Đây là cách mà mã độc mã hóa tống tiền (Ransomware) sử dụng để vượt qua các cơ chế bảo mật

Các cuộc tấn công của mã độc mã hóa tống tiền (Ransomware) từ lâu đã trở thành một mối đe dọa đáng sợ cho tất cả người dùng Internet, đặc biệt là đối với các tổ chức, doanh nghiệp. Mặc dù đã triển khai đầy đủ các biện pháp bảo mật, các tổ chức và doanh nghiệp vẫn có thể trở thành nạn nhân của các cuộc tấn công mã độc mã hóa tống tiền. Dưới đây là cách mà các chủng mã độc mã hóa tống tiền đã sử dụng để vượt qua các cơ chế bảo mật.

Đây là cách mà mã độc mã hóa tống tiền (Ransomware) sử dụng để vượt qua các cơ chế bảo mật - CyberSec365.org

Các chiến thuật phổ biến được Ransomware sử dụng để vượt qua các cơ chế bảo mật:

Theo các nhà nghiên cứu bảo mật thuộc SophosLabs, họ đã tiến hành phân tích nhiều biến thể ramsomware khét tiếng để phân tích các chiến thuật tấn công của các chủng mã độc này.

Đây là cách mà mã độc mã hóa tống tiền (Ransomware) sử dụng để vượt qua các cơ chế bảo mật - CyberSec365.org

Dưới đây là danh sách các kỹ thuật mà các nhà nghiên cứu tại SophosLabs đã phát hiện khi phân tích các mẫu mã độc mã hóa tống tiền.

Code Signing

Một kỹ thuật khá rủi ro, nhưng lại khả thi và được hầu hết các chủng mã độc mã hóa tống tiền sử dụng đó là Code Signing. Với kỹ thuật này, tin tặc sử dụng các chứng chỉ số hợp pháp để xác thực cho mã độc của mình nhằm qua mặt các công cụ bảo mật.

Tấn công leo thang đặc quyền

Nhiều biến thể mã độc mã hóa tống tiền tiến hành khai thác các lỗ hổng bảo mật khác nhau nhằm tiến hành các cuộc tấn công leo thang đặc quyền. Mặt khác, tin tặc cũng có thể sử dụng kỹ thuật tấn công social engineering nhằm đánh cắp các thông tin tài khoản có đặc quyền cao.

Sau khi tiến hành leo thang đặc quyền, tin tặc có thể vô hiệu hóa các cơ chế bảo mật của thiết bị bị nhắm mục tiêu và cài đặt RAT để phát tán mã độc trong hệ thống mạng Lan.

Lây lan qua hệ thống mạng đầu tiên

Các cuộc tấn công của mã độc mã hóa tống tiền thường sử dụng phương thức lây lan nhanh qua hệ thống mạng. Vì hầu hết các tổ chức lưu trữ tài liệu kinh doanh trên nhiều máy chủ được kết nối trong cùng một hệ thống mạng. Do đó, các chủng loại mã độc mã hóa tống tiền thường có xu hướng sẽ mã hóa các ổ đĩa mạng trước tiên. Chiến lược này nhằm mục tiêu sẽ phát tán mã độc nhanh nhất kể các đối với các nạn nhân làm việc từ xa và truy cập vào ổ đĩa mạng của công ty.

Tấn công đa luồng

Hầu hết các CPU hiện đại đều sở hữu công nghệ Simultaneous Multithreading (SMT) hoặc Hyper-Threading (HT) để có hiệu năng tốt hơn. Do đó, những kẻ tấn công cũng thiết kế phần mềm ransomware có thể khai thác công nghệ này để gây thiệt hại nhanh hơn và tàn phá hơn cho nạn nhân.

Đổi tên và mã hóa tệp tin

 Mã độc mã hóa tống tiền gây thiệt hạn cho các nạn nhân bằng cách mã hóa các tệp thay vì copy hoặc ghi đè lên chúng. Sau đó, mã độc sẽ thêm vào các tệp một phần mở rộng (ext) nhằm giúp người dùng dễ dàng nhận biết các dữ liệu nào của mình đã bị mã hóa

Các nhà nghiên cứu cũng phân tích một số hành vi khác bao gồm thay đổi hình nền, mã hóa bằng proxy,...

Với phân tích này, các nhà nghiên cứu tin rằng các chuyên gia CNTT có thể hiểu rõ hơn về các chiến thuật phổ biến của ransomware để thiết kế các biện pháp đối phó đầy đủ.

Các bạn còn biết những cách nào nữa? hãy comment và chia sẻ với chúng tôi nhé

Đại Phát