Trong thế giới kỹ thuật số đầy thách thức hiện nay, mã độc ransomware đang trở thành một trong những loại phần mềm độc hại nguy hiểm nhất và phổ biến nhất. Đối với các tổ chức và cá nhân, việc bị tấn công bởi ransomware không chỉ gây ra mất mát về dữ liệu quan trọng mà còn có thể đe dọa tính toàn vẹn và uy tín của hệ thống. Để hiểu rõ hơn về mối đe dọa này và cách nó hoạt động, chúng ta hãy khám phá chi tiết về mã độc ransomware và tác động của nó đối với cộng đồng mạng và doanh nghiệp.
Tìm hiểu về mã độc ransomware
Mã độc ransomware là một loại phần mềm độc hại được thiết kế để xâm nhập vào hệ thống máy tính hoặc thiết bị di động của người dùng, mã hóa hoặc khóa truy cập vào dữ liệu quan trọng, sau đó yêu cầu một khoản tiền chuộc (ransom) để giải mã hoặc mở khóa dữ liệu. Ransomware thường hoạt động bằng cách mã hóa các tệp dữ liệu quan trọng như hình ảnh, tài liệu văn bản, hoặc cơ sở dữ liệu của người dùng, sau đó yêu cầu thanh toán một khoản tiền chuộc thông qua các phương thức thanh toán điện tử như Bitcoin.
Thời gian gần đây, ghi nhận một số vụ tấn công bằng mã độc tống tiền (Ransomware) gây thiệt hại nghiêm trọng cho nhiều tổ chức, bao gồm cả những khách hàng đang sử dụng sản phẩm của Trellix.
Có nhiều tổ chức bị tấn công theo cách khai thác lỗ hổng từ Exchange/Web Server vào AD Server, đánh cắp tài khoản, lây lan vào hệ thống máy tính của đội ngũ IT, tấn công vào nền tảng ảo hóa, mã hóa dữ liệu trên các datastore. Các mã độc này thuộc các chiến dịch nổi tiếng hoạt động mạnh trên toàn cầu từ lâu như BlackCat, Lockbit, nhưng các IOC cho thấy đều là mã độc mới (unknown) chưa có thông tin trên các hệ thống Threat Intelligence cho tính chất tùy biến và có mục tiêu rất cao.
Cách phát hiện và phòng chóng mã độc ransomware
Mã độc Ransomware là một mối đe dọa ngày càng gia tăng, có thể gây thiệt hại nghiêm trọng cho dữ liệu và hệ thống của bạn. Để bảo vệ bản thân khỏi Ransomware, bạn cần thực hiện các biện pháp phòng ngừa và phát hiện hiệu quả. Dưới đây là một số cách để tăng khả năng phát hiện và phòng vệ trước loại mã độc này:
1. Phòng ngừa:
- Cập nhật phần mềm thường xuyên: Đảm bảo rằng hệ điều hành, phần mềm và ứng dụng của bạn luôn được cập nhật với các bản vá bảo mật mới nhất. Ransomware thường khai thác các lỗ hổng bảo mật trong phần mềm lỗi thời để tấn công.
- Sao lưu dữ liệu thường xuyên: Thực hiện sao lưu dữ liệu thường xuyên và lưu trữ bản sao lưu ở một vị trí an toàn, không được kết nối với mạng. Việc này giúp bạn khôi phục dữ liệu nếu bị tấn công bởi Ransomware.
- Sử dụng phần mềm diệt virus và chống phần mềm độc hại: Cài đặt và sử dụng phần mềm diệt virus và chống phần mềm độc hại uy tín để bảo vệ hệ thống khỏi các mối đe dọa, bao gồm Ransomware.
- Kích hoạt tính năng bảo vệ nâng cao: Nhiều phần mềm diệt virus và chống phần mềm độc hại cung cấp các tính năng bảo vệ nâng cao như Ransomware Guard hoặc Behavior Monitoring. Kích hoạt các tính năng này để tăng cường khả năng bảo vệ.
- Cẩn thận khi mở email và tệp đính kèm: Không mở email từ những người gửi không quen biết hoặc tệp đính kèm đáng ngờ. Ransomware thường được lây lan qua email và tệp đính kèm.
- Đào tạo nhân viên về nhận thức an ninh mạng: Nâng cao nhận thức của nhân viên về các mối đe dọa Ransomware và cách thức phòng tránh.
2. Phát hiện:
- Theo dõi nhật ký hệ thống: Theo dõi nhật ký hệ thống để tìm kiếm các dấu hiệu hoạt động bất thường có thể liên quan đến Ransomware.
- Sử dụng các công cụ giám sát mạng: Sử dụng các công cụ giám sát mạng để phát hiện các hoạt động độc hại trên mạng của bạn.
- Phân tích hành vi: Sử dụng các công cụ phân tích hành vi để phát hiện các hành vi bất thường có thể liên quan đến Ransomware.
3. Phản ứng:
- Ngắt kết nối hệ thống bị nhiễm: Nếu hệ thống bị nhiễm Ransomware, hãy ngắt kết nối hệ thống khỏi mạng để ngăn chặn sự lây lan sang các hệ thống khác.
- Báo cáo cho cơ quan chức năng: Báo cáo vụ tấn công Ransomware cho cơ quan chức năng để hỗ trợ điều tra.
- Khôi phục dữ liệu từ bản sao lưu: Nếu bạn có bản sao lưu dữ liệu, hãy khôi phục dữ liệu từ bản sao lưu.
- Cân nhắc sử dụng công cụ giải mã: Có một số công cụ giải mã có thể giúp bạn giải mã dữ liệu bị mã hóa bởi Ransomware. Tuy nhiên, không có gì đảm bảo rằng các công cụ này sẽ hoạt động.
Một số tính năng ngăn chặn ransomeware của Trellix
1. Enpoint Securrity
- Giám sát các Threat, Campaigns có dấu hiệu lây nhiễm trên Trellix Insights. Rà soát các campaigns có dấu hiệu lây nhiễm, ngăn chặn các IOC trên các hệ thống network vá các điểm yếu liên quan.
- Triển khai tối thiểu các module bảo vệ Threat Prevention và Adaptive Threat Protection với cấu hình khuyến nghị theo đánh giá Insights ở trên.
- Cập nhật các phần mềm bảo mật lên bản ổn định mới nhất để có các cơ chế (engine) bảo mật tốt nhất.
- Triển khai Application Control cho các máy tính work station quan trọng, các terminal, thiết bị IOT.
- Xem xét và rà soát các mối nguy (Threat) mới xuất hiện trên Insights và TIE Reputation.
- Quét mã độc hàng ngày QuickScan, và hàng tuần Full Scan. Xem xét và quét mã độc ngay với các máy bị gán nhãn
- Không được cập nhật mẫu trong ngày – mục Content.
- Chưa cài đặt hoặc áp dụng biện pháp ngăn chặn các mã độc zero-day – mục Zero-day.
- Chưa cấu hình đúng để có khả năng bảo vệ tốt nhất – mục Configuration.
- Có dấu hiệu lây nhiễm các chiến dịch mã độc – mục Detection Prevalence.
- Có tồn tại các điểm yếu bảo mật – mục Vulnerability Assessment.
- Giám sát Security Posture Score trên Insights, triển khai xử lý NGAY các máy tính:
- Không được cập nhật mẫu trong ngày – mục Content.
- Chưa cài đặt hoặc áp dụng biện pháp ngăn chặn các mã độc zero-day – mục Zero-day.
- Chưa cấu hình đúng để có khả năng bảo vệ tốt nhất – mục Configuration.
- Có dấu hiệu lây nhiễm các chiến dịch mã độc – mục Detection Prevalence.
- Có tồn tại các điểm yếu bảo mật – mục Vulnerability Assessment.
- Bật các signature của Exploit Prevention liên quan tới các kỹ thuật tấn công, công cụ thường được sử dụng gần đây: Fileless, Powershell, LSASS, Credential, Cobalt Strike, Mimikatz,…
- Tích hợp Endpoint Security/TIE/DXL với hệ thống phân tích mã độc nâng cao (Sandboxing) để phân tích nâng cao, phát hiện các mã độc mới.
2. Server Security
- Rà soát đặc biệt với các hệ thống máy chủ AD/DC, Exchange Server, vCenter.
- Nghiên cứu triển khai kiểm soát ứng dụng (Application Control) và kiểm soát thay đổi (Change Control) cho các máy chủ phục vụ sản xuất kinh doanh (Production).
- Thực hiện các công tác như với Endpoint Security.
- Thực hiện cập nhật vá điểm yếu đối với các CVE được list trong danh sách, trên Insights:
- + CVE Prioritized by Trellix Research
- + CVE Prioritized by CISA
- + CVA Requiring Attention
- Triển khai Host Firewall với cấu hình theo nguyên tắc mở tối thiểu theo yêu cầu bắt buộc cho các máy chủ.
3. EDR – Endpoint Detection and Response
EDR là viết tắt của Endpoint Detection and Response, là một loại công nghệ an ninh mạng được sử dụng để phát hiện, phản ứng và ngăn chặn các mối đe dọa từ các thiết bị kết nối (endpoint) như máy tính, máy chủ, hoặc thiết bị di động. Cụ thể, EDR tập trung vào việc giám sát và phân tích hành vi của các endpoint để phát hiện các hoạt động không mong muốn hoặc độc hại, sau đó thực hiện các biện pháp phản ứng phù hợp để ngăn chặn hoặc giảm thiểu nguy cơ.
- Giám sát và xem xét thường xuyên các mối nguy được EDR phát hiện và cảnh bảo, kể cả các mối nguy ở mức Medium hoặc thấp hơn.
- Tạo các trường hợp điều tra (Investigation) để phân tích các mối nguy.
- Cập nhật mẫu cho EDR hàng ngày.
- Xem xét cấu hình tăng thông tin giám sát thu thập.
- Sử dụng EDR kết hợp với Insights để rà soát các mối nguy và campaigns.
4. DLP – Data Loss Prevention
DLP là viết tắt của Data Loss Prevention, có nghĩa là phòng ngừa mất dữ liệu. Đây là một phương pháp và công nghệ được sử dụng để ngăn chặn việc rò rỉ thông tin quan trọng hoặc mất mát dữ liệu không mong muốn từ các tổ chức. Cụ thể, DLP tập trung vào việc xác định, giám sát và kiểm soát dữ liệu nhạy cảm hoặc quan trọng để ngăn chặn việc chia sẻ hoặc truy cập không được ủy quyền. Các phương pháp và công nghệ DLP thường bao gồm:
– Phân loại dữ liệu: Xác định loại dữ liệu nhạy cảm hoặc quan trọng như thông tin cá nhân, thông tin tài chính, hoặc bí mật công nghệ.
– Giám sát hoạt động: Theo dõi và ghi lại hoạt động của người dùng để phát hiện các hành vi không phù hợp, như chia sẻ dữ liệu quan trọng qua email, USB hoặc các kênh truyền thông khác.
– Phát hiện mối đe dọa: Sử dụng các quy tắc và thuật toán để phát hiện và cảnh báo về các hành động có thể gây ra mất mát dữ liệu, như chuyển tệp tin ra khỏi mạng nội bộ hoặc truy cập vào các trang web có nguy cơ.
– Kiểm soát truy cập: Áp dụng các biện pháp kiểm soát truy cập như mã hóa dữ liệu, cấm hoặc hạn chế quyền truy cập vào dữ liệu nhạy cảm từ các nguồn không đáng tin cậy.
– Phản ứng và báo cáo: Thực hiện các biện pháp phản ứng tự động như cảnh báo, chặn hoặc mã hóa dữ liệu khi phát hiện một vi phạm, cùng với việc tạo ra báo cáo chi tiết để phân tích và cải thiện hệ thống DLP.
– Thiết lập chính sách ngăn chặn các unknown process truy nhập vào dữ liệu cần bảo vệ.
5. Network IPS – Network Intrusion Prevention System
Network IPS là viết tắt của Network Intrusion Prevention System, là một loại hệ thống bảo mật mạng được thiết kế để phát hiện và ngăn chặn các cuộc tấn công mạng từ bên ngoài hoặc từ bên trong mạng nội bộ của một tổ chức. Cụ thể, Network IPS hoạt động bằng cách theo dõi lưu lượng mạng đến và từ các thiết bị trong mạng, phân tích các gói tin mạng để xác định các biểu hiện của các cuộc tấn công mạng, và thực hiện các biện pháp phòng ngừa như chặn hoặc ngăn chặn các gói tin độc hại. Bao gồm:
- Rà soát lại cấu hình và cập nhật.
- Enable SmartBlocking cho Exploits, Malware Detection.
- Enable Block and auto Acknowledgement cho tất cả tấn công với BTP từ Low (1) tới Low (2) (cho nhóm Exploit và Malware).
- Enable Block and auto acknowledgment cho các tấn công với BTP là Medium (3) and và Severity là High (7) – High (9) (cho nhóm Exploit và Malware).
- Enable Block cho các Attack Definitions có mức độ BTP là Low và Severity là High.
- Tất cả các Attack còn lại sẽ để cảnh báo.
6. APT Sandboxing
APT Sandboxing là một phương pháp bảo mật được sử dụng để phát hiện và ngăn chặn các cuộc tấn công từ các nhóm tội phạm mạng chuyên nghiệp (Advanced Persistent Threats – APTs). APT Sandboxing hoạt động bằng cách thực thi và giám sát các chương trình độc hại trong một môi trường cô lập được gọi là “sandbox” để phân tích hành vi và tìm hiểu cách hoạt động của chúng mà không ảnh hưởng đến hệ thống chính.
Khi một tệp hoặc chương trình được đưa vào hệ thống, APT Sandboxing sẽ chạy chúng trong một môi trường ảo cô lập (sandbox) để theo dõi hoạt động của chúng. Điều này cho phép hệ thống phân tích các hoạt động của chương trình, bao gồm các tệp và dịch vụ mạng mà nó cố gắng truy cập, các tệp mới được tạo ra hoặc sửa đổi, và các hành vi khác có thể gây ra nghi ngờ. Nếu các hoạt động này được xác định là độc hại hoặc không mong muốn, hệ thống có thể ngăn chặn chúng và cảnh báo về sự xâm nhập.
Cập nhật các mẫu bảo mật và engine mới nhất.
Sử dụng kết hợp các profile phân tích thường sử dụng, hay bị tấn công Windows7, Windows10.
Bật các cơ chế phát hiện riskware.
7. SIEM – Security Information and Event Management
SIEM là viết tắt của Security Information and Event Management, là một loại công nghệ và phương pháp được sử dụng để thu thập, phân tích và báo cáo về các sự kiện và thông tin liên quan đến bảo mật từ các nguồn khác nhau trong một mạng hoặc hệ thống thông tin. Cụ thể, SIEM kết hợp các chức năng của Security Information Management (SIM) và Security Event Management (SEM) để tạo ra một hệ thống giám sát toàn diện và phản ứng đối với các mối đe dọa mạng và các sự kiện bảo mật.
Cập nhật phần mềm.
Cập nhật các Content Packs mới nhất và cấu hình để tăng khả năng giám sát, phát hiện.
Sử dụng các campaigns UBA và MITRE TTP.
Tóm lại
Để ngăn ngừa và tăng khả năng phát hiện và phòng vệ trước Ransomware ta cần:
- Cần rà soát lại cập nhật, cấu hình, hiệu lực các biện pháp kiểm soát và quy trình phòng vệ chống lại mã độc nâng cao, APT và Ransomware.
- Xem xét tổng thể kiến trúc của giải pháp chống mã độc nâng cao, APT gồm: Endpoint/Server, Web, Email, Network, Collaboration, Uploaded file, Supply chains.
- Các Campaigns, Threat Actors có nhiều dấu hiệu tấn công vào các công ty tổ chức ở Việt Nam.
- BlackCat, Lockbit, Cuba, Play, Clop, Hive
- Top Threat Actors: APT40, Dabit, Xiaoqiying, MuddyWater, UNC1945, Mustang Panda, Lazarus
- Top Tools: Cobalt Strike, China Chopper, PowerSpoilt, PowerShell, Netsh, CMD, ASPXSpy,..
Công ty Tri Thức Software cam kết cung cấp các sản phẩm phần mềm bảo mật chính hãng và giá cả hợp lý. Chúng tôi luôn sẵn sàng cung cấp hỗ trợ và tư vấn chuyên môn cho khách hàng, giúp khách hàng tìm ra giải pháp phù hợp nhất với nhu cầu của mình. Liên hệ hotline (+8428) 22443013 để được hỗ trợ tốt nhất.
Xem thêm bài viết:
