Vào tháng 3 năm 2018, Atlanta đã bị tấn công bằng ransomware lây nhiễm gần 3.800 máy tính của chính phủ thuộc thành phố Atlanta, bao gồm cả các máy chủ. Sau khi virus được triển khai, về cơ bản , ransomware đã khóa tất cả các máy tính bị nhiễm virus, khiến chúng không thể truy cập được. Hệ thống tòa án của Atlanta đi xuống; cảnh sát không thể kiểm tra biển số xe; cư dân không thể thanh toán hóa đơn trực tuyến.
Chỉ ba tuần trước khi Atlanta bị tấn công, thành phố nhỏ Leeds, Alabama , cũng trải qua một cuộc tấn công mạng tương tự. Và trước Leeds vào tháng Giêng, đó là Bệnh viện Khu vực Hancock ở ngoại ô Indianapolis.
Điểm chung của ba cuộc tấn công này là chúng đều bị tấn công bởi SamSam ransomware , còn được gọi là MSIL / Samas.A. Mỗi tấn công đòi hỏi xung quanh cùng một số tiền - khoảng $ 50,000 trong cryptocurrency . Bệnh viện khu vực Hancock và Leeds, Alabama, đã trả tiền chuộc. Tuy nhiên, thành phố Atlanta thì không. Thay vào đó, họ đã chọn trả hàng triệu USD để đưa hệ thống của mình trở lại trực tuyến.
Vào thời điểm đó, thành phố Atlanta là một trong những nơi nổi bật nhất bị tấn công bởi ransomware, mà theo John Hulquist, đó là khi tội phạm mạng truy cập vào mạng máy tính, mã hóa tất cả dữ liệu và tống tiền công ty để mở khóa. Hulquist là phó chủ tịch phân tích, Mandiant Threat Intelligence tại FireEye , một công ty bảo mật do tình báo lãnh đạo.
Ransomware không có gì mới
Hulquist nói rằng các cuộc tấn công ransomware, về cơ bản giữ một mạng công ty làm "con tin" cho đến khi yêu cầu tiền chuộc được trả, không có gì mới. Chúng đã diễn ra trong vài năm (như ba trường hợp này cho thấy).
Theo nghiên cứu của Check Point Software Technologies , trong nửa đầu năm 2021, số lượng tổ chức bị ảnh hưởng bởi ransomware trên toàn cầu đã tăng hơn gấp đôi so với năm 2020. Báo cáo Mandiant M-Trends 2021 của FireEye cũng xác định hơn 800 nỗ lực tống tiền có khả năng bị đánh cắp dữ liệu. Những con số này dựa trên các cuộc điều tra của Mandiant về hoạt động tấn công có chủ đích được tiến hành từ ngày 1 tháng 10 năm 2019 đến ngày 30 tháng 9 năm 2020.
Các mục tiêu bây giờ đang trở nên cao cấp hơn nhiều. Chỉ riêng ở Mỹ kể từ tháng 4, các công ty nổi tiếng như Colonial Pipeline , JBS Foods , NBA và Cox Media Group đều đã bị ảnh hưởng.
Tin tặc thường truy cập mạng thông qua các cuộc tấn công lừa đảo , là các email được gửi đến nhân viên lừa họ từ bỏ mật khẩu hoặc nhấp vào các liên kết độc hại sẽ tải phần mềm độc hại vào mạng công ty. Ransomware cũng tìm kiếm các mục nhập khác vào mạng công ty thông qua mật khẩu dễ bị bẻ khóa, chẳng hạn như 123qwe.
Tại sao rất nhiều và tại sao bây giờ?
Hulquist giải thích nó như thế này: Ban đầu ransomware chủ yếu là các hệ thống nhỏ được tự động hóa và nhắm mục tiêu. Anh ấy gọi nó là "phun và cầu nguyện."
Ông giải thích: “Phần mềm tống tiền sẽ ra ngoài và tấn công bất cứ hệ thống nào mà nó có thể lấy được. Nó tìm kiếm mật khẩu dễ bị tấn công, mạng mở, lối vào dễ dàng. "[Những kẻ tấn công] được biết là khá thân thiện; chúng sẽ mở khóa dữ liệu - thậm chí đôi khi cung cấp chiết khấu - và tiếp tục cuộc sống của mình." Ông nói, Bitcoin cung cấp một nền tảng tốt để chuyển số tiền đó. Đó chính xác là những gì đã xảy ra ở Leeds. Những kẻ tấn công đòi 60.000 đô la; thị trấn đã trả $ 8.000 .
Nhưng sau đó mọi thứ đã thay đổi, Hulquist nói. Phần mềm tống tiền đã đi từ "phun và cầu nguyện" tự động thành các cuộc tấn công quy mô lớn, hướng vào các công ty lớn hơn với nhiều tiền hơn. Và tiền chuộc tăng vọt. Vào năm 2020, các công ty đã trả hơn 406 triệu đô la tiền mã hóa cho những kẻ tấn công, theo báo cáo mới nhất từ Chainanalysis , công ty phân tích blockchain và tiền điện tử.
Hulquist nói: “Những mục tiêu mới này phải trả giá vì chúng thường là những cơ sở hạ tầng quan trọng. "Họ phải trở lại trực tuyến. Người tiêu dùng thực sự là một nhân tố vì họ đang buộc các công ty này phải đưa ra quyết định vội vàng cho đến khi trả tiền."
Thanh toán hay không thanh toán?
Đó là trường hợp của cuộc tấn công Đường ống Thuộc địa. Vụ tấn công đã đánh sập đường ống dẫn nhiên liệu lớn nhất ở Mỹ vào ngày 29 tháng 4 và khiến lượng nhiên liệu tích trữ trên khắp Bờ Đông. Giám đốc điều hành của Colonial Pipeline, Joseph Blount, nói với The Wall Street Journal rằng công ty đã trả tiền chuộc - 4,4 triệu đô la bằng bitcoin - để đưa đường ống hoạt động trở lại trực tuyến. Nhưng khóa giải mã mà đối thủ cung cấp không khôi phục ngay lập tức tất cả các hệ thống của đường ống.
Và đó chỉ là một trong những vấn đề với việc trả tiền chuộc. Một câu hỏi chính khác là liệu việc trả tiền chuộc có khuyến khích thêm nhiều vấn đề hay không. Hulquist nói: “Tôi nghĩ rằng việc trả tiền chuộc rõ ràng dẫn đến nhiều cuộc tấn công có chủ đích hơn, nhưng nếu bạn là một công ty đang ở trong tình huống bất khả thi, bạn phải làm điều đúng đắn cho tổ chức của mình”.
Tin tốt cho Colonial là Bộ Tư pháp Hoa Kỳ đã công bố ngày 7 tháng 6 rằng họ đã thu hồi được 63,7 bitcoin, trị giá khoảng 2,3 triệu đô la mà Colonial trả cho tin tặc của mình. "Động thái của Bộ Tư pháp nhằm thu hồi các khoản thanh toán tiền chuộc từ các nhà khai thác đã phá vỡ cơ sở hạ tầng quan trọng của Hoa Kỳ là một sự phát triển đáng hoan nghênh", Hulquist nói. "Rõ ràng là chúng ta cần sử dụng một số công cụ để ngăn chặn làn sóng của vấn đề nghiêm trọng này."
Tất nhiên, việc không trả tiền chuộc cũng có thể là một vấn đề. Hulquist nói: “Một số công ty không muốn trả tiền, vì vậy họ buộc họ phải trả tiền bằng cách làm rò rỉ dữ liệu của họ. "Đó là một đề xuất mà rất nhiều tổ chức không muốn tham gia." Ông nói, email bị rò rỉ và các thông tin độc quyền khác có thể gây thiệt hại nhiều hơn cho một số công ty chứ không chỉ đơn giản là trả tiền. Nó có thể khiến họ gặp rắc rối pháp lý hoặc cuối cùng làm tổn thương thương hiệu của họ.
Các hacker khác chỉ đơn giản là yêu cầu thanh toán mà không cần cài đặt ransomware . Đó là những gì đã xảy ra trong cuộc tấn công Houston Rockets vào tháng Tư. Không có phần mềm ransomware nào được cài đặt trên mạng của đội NBA, nhưng nhóm hack Babuk đe dọa sẽ công bố các hợp đồng và thỏa thuận không tiết lộ mà họ tuyên bố rằng họ đã đánh cắp từ hệ thống của đội nếu họ không trả tiền.
Chính phủ đang làm gì?
Hulquist nói rằng chính phủ có thể làm được nhiều việc hơn thế. Ông nói: “Chúng tôi biết rằng vấn đề này đang gia tăng trong một thời gian và cuối cùng họ cũng đang nghiêm túc xem xét nó và đẩy mạnh nỗ lực của mình.
Tất nhiên, anh ấy đề cập đến một số sáng kiến mới do chính quyền Biden đưa ra để đối phó với sự gia tăng của các cuộc tấn công ransomware. Vào ngày 12 tháng 5, Tổng thống Biden đã ký một lệnh hành pháp được thiết kế để cải thiện an ninh mạng trong các mạng của chính phủ liên bang. Trong số các hoạt động điều hành của mình, nó sẽ thành lập Ban Đánh giá An toàn An ninh Mạng được mô phỏng theo Ban An toàn Giao thông Vận tải Quốc gia (NTSB). Ban hội thẩm có thể sẽ bao gồm các chuyên gia nhà nước và tư nhân, những người sẽ xem xét các sự cố mạng tương tự như cách NTSB điều tra các vụ tai nạn.
Anne Neuberger, phó trợ lý của Biden và là phó cố vấn an ninh quốc gia về không gian mạng và công nghệ mới nổi, cũng đã công bố một bức thư ngỏ ngày 2 tháng 6 gửi tới "Các Giám đốc điều hành và Lãnh đạo Doanh nghiệp".
Trong đó, cô ấy nói rằng khu vực tư nhân có trách nhiệm bảo vệ chống lại các mối đe dọa mạng và các tổ chức "phải nhận ra rằng không có công ty nào an toàn khỏi bị nhắm mục tiêu bởi ransomware, bất kể quy mô hoặc vị trí ... hệ thống phòng thủ mạng của công ty bạn phù hợp với mối đe dọa. "
Cách bảo vệ công ty của bạn
Bạn có thể làm gì để đảm bảo mạng của mình được an toàn? Cơ quan An ninh mạng và An ninh Thông tin (CISA) và FBI ngày 11 tháng 5 đã công bố các phương pháp hay nhất để ngăn chặn sự gián đoạn kinh doanh do các cuộc tấn công ransomware. Trong đó, họ liệt kê sáu biện pháp giảm nhẹ mà các công ty có thể làm ngay bây giờ để giảm nguy cơ bị xâm nhập bởi ransomware:
- Yêu cầu xác thực đa yếu tố để truy cập từ xa vào công nghệ hoạt động (OT) và mạng CNTT.
- Bật bộ lọc thư rác mạnh để ngăn email lừa đảo tiếp cận người dùng cuối. Lọc các email có chứa các tệp thực thi để tiếp cận người dùng cuối.
- Triển khai chương trình đào tạo người dùng và các cuộc tấn công mô phỏng để phân phát giáo nhằm ngăn cản người dùng truy cập các trang web độc hại hoặc mở các tệp đính kèm độc hại và củng cố phản hồi thích hợp của người dùng đối với các email lừa đảo.
- Lọc lưu lượng mạng để cấm xâm nhập và đi ra liên lạc với các địa chỉ IP độc hại đã biết. Ngăn người dùng truy cập các trang web độc hại bằng cách triển khai danh sách chặn URL và / hoặc danh sách cho phép.
- Cập nhật phần mềm, bao gồm hệ điều hành, ứng dụng và chương trình cơ sở trên các tài sản mạng CNTT, một cách kịp thời. Cân nhắc sử dụng hệ thống quản lý bản vá tập trung; sử dụng chiến lược đánh giá dựa trên rủi ro để xác định khu vực và tài sản mạng OT nào nên tham gia vào chương trình quản lý bản vá.
- Hạn chế quyền truy cập vào tài nguyên qua mạng, đặc biệt bằng cách hạn chế giao thức máy tính từ xa (RDP), là một giao thức truyền thông mạng an toàn để quản lý từ xa. Sau khi đánh giá rủi ro, nếu RDP được cho là cần thiết về mặt hoạt động, hãy hạn chế các nguồn gốc và yêu cầu xác thực đa yếu tố.
Hulquist nói toàn bộ mục đích của trò chơi tại là để đạt một mục tiêu lớn người có khả năng chi trả - và một trong đó có được hưởng lương bổng. Và việc sử dụng cơ sở hạ tầng quan trọng ở chế độ ngoại tuyến không nằm ngoài câu hỏi. Theo ông, điều đó là Hoa Kỳ không chuẩn bị cho.
Ông nói: “Sự tinh tế của chúng tôi là gót chân Achilles của chúng tôi trong không gian này. "Nó khiến chúng ta dễ bị tổn thương hơn trước các sự cố. Một trong những bài học mà chúng ta nên rút ra từ tất cả những điều này là chúng ta không chuẩn bị cho chiến tranh mạng. Chúng ta biết rằng họ đã nhắm mục tiêu chăm sóc sức khỏe và các khả năng quan trọng khác. Mọi người đều đang học hỏi từ điều này. "
Bây giờ điều đó thật điên rồ
Vậy ai đứng sau tất cả các cuộc tấn công ransomware này? Còn nhớ SamSam, phần mềm tống tiền đã hạ gục Atlanta? Vào năm 2018, một bồi thẩm đoàn lớn đã truy tố hai người Iran tham gia vì tiền. Ba ransomware khác - NETWALKER, REvil và Darkside - được gọi là RaaS (Ransomware-as-a-Service), có nghĩa là chúng cung cấp cho bất kỳ ai phát tán phần mềm độc hại của họ từ 10 đến 25 phần trăm số tiền thanh toán. Darkside được cho là đứng sau vụ tấn công Colonial Pipeline. Các hoạt động này dường như có trụ sở tại Nga.
