Phần mềm tống tiền thường được định nghĩa là phần mềm độc hại mã hóa dữ liệu trên máy tính. Sau khi dữ liệu bị mã hóa, virus sẽ gửi thông báo đòi tiền chuộc cho nạn nhân. Cô ấy sẽ phải trả tiền để có được chìa khóa. giải mã cho phép anh ta lấy lại quyền truy cập vào dữ liệu của mình. Nếu không có khóa này, mục tiêu không thể xem được tệp của mình. Như bạn đã hiểu: mã hóa dữ liệu luôn là nền tảng của các cuộc tấn công mạng bằng phần mềm tống tiền.
Theo thời gian, tội phạm mạng đã quen với việc đánh cắp dữ liệu trước khi mã hóa dữ liệu đó. Chiến thuật này được gọi là tống tiền kép. Đẩy nạn nhân đến tình trạng Sau khi trả tiền chuộc, tin tặc sẽ khôi phục dữ liệu và đe dọa sẽ công bố dữ liệu đó trực tuyến. Vì lo sợ thông tin của mình sẽ rơi vào tay những kẻ lừa đảo khác, các doanh nghiệp có xu hướng tuân thủ các yêu cầu của kẻ tấn công. Do đó, tin tặc sẽ có lợi thế nếu mục tiêu của chúng đã sao lưu dữ liệu. Hầu hết các công ty đều đã làm như vậy, bao gồm HellCat, Lockbit, Clop và BlackCat.
Theo một nghiên cứu do ReliaQuest thực hiện, phần lớn các loại vi-rút chuyên tống tiền thậm chí còn không thèm mã hóa dữ liệu của nạn nhân. Trên thực tế, hơn 80% các cuộc tấn công bằng phần mềm tống tiền được báo cáo vào năm ngoái không bao gồm mã hóa dữ liệu.
Thay vì mã hóa dữ liệu, tin tặc thích đánh cắp dữ liệu. Cách tiếp cận này giúp tăng tốc tiến trình tấn công mạng. Theo báo cáo của ReliaQuest, một cuộc tấn công tập trung vào việc đánh cắp tệp tin sẽ nhanh hơn 34% so với một cuộc tấn công mã hóa thông tin. Rõ ràng là đánh cắp tệp tin nhanh hơn là mã hóa chúng bằng phần mềm tống tiền.
Với chiến lược mới này, tin tặc sẽ ở lại trong mạng bị nhiễm ít hơn hai giờ. Chỉ mất hơn 4 giờ để trích xuất dữ liệu và 6 giờ để mã hóa dữ liệu. Từ lúc tiếp cận ban đầu cho đến khi di chuyển sang các bộ phận khác của hệ thống, trung bình chỉ mất 48 phút. Một số cuộc tấn công chỉ mất 27 phút giữa hai giai đoạn này.
Trong 80% các vụ vi phạm mà chúng tôi nghiên cứu, chỉ có hành vi đánh cắp dữ liệu. Mã hóa trở nên kém hiệu quả hơn, thúc đẩy các nhóm ransomware khai thác dữ liệu bị đánh cắp để tống tiền, bán lại hoặc tiếp cận mục tiêu mới. Họ lợi dụng nỗi sợ bị tấn công vào danh tiếng, các lệnh trừng phạt theo quy định và việc tiết lộ thông tin nhạy cảm, ReliaQuest giải thích trong báo cáo của mình.
Đối mặt với việc tin tặc ngày càng nhanh hơn, các biện pháp phòng thủ cần được cải thiện, Michael McPherson, phó chủ tịch phụ trách hoạt động kỹ thuật tại ReliaQuest cho biết. Vị quan chức này nhấn mạnh rằng "khi những kẻ tấn công di chuyển nhanh hơn bao giờ hết, khả năng phòng thủ của chúng ta cũng phải tăng tốc", đồng thời nói thêm rằng "phản ứng thủ công không còn đủ để ngăn chặn các mối đe dọa hiện nay".
Để chống lại phần mềm tống tiền hiện đại một cách hiệu quả, các chuyên gia bảo mật phải "tận dụng tự động hóa và AI để đi trước một bước". AI, thông qua các thuật toán học máy, có thể xác định các điểm bất thường trong lưu lượng mạng, kết nối hoặc hành vi của người dùng. Trí tuệ nhân tạo do đó có thể "xử lý cảnh báo bảo mật nhanh hơn 20 lần so với các phương pháp truyền thống, với độ chính xác cao hơn 30% trong việc xác định các mối đe dọa thực sự.
Nguồn: ReliaQuest
Theo thời gian, tội phạm mạng đã quen với việc đánh cắp dữ liệu trước khi mã hóa dữ liệu đó. Chiến thuật này được gọi là tống tiền kép. Đẩy nạn nhân đến tình trạng Sau khi trả tiền chuộc, tin tặc sẽ khôi phục dữ liệu và đe dọa sẽ công bố dữ liệu đó trực tuyến. Vì lo sợ thông tin của mình sẽ rơi vào tay những kẻ lừa đảo khác, các doanh nghiệp có xu hướng tuân thủ các yêu cầu của kẻ tấn công. Do đó, tin tặc sẽ có lợi thế nếu mục tiêu của chúng đã sao lưu dữ liệu. Hầu hết các công ty đều đã làm như vậy, bao gồm HellCat, Lockbit, Clop và BlackCat.
Tạm biệt mã hóa dữ liệu
Theo một nghiên cứu do ReliaQuest thực hiện, phần lớn các loại vi-rút chuyên tống tiền thậm chí còn không thèm mã hóa dữ liệu của nạn nhân. Trên thực tế, hơn 80% các cuộc tấn công bằng phần mềm tống tiền được báo cáo vào năm ngoái không bao gồm mã hóa dữ liệu.
Thay vì mã hóa dữ liệu, tin tặc thích đánh cắp dữ liệu. Cách tiếp cận này giúp tăng tốc tiến trình tấn công mạng. Theo báo cáo của ReliaQuest, một cuộc tấn công tập trung vào việc đánh cắp tệp tin sẽ nhanh hơn 34% so với một cuộc tấn công mã hóa thông tin. Rõ ràng là đánh cắp tệp tin nhanh hơn là mã hóa chúng bằng phần mềm tống tiền.
Với chiến lược mới này, tin tặc sẽ ở lại trong mạng bị nhiễm ít hơn hai giờ. Chỉ mất hơn 4 giờ để trích xuất dữ liệu và 6 giờ để mã hóa dữ liệu. Từ lúc tiếp cận ban đầu cho đến khi di chuyển sang các bộ phận khác của hệ thống, trung bình chỉ mất 48 phút. Một số cuộc tấn công chỉ mất 27 phút giữa hai giai đoạn này.
Trong 80% các vụ vi phạm mà chúng tôi nghiên cứu, chỉ có hành vi đánh cắp dữ liệu. Mã hóa trở nên kém hiệu quả hơn, thúc đẩy các nhóm ransomware khai thác dữ liệu bị đánh cắp để tống tiền, bán lại hoặc tiếp cận mục tiêu mới. Họ lợi dụng nỗi sợ bị tấn công vào danh tiếng, các lệnh trừng phạt theo quy định và việc tiết lộ thông tin nhạy cảm, ReliaQuest giải thích trong báo cáo của mình.
AI giúp nhận diện các cuộc tấn công
Đối mặt với việc tin tặc ngày càng nhanh hơn, các biện pháp phòng thủ cần được cải thiện, Michael McPherson, phó chủ tịch phụ trách hoạt động kỹ thuật tại ReliaQuest cho biết. Vị quan chức này nhấn mạnh rằng "khi những kẻ tấn công di chuyển nhanh hơn bao giờ hết, khả năng phòng thủ của chúng ta cũng phải tăng tốc", đồng thời nói thêm rằng "phản ứng thủ công không còn đủ để ngăn chặn các mối đe dọa hiện nay".
Để chống lại phần mềm tống tiền hiện đại một cách hiệu quả, các chuyên gia bảo mật phải "tận dụng tự động hóa và AI để đi trước một bước". AI, thông qua các thuật toán học máy, có thể xác định các điểm bất thường trong lưu lượng mạng, kết nối hoặc hành vi của người dùng. Trí tuệ nhân tạo do đó có thể "xử lý cảnh báo bảo mật nhanh hơn 20 lần so với các phương pháp truyền thống, với độ chính xác cao hơn 30% trong việc xác định các mối đe dọa thực sự.
Nguồn: ReliaQuest