán tiền chuộc. Trái ngược với cuộc tấn công ransomware đơn thuần, phương pháp này làm giảm tác dụng của dữ liệu đã sao lưu. Những kẻ tấn công hiện tận dụng dữ liệu trích xuất để gây áp lực cho nạn nhân. Họ có thể đi xa như xuất bản dữ liệu hoặc bán cho đối thủ cạnh tranh nếu nạn nhân từ chối tuân thủ.
Tống tiền nhân đôi với kết quả không thể tha thứ khi thực hiện thành công. Nạn nhân có thể phải đối mặt với tổn thất tài chính trước các tác nhân đe dọa hoặc sự tuân thủ và làm xấu mặt công chúng.
Năm 2022, thủ đoạn tấn công này vẫn đang gia tăng. Theo
Cuộc tấn công bằng ransomware tống tiền kép bắt đầu như một cuộc tấn công thụ động sau đó chuyển thành một cuộc tấn công chủ động tàn phá như Mã hóa dữ liệu và DDOS. Chuỗi các cuộc tấn công này bắt đầu với một quá trình mà kẻ tấn công phải có quyền truy cập vào hệ thống của công ty thông qua bất kỳ vectơ tấn công nào.
Các vectơ tấn công có thể là kỹ thuật xã hội hoặc lập trình, bao gồm lừa đảo, bạo lực trên máy chủ Máy tính để bàn từ xa, phần mềm độc hại, khai thác lỗ hổng, v.v.
Sau khi diễn viên có được quyền truy cập vào hệ thống, anh ta tiến hành một cuộc tấn công do thám thông qua chuyển động bên. Ở giai đoạn này, nó vẫn là một cuộc tấn công bị động vì tác nhân đang giả dạng người dùng ban đầu để thoát khỏi sự phát hiện và thu được thông tin có giá trị cho cuộc tấn công tiềm năng của họ.
Khi tác nhân độc hại đã thu thập được dữ liệu có giá trị, anh ta tách dữ liệu ra và triển khai mã độc để mã hóa dữ liệu.
Nhóm IB, trong báo cáo của họ,
Doanh nghiệp có nguy cơ mất mặt thương hiệu vì rò rỉ dữ liệu và DDOS. Travelex, một công ty du lịch, đã chứng kiến danh tiếng của mình đi xuống
Sau khi làm gián đoạn các dịch vụ của họ, khiến khách hàng bị mắc kẹt, REvil cũng đe dọa sẽ công bố dữ liệu bị lọc ra nếu công ty từ chối trả tiền chuộc. Cuộc tấn công kép ransomware tống tiền ở đây đang hoành hành vì ngay cả khi Travelex tuân thủ khôi phục dịch vụ và ngăn chặn rò rỉ dữ liệu, việc vi phạm tính bảo mật và DDOS đã làm hỏng danh tiếng của họ.
Các doanh nghiệp phụ thuộc vào dữ liệu được sao lưu để tránh mất nhiều tiền cho các sự kiện ransomware. Tuy nhiên, khả năng điều này vẫn rất hiệu quả là rất thấp trong trường hợp tống tiền kép.
Những kẻ tấn công hiện tận dụng dữ liệu đã được lọc; Các công ty bị tấn công sẽ được yêu cầu trả tiền chuộc, trị giá hàng triệu đô la hoặc bị rò rỉ thông tin nhạy cảm của họ trong phạm vi công cộng. Với dữ liệu có giá trị của các công ty này được công bố rộng rãi, họ có thể tích lũy các khoản phạt nặng về tuân thủ, như đối với
Hơn thế nữa, các doanh nghiệp không tuân theo nhu cầu có nguy cơ mất giá trị cổ phiếu của họ khi chúng bị bán khống. Theo cố vấn bộ phận không gian mạng của FBI-
Vì những kẻ tấn công có toàn quyền truy cập vào mạng doanh nghiệp, nên chúng có thể nâng cao quyền truy cập của mình vào các đối tác và dữ liệu người tiêu dùng. Với điều này, các tác nhân đe dọa có thể lấy đi những dữ liệu này và đòi tiền chuộc từ các đối tác hoặc người tiêu dùng.
Một ví dụ về sự kiện này là trong trường hợp
Việc sử dụng phương pháp tống tiền kép đã tăng gấp ba lần vì nó đã thành công như thế nào.
Hậu quả bất chính của vụ việc này có thể đảm bảo rằng một doanh nghiệp mất đi hầu hết các nhân viên quý giá của mình. Theo 2022
Một số doanh nghiệp lớn và nhỏ mất nhân viên vì họ không đủ tiền trả lương sau một khoản lỗ đáng kể. Trong một số trường hợp, việc mất tiền cao là do những kẻ tấn công yêu cầu số tiền chuộc gấp đôi.
Mặt khác, nó có thể xảy ra vì cổ phiếu của họ giảm sau khi tiếp xúc với thông tin quan trọng trên các nền tảng như NASDAQ.
Với sự gia tăng gấp đôi các cuộc tấn công bằng ransomware tống tiền, bạn không cần phải đợi cho đến khi hậu tấn công trước khi hành động. Sự chủ động là cách tốt nhất để chống lại cuộc tấn công này. Mặc dù nó có thể không loại bỏ cơ hội xâm nhập vào doanh nghiệp, nhưng nó giảm thiểu cơ hội. Ngoài ra, nó giảm thiểu tổn thất trong trường hợp vi phạm.
Doanh nghiệp cho phép các cá nhân có được quyền truy cập đặc quyền vào mạng của họ, ngay cả những khu vực nhạy cảm nhất. Khi điều này xảy ra, họ đặt kiến trúc vào một vị trí dễ bị tấn công bởi ransomware.
Doanh nghiệp phải thực hành chính sách không tin cậy bằng cách hạn chế quyền truy cập vào mạng của họ. Họ phải xem tất cả các yếu tố trong mạng của họ, bao gồm cả những người trong cuộc, là một mối đe dọa có thể xảy ra. Cần phải xác thực bắt buộc các phần tử trước khi cấp quyền truy cập.
Một khuyến nghị khác là tạo một phân đoạn mạng cho tất cả các quyền truy cập được cấp. Cách làm này sẽ hạn chế sự lây lan của phần mềm độc hại.
Điểm áp lực đối với những kẻ độc hại sử dụng chuỗi tấn công này là chúng đã lấy sạch dữ liệu của bạn và có thể xuất bản nó nếu bạn từ chối trả tiền chuộc. Tuy nhiên, doanh nghiệp có thể đi trước một bước bằng cách mã hóa dữ liệu của họ ngay từ đầu.
Bằng cách mã hóa dữ liệu của bạn, bạn đã từ chối quyền truy cập của tác nhân độc hại vào dữ liệu của bạn, do đó, làm giảm khả năng thương lượng của anh ta. Tác nhân đe dọa không còn có thể đe dọa khi bị rò rỉ dữ liệu; điều tồi tệ nhất mà anh ta có thể làm là mã hóa gấp đôi dữ liệu của bạn.
Mã độc kép đã làm cho sao lưu ngoại tuyến xuất hiện như một tùy chọn kém hiệu quả hơn để giảm thiểu các hành động độc hại. Tuy nhiên, sao lưu ngoại tuyến có thể cứu công ty của bạn khỏi những thiệt hại nếu bạn thực hành mã hóa dữ liệu. Bằng cách này, ngay cả khi những kẻ tấn công mã hóa gấp đôi dữ liệu của bạn, bạn có thể quay trở lại dữ liệu đã sao lưu ngoại tuyến.
Sự xuất hiện của covid 19 đã chứng kiến tỷ lệ việc làm từ xa tăng vọt. Giờ đây, nhiều nhân viên hơn có thể truy cập các mạng nhạy cảm thông qua bộ định tuyến bên ngoài. Mặc dù sự phát triển này làm cho cuộc sống của người lao động trở nên dễ dàng hơn, nhưng nó lại tạo ra nhiều lỗ hổng hơn cho người sử dụng lao động của họ.
Những kẻ tấn công tận dụng sự thiếu hiểu biết của một số nhân viên để khai thác lợi ích của họ. Ngay cả nhân viên cũng có thể là một mối đe dọa không chủ ý; Tuy nhiên, điều này có thể được ngăn chặn bằng sự nhạy cảm. Khuyến nghị dành cho các doanh nghiệp tăng cường nhận thức nội bộ về các cuộc tấn công ransomware và tác động của nó.
Doanh nghiệp đánh giá các lỗ hổng trong mạng của họ theo hai cách, tùy thuộc vào quy mô cơ sở hạ tầng của họ. Họ có thể tiến hành đánh giá hoặc mô phỏng lỗ hổng bằng bút thử nghiệm. Với điều này, họ có thể phát hiện ra bất kỳ lỗ hổng bảo mật và cấu hình sai nào khiến cuộc tấn công tiềm ẩn dễ dàng xảy ra.
Điều quan trọng là phải nhanh chóng vá tất cả các lỗ hổng và tiến hành cập nhật bảo mật cần thiết, nếu không mọi nỗ lực đều vô ích, như trường hợp của Travelex. Trước cuộc tấn công REvil, Kevin Beaumount, một nhà nghiên cứu bảo mật, đã tuyên bố rằng
Doanh nghiệp có thể quan sát các hoạt động gói tin trong hệ thống mạng của mình bằng các công cụ sẽ cảnh báo khi có điều gì bất thường xảy ra. Bằng cách theo dõi nhật ký dữ liệu, bạn có thể phát hiện ngay một cuộc tấn công bằng phần mềm độc hại và loại bỏ nó trước khi nó leo thang.
Trong khi các doanh nghiệp và chuyên gia an ninh mạng đang cố gắng hết sức để bảo mật cơ sở hạ tầng của họ, thì những kẻ tấn công Ransomware đang nỗ lực gấp đôi để khiến công việc trở nên tẻ nhạt.
Bên cạnh tống tiền gấp đôi, các chiến thuật khác được những kẻ tấn công ransomware sử dụng bao gồm tống tiền gấp ba và tống tiền gấp bốn lần. Các chuyên gia an ninh mạng phải cập nhật kiến thức và kỹ năng của họ để chống lại vấn đề này.
Ngoài ra, các doanh nghiệp nên có chủ đích và chuyên tâm hơn đối với cơ sở hạ tầng an ninh của họ. Họ phải nắm bắt các xu hướng bảo mật gần đây và thực hiện chúng trong tổ chức của họ.