GIẢI PHÁP ĐỀ PHÒNG RANSOMWARE (MÃ ĐỘC TỐNG TIỀN) HIỆU QUẢ

Ransomware là gì? 

Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng. Tất nhiên, không miễn phí và cần phải chuyển tiền vào tài khoản được chỉ định.

Ransomware đã được Bộ Tư pháp Hoa Kỳ xem xét là một mô hình mới của tội phạm mạng có khả năng gây ra các tác động trên quy mô toàn cầu. Ngoài ra, nó có thể gây ra tác động rất lớn có thể làm gián đoạn hoạt động kinh doanh và dẫn đến mất dữ liệu.

Để hiểu hơn về Tổng quan và cơ chế của một cuộc tấn công Ransomware, các bạn có thể xem tại đây

Giải pháp đề phòng Ransomware

Ransomware đặc biệt nguy hiểm. Mặc dù thường lây lan qua thư rác hoặc email lừa đảo, nhưng chúng cũng đã được biết là tận dụng các cửa hậu hoặc lỗ hổng. Khi đã xâm nhập, Ransomware sau đó khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Cuối cùng, phần mềm độc hại yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng.

Các thống kê bên trên cho thấy những cách phổ biến nhất về cách lây nhiễm vào các hệ thống.

1. Cài đặt phần mềm chống vi-rút và đảm bảo rằng nó được cập nhật mới nhất

Các phần mềm chống virus phổ biến như: Bitdefender, Kaspersky, Trend Micro,…

Các phần mềm phải đảm bảo được hệ thống ngăn chặn cung cấp các lớp bảo mật nâng cao:

• Chống malware (phần mềm độc hại) dựa vào Machine Learning.

• Giám sát tiến trình thời gian thực.

• Advanced Threat Control.

• Chống khai thác nâng cao.

• Khắc phục/ Dọn dẹp.

2. Áp dụng các bản vá phần mềm để giữ cho các hệ thống được cập nhật

Vá lỗ hổng phần mềm là một công việc không dễ dàng, tốn thời gian và nhàm chán. Nhưng nó rất quan trọng đối với an ninh của bạn.

Các nhóm tin tặc tạo ra phần mềm độc hại sẽ ghi nhận mọi lỗ hổng phần mềm nào và cố gắng sử dụng chúng như một cách xâm nhập vào mạng trước khi các doanh nghiệp có thời gian để kiểm tra và triển khai các bản vá. Ví dụ lớn nhất là về những gì đã xảy ra nếu bạn không vá đủ nhanh chính là WannaCry.

Ransomware này đã gây ra sự khủng hoảng vào mùa hè năm 2017, bao gồm cả việc phá vỡ đáng kể NHS ở Anh. Một lỗ hổng khai thác dựa trên giao thức Windows Server Message Block cho phép WannaCry lan truyền cho đến nay thực sự đã được phát hành vài tháng trước khi Ransomware tấn công. Nhưng không đủ các tổ chức đã áp dụng bản sửa lỗi cho cơ sở hạ tầng của họ và kết quả là hơn 300.000 PC đã bị nhiễm.

3. Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập

Click vào một liên kết xấu trong email có lẽ là cách bị nhiễm phần mềm độc hại được biết đến nhiều nhất, nhưng đó là cách duy nhất. Gần một phần ba số Ransomware được phân phối thông qua các cuộc tấn công từ xa (RDP).

Các cuộc tấn công Brute force là những nỗ lực của tin tặc truy cập vào máy chủ và các thiết bị khác bằng cách thử càng nhiều mật khẩu càng tốt, thường là với sự trợ giúp của bot, với hy vọng đạt được quyền quản trị.

Có nhiều công ty không thay đổi mật khẩu mặc định hoặc sử dụng các mật khẩu dễ đoán, các cuộc tấn công brute force thường thành công nhanh chóng. RDP cho phép điều khiển máy tính từ xa và là một con đường tấn công Ransomware phổ biến khác. Có nhiều cách để giảm nguy cơ bị tấn công thông qua RDP, từ việc đảm bảo sử dụng mật khẩu mạnh, đến thay đổi cổng RDP, để hạn chế tính khả dụng của nó trên các thiết bị thực sự cần thiết.

4. Hướng dẫn các nhân viên nhận ra các email đáng ngờ

Một trong những cách thường gặp để Ransomware xâm nhập vào tổ chức của bạn là qua email. Bởi vì spam phần mềm độc hại đến hàng ngàn địa chỉ email là cách tiết kiệm chi phí và dễ dàng để các nhóm tin tặc Ransomware thử và phát tán phần mềm độc hại. Mặc dù bản chất của các chiến thuật này cực kỳ cơ bản , nhưng nó vẫn hiệu quả.

Đào tạo cho nhân viên để nhận ra các email đáng ngờ có thể giúp bảo vệ chống lại Ransomware và các rủi ro do email khác như lừa đảo. Nguyên tắc cơ bản: không mở email từ người gửi mà bạn không nhận ra. Và đừng nhấp vào các liên kết trong email nếu bạn không chắc chắn đó là hợp lệ. Tránh các tệp đính kèm bất cứ khi nào có thể và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là con đường dễ dẫn đến nhiễm phần mềm độc hại nhất. Xem xét sử dụng xác thực hai yếu tố như một lớp bảo mật bổ sung.

5. Tạo ra nhiều rào cản trên các hệ thống mạng của bạn

Các nhóm tin tặc Ransomware đang ngày càng tìm kiếm những lỗ hổng lớn nhất có thể. Mã hóa dữ liệu trên một PC sẽ không làm cho chúng trở nên giàu có, vì vậy chúng có khả năng truy cập vào mạng và sau đó phát tán phần mềm độc hại của chúng càng xa càng tốt trước khi kích hoạt và mã hóa mọi thứ.

Làm cho điều này trở nên khó han hơn bằng cách phân đoạn các mạng và cũng bằng cách giới hạn và bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng. Các cuộc tấn công lừa đảo đã được các tin tặc nhắm mục tiêu vì chúng có quyền truy cập rộng rãi trên nhiều hệ thống.
Bạn cũng có thể sử dụng phần mềm Bitdefender cung cấp bảo vệ hệ thống mạng vững chắc hơn.

6. Hiểu những kết nối đang xảy ra với mạng của bạn

Máy chủ và máy trạm có thể là nơi lưu trữ dữ liệu của bạn, nhưng chúng không phải là thiết bị duy nhất bạn phải lo lắng. Bên cạnh wi-fi văn phòng, Internet vạn vật hoặc làm việc tại nhà, giờ đây có rất nhiều thiết bị kết nối với mạng công ty, nhiều thiết bị sẽ không đủ bảo mật tích hợp mà bạn mong muốn bằng một thiết bị của công ty .

Càng nhiều thiết bị, nguy cơ cung cấp cho tin tặc một cửa hậu vào mạng của bạn và sau đó sử dụng quyền truy cập đó để di chuyển qua hệ thống của bạn đến các mục tiêu càng cao hơn so với các thiết bị được bảo mật kém hoặc máy bán hàng tự động thông minh. Ngoài ra, hãy suy nghĩ về những người khác có quyền truy cập vào hệ thống của bạn: các đối tác của bạn có nhận thức được rủi ro tiềm ẩn của Ransomware và phần mềm độc hại khác không?

Điều đáng ghi nhớ là tốt hơn hết là tránh xa các mạng Wi-Fi công cộng trong khi làm việc bên ngoài văn phòng hoặc ít nhất là biết cách giữ an toàn trên các mạng công cộng đó.

7. Luôn có một bản sao lưu

Dữ liệu quan trọng nhất của bạn là gì và tạo ra một kế hoạch sao lưu hiệu quả.

Có các bản sao lưu an toàn và cập nhật tất cả các thông tin quan trọng của doanh nghiệp là một biện pháp bảo vệ hàng đầu, đặc biệt là chống lại Ransomware. Trong trường hợp Ransomware đã lây nhiễm một số thiết bị, có bản sao lưu gần đây có nghĩa là bạn có thể khôi phục dữ liệu đó và hoạt động trở lại nhanh chóng. Nhưng điều quan trọng là phải hiểu nơi dữ liệu quan trọng trong doanh nghiệp đang thực sự được lưu giữ.

Ví dụ như là dữ liệu quan trọng của CFO trong Ecxel trên máy tính để bàn của họ và không được sao lưu trên đám mây như bạn nghĩ? Sẽ không tốt nếu có một bản sao lưu sai nội dung hoặc sao lưu nó quá ít đến mức không có tác dụng.

8. Suy nghĩ rộng hơn và nghiêm túc trước khi bạn trả tiền chuộc

Kẻ gian Ransomware đã tìm ra bạn thông qua hệ thống phòng thủ của bạn và bây giờ mọi PC trên toàn doanh nghiệp đều được mã hóa. Bạn có thể khôi phục từ bản sao lưu, nhưng sẽ mất nhiều ngày và bọn tội phạm chỉ muốn vài nghìn đô la. Có nên trả tiền cho chúng?

Trong một số trường hợp, có thể thấy rõ. Nếu những kẻ tấn công chỉ muốn một số tiền tương đối nhỏ  trong thời gian ngắn, có thể khiến doanh nghiệp đắn đo có nên trả tiền để có thể nhanh chóng hoạt động trở lại. Tuy nhiên, có những lý do tại sao bạn không nên trả tiền.

Đầu tiên, không có gì đảm bảo rằng bọn tội phạm sẽ trao khóa mã hóa khi bạn trả tiền – chúng là những tên tội phạm mà. Nếu tổ chức của bạn được cho là sẵn sàng trả tiền, điều đó có thể sẽ khuyến khích nhiều cuộc tấn công hơn, bởi cùng một nhóm hoặc những nhóm khác.

Trả tiền chuộc, từ tiền của chính bạn hoặc thông qua tiền ảo, là một hình thức để thưởng cho các băng đảng này vì hành vi của chúng. Điều đó có nghĩa là chúng thậm chí còn được tài trợ tốt hơn và có thể chạy các chiến dịch thậm chí tinh vi hơn nữa chống lại bạn hoặc các tổ chức khác. Nó có thể giúp bạn phục hồi trong thời gian ngắn, nhưng thực chất trả tiền chuộc chỉ làm tăng thêm vấn nạn Ransomware mà thôi.

9. Có kế hoạch phục hồi

Một kế hoạch khôi phục bao gồm tất cả các loại thảm họa công nghệ phải là một phần tiêu chuẩn của kế hoạch kinh doanh và nên bao gồm một phản ứng dành riêng cho Ransomware. Đó không chỉ là phản ứng kỹ thuật – làm sạch PC và cài đặt lại dữ liệu từ các bản sao lưu – mà còn là phản ứng cho hoạt động kinh doanh cần thiết.

Những điều cần xem xét bao gồm làm thế nào để giải thích tình hình cho khách hàng, nhà cung cấp. Xem xét liệu các cơ quan quản lý cần phải được thông báo, hoặc nếu bạn nên gọi cảnh sát hoặc công ty bảo hiểm. Có một tài liệu là không đủ: bạn cũng cần kiểm tra các giả định bạn đã đưa ra, bởi vì một số trong số chúng có khả năng sẽ sai.

10. Quét và lọc email trước khi chúng đến tay người dùng

Cách dễ nhất để ngăn nhân viên nhấp vào liên kết Ransomware trong email là giữ những email nguy hại không bao giờ đến được hộp thư đến của họ. Bằng cách sử dụng chức năng quét nội dung và lọc email, cần phải xử lý các email lừa đảo và email có chứa Ransomware trước khi chúng thực sự đến tay người dùng.

Bạn có thể cân nhắc sử dụng các giải pháp chuyên nghiệp để bảo vệ email của mình.

 

Phải làm gì khi bị nhiễm Ransomware?

1. Cô lập, tách các mạng và hệ thống

Bước đầu tiên để kiểm soát ổ dịch Ransomware là cách ly các hệ thống bị nhiễm khỏi phần còn lại của mạng.
Tắt các hệ thống đó và rút cáp mạng ra. Tắt WIFI. Các hệ thống bị nhiễm cần được cách ly hoàn toàn khỏi các máy tính và thiết bị lưu trữ khác trên mạng.

2. Xác định và xóa các Ransomware

Tiếp theo, tìm ra loại phần mềm độc hại đã lây nhiễm các máy tính. Nhóm Ứng phó sự cố, tổ chức CNTT hoặc chuyên gia tư vấn bên ngoài sẽ có thể xác định chủng Ransomware và bắt đầu lên kế hoạch cách tốt nhất để đối phó với sự lây lan.

3. Xóa máy bị nhiễm và khôi phục từ bản sao lưu

Để đảm bảo không sót lại Ransomware nào bị ẩn trong hệ thống của bạn, bạn nên xóa toàn bộ dữ liệu và sau đó khôi phục mọi thứ từ bản sao lưu an toàn. Với điều kiện có một bản sao lưu tốt có sẵn.

4. Phân tích và giám sát hệ thống

Học hỏi từ những thiếu sót là một trong những cách tốt để hiểu về bản chất của cuộc tấn công và ngăn chặn các cuộc tấn công tương tự xảy ra lần nữa.

 

Bạn có nên trả tiền cho Ransomware

Câu trả lời là KHÔNG. Trong hầu hết các trường hợp, bạn không nên trả tiền chuộc. Việc ngăn chặn Ransomware và các tùy chọn sao lưu và phục hồi hiện có là ưu tiên hàng đầu.

Thực hiện công việc ngay lập tức để ngăn chặn và bảo vệ dữ liệu khỏi Ransomware, do đó phải trả tiền chuộc chỉ là một tùy chọn. Tuy nhiên, đó là một vấn đề phức tạp hơn nhiều, đặc biệt là nếu bạn đang đọc bài viết này sau khi thực tế.

Bạn có bảo hiểm CNTT cho các cuộc tấn công Ransomware? Bitcoin có thể được mua để trả tiền chuộc kịp thời không? Các bản sao lưu hệ thống có bị tấn công? Dữ liệu có thực sự quan trọng? Đây là một vài câu hỏi mà các tổ chức có thể phải tự trả lời khi họ đang xem xét có trả tiền chuộc hay không.

Dưới đây là một số mục cần suy nghĩ trước khi quyết định trả hay không trả được đưa ra.

1. Kiểm tra chính sách bảo hiểm cho CNTT của bạn

Bảo hiểm trên không gian mạng là một giải pháp tương đối mới có thể giúp khắc phục chi phí quản lý vi phạm dữ liệu hoặc sự cố an ninh mạng tương tự. Bảo hiểm mạng có thể giúp quản lý và trang trải chi phí như:

• Thông báo cho khách hàng và các bên bị ảnh hưởng khi vi phạm dữ liệu

• Khôi phục và bồi thường cho các bên bị ảnh hưởng

• Phục hồi dữ liệu bị xâm nhập

• Xây dựng lại hệ thống máy tính

2. Hợp tác với cơ quan thực thi pháp luật

Nếu các cơ quan thực thi pháp luật tham gia, họ sẽ có chuyên môn và hiểu biết và sẽ giúp đưa ra các quyết định, vì vậy nếu thích hợp hãy mời họ vào.

Ví dụ, họ có thể biết liệu cuộc tấn công có phải từ một nhóm mà họ đã biết hay không, điều này mang lại kiến thức và kinh nghiệm trước đây cho sự cố này.

Thanh toán cho các tổ chức khủng bố có thể là bất hợp pháp, và không ai cần điều đó theo lương tâm của họ.

3. Tìm kiếm một công cụ giải mã

Lên mạng để xem có tồn tại công cụ giải mã không. Nếu các khóa cho cuộc tấn công này đã có sẵn thì không cần phải trả tiền. Đôi khi, khi cảnh sát và các chuyên gia bảo mật điều tra hoạt động tội phạm mạng, họ có khả năng có thể lấy các khóa giải mã từ các máy chủ độc hại và chia sẻ chúng trực tuyến.

 

---

☞ Có thể bạn quan tâm