Có một câu chuyện cười cũ: “Bức thư nào mang lại nhiều tiền nhất? Lưu ý tiền chuộc. Thật buồn cười vì đó là sự thật. Theo Đơn vị 42, một nhóm tư vấn bảo mật tại Palo Alto Networks, đã có một sự gia tăng trong các cuộc tấn công ransomware vào các doanh nghiệp vào năm 2021 và các trường hợp ransomware mạng có thể sẽ gia tăng vào năm 2022.
Khi các mối đe dọa phát triển, các khoản thanh toán cũng vậy.
Số lượng và quy mô các khoản thanh toán của các doanh nghiệp và tổ chức cho người phạm tội cũng đang tăng lên. Trong số các trường hợp ứng phó sự cố năm 2021 (hầu hết liên quan đến các nạn nhân Hoa Kỳ), số tiền chuộc trung bình được yêu cầu là 2,2 triệu đô la. Điều này thể hiện mức tăng 144% so với nhu cầu trung bình là 900.000 đô la vào năm 2020. Mặc dù những con số này cao hơn, Đơn vị 42 cũng chỉ ra trong báo cáo của mình rằng các khoản thanh toán tiền chuộc vẫn ít hơn đáng kể so với nhu cầu tiền chuộc ban đầu. Nhóm an ninh tính toán rằng các khoản thanh toán trung bình thực tế chỉ bằng 42% so với số tiền chuộc ban đầu.
Để có được nhiều tiền hơn, các nhóm tội phạm mạng hiện đang đa dạng hóa các kỹ năng của họ. Các tổ chức này sử dụng các cuộc tấn công phức tạp để buộc nạn nhân của họ phải phục tùng. Ví dụ: họ có thể đưa ra cảnh báo rằng họ đang tiết lộ dữ liệu bí mật của công ty trên các trang web rò rỉ dark web nếu nạn nhân không trả tiền. Bạn không thể tranh cãi với kết quả. Áp lực này khuyến khích nạn nhân thực hiện thanh toán mà nhóm thậm chí không cần phải triển khai ransomware. Và nó không phải là một trò lừa bịp. Phân tích khối 42 trong Báo cáo về Ransomware năm 2022 cho thấy các nhóm ransomware đã đăng dữ liệu nạn nhân trên dark web nhiều hơn 85% vào năm ngoái so với năm 2020.
Trong khi đó, theo Michael Kahn của MoiNhat.Net, ransomware vẫn tiếp tục đe dọa các tổ chức lớn và nhỏ. Các quan chức FBI cho biết các cuộc tấn công ransomware đã tấn công cơ sở hạ tầng quan trọng của Hoa Kỳ hàng trăm lần chỉ trong năm ngoái. Các mục tiêu chính là trong các lĩnh vực dịch vụ tài chính, chăm sóc sức khỏe và công nghệ thông tin. Báo cáo của FBI cho biết các chủng ransomware REvil, Lockbit 2.0 và Conti có liên quan đến các nhóm hacker có thành viên bị nghi ngờ hoạt động bên ngoài nước Nga.
Kinh doanh ransomware
Tất cả những điều trên đã dẫn đến việc những kẻ tấn công dũng cảm làm việc không chăm chỉ hơn mà còn thông minh hơn. Đơn vị 42 báo cáo rằng các doanh nhân tội phạm hiện đang cung cấp ransomware như một dịch vụ (RaaS) cho những kẻ lười biếng có cùng chí hướng. RaaS hoạt động theo cách tương tự như phần mềm như một dịch vụ mà doanh nghiệp của bạn có thể sử dụng cho các chức năng hàng ngày của nó. Tập đoàn RaaS ký kết các thỏa thuận đặt ra các điều khoản cung cấp phần mềm tống tiền thực tế cho các chi nhánh để đổi lấy một khoản phí hàng tháng hoặc một phần trăm tiền chuộc được trả. RaaS hạ thấp rào cản xâm nhập của bọn tội phạm và trao quyền cho ransomware.
Cách chuẩn bị cho một cuộc tấn công ransomware
Bà nội nói: “Một mũi khâu được thực hiện trong thời gian cứu chín.” Nói cách khác, hãy tăng cường khả năng bảo vệ của bạn trước cuộc tấn công bằng ransomware trước khi nó xảy ra. Unit 42 đưa ra mười cách các công ty có thể bảo mật hoặc ít nhất là giảm thiểu tác động của ransomware đối với hoạt động hàng ngày của họ.
1. Nhận thức được nguy cơ ransomware và luôn cập nhật những phát triển mới nhất. Luôn cập nhật các mối đe dọa mới nhất (đăng ký SecurityWatch là một khởi đầu tuyệt vời). Đảm bảo rằng phần mềm chống ransomware của bạn cũng được cập nhật.
2. Biết những dữ liệu nào bạn có thể bị mất. Nếu bạn biết dữ liệu nào có nguy cơ đối với công ty của mình và tất cả dữ liệu được lưu trữ ở đâu, bạn sẽ biết cách ưu tiên lập kế hoạch sao lưu và đầu tư vào lưu trữ ngoại vi.
3. Đảm bảo rằng mọi người bạn làm việc cùng đều tập trung vào vấn đề an toàn. Bên thứ ba, đối tác và các yếu tố chuỗi cung ứng có thể tạo ra rủi ro ransomware có thể ảnh hưởng đến doanh nghiệp của bạn. Nói chuyện với tất cả những người truy cập dữ liệu của bạn về các gói bảo mật của họ.
4. Xem xét và kiểm tra kế hoạch ứng phó sự cố của bạn. Bạn sẽ gọi cho ai để đưa máy tính của mình trực tuyến trở lại trong cuộc tấn công bằng ransomware? Bạn sẵn sàng trả bao nhiêu để lấy lại dữ liệu của mình? Doanh nghiệp của bạn có thể ngoại tuyến trong bao lâu khi có sự cố bảo mật? Điều quan trọng là phải tạo và thường xuyên xem xét kế hoạch ứng phó sự cố để đảm bảo rằng bạn không bị nhóm ransomware làm cho.
5. Thực hiện chiến lược không tin tưởng. Xóa tin cậy ẩn. Điều này có nghĩa là mọi yêu cầu cấp quyền và mọi phiên phải được xác nhận trước khi người dùng có thể tiếp tục duyệt mạng. Kiểm tra ở mọi bước của mọi tương tác kỹ thuật số khiến những kẻ tấn công khó xâm nhập và tàn phá hơn.
6. Xác định tài sản mở của bạn. Có gì trong nguồn cấp dữ liệu mạng xã hội của bạn? Có gì trong hộp thư của bạn? Bất kỳ thông tin nào bạn đăng về bạn và doanh nghiệp của bạn có thể bị lộ thông qua vi phạm dữ liệu hoặc được sử dụng làm thức ăn cho các cuộc tấn công ransomware. Đừng mất cảnh giác. Bảo vệ thông tin đăng nhập của bạn bằng các mật khẩu phức tạp, khó đoán mà bạn lưu trữ trong kho lưu được mã hóa của trình quản lý mật khẩu.
7. Xác định và ngăn chặn các mối đe dọa tiềm ẩn. Bảo vệ chống lại việc khai thác, phần mềm độc hại và lưu lượng truy cập lệnh và kiểm soát giúp loại bỏ mọi mục tiêu dễ dàng cho những kẻ tấn công.
8. Học cách tự động hóa bảo vệ. Sử dụng các công cụ như bảo vệ chống vi-rút để phát hiện sớm các mối đe dọa ransomware để bạn có thể phản hồi và phục hồi nhanh chóng.
9. Bảo vệ sự hiện diện của bạn trên đám mây. Để khởi động các cuộc tấn công ransomware trong môi trường đám mây trong tương lai, bọn tội phạm có khả năng sử dụng các chiến thuật mà chúng ta chưa gặp phải. Chuẩn bị sẵn sàng cho doanh nghiệp của bạn với phần mềm quản lý danh tính và quyền truy cập để bảo mật các API đám mây.
Được giới thiệu bởi các biên tập viên của chúng tôi
10. Giảm thời gian phản hồi bằng kẹp. Giữ các chuyên gia ứng phó sự cố trên quay số nhanh. Họ có thể giúp bạn tạo ngân sách phản hồi ransomware và do đó thực hiện hành động nhanh hơn để hoạt động kinh doanh trở lại nhanh hơn.
Thích những gì bạn đọc? Nhận thêm lịch sử SecurityWatch trong hộp thư đến của bạn hàng tuần. Đăng ký nhận bản tin SecurityWatch.
Điều gì khác đang xảy ra trong thế giới an ninh tuần này?
Cập nhật iPhone của bạn ngay bây giờ: Apple phát hành các bản sửa lỗi cho iOS, iPadOS và Mac Zero-Days. Những thiếu sót, rõ ràng, đã được khai thác tích cực.
Bạn có thực sự cần mua thêm ứng dụng chống vi-rút hoặc VPN không? Có phải tính năng bảo vệ tích hợp của PC, điện thoại và máy tính bảng hiện đại vẫn chưa đủ tốt? Câu trả lời phụ thuộc vào hệ điều hành bạn đang sử dụng.
Bất chấp việc bị bắt giữ, nhóm hacker LAPSUS $ lại tấn công vào nhà cung cấp CNTT. Công ty phần mềm Globant xác nhận rằng nó đã bị tấn công sau khi nhóm LAPSUS $ phát hành một kho lưu trữ 70GB được cho là bị đánh cắp từ công ty.
Vụ hack Viasat có liên quan đến phần mềm độc hại xóa dữ liệu được thiết kế để vô hiệu hóa modem. Công ty bảo mật SentinelOne cho biết phần mềm độc hại, được gọi là AcidRain, có khả năng được sử dụng để đóng mạng internet vệ tinh của Viasat trong cuộc xâm lược Ukraine của Nga.
CleanMyMac X hiện gắn cờ các ứng dụng của Nga và Belarus là “đáng ngờ”. Điều gì hoạt động trên máy Mac của bạn?
