Blackcat Ransomware là gì và làm thế nào để bảo vệ chống lại nó?
Tấn công mạng là một nỗ lực có chủ ý và ác ý nhằm giành quyền truy cập trái phép vào hệ thống máy tính hoặc mạng thông qua các lỗ hổng hiện có. Điều này có thể được thực hiện để đánh cắp thông tin nhạy cảm và làm gián đoạn hoạt động bình thường.
Trong thời gian gần đây, ransomware đã trở thành công cụ tấn công mạng phổ biến của tội phạm mạng. Phần mềm tống tiền thường lây lan qua email lừa đảo, tải xuống theo ổ đĩa, phần mềm vi phạm bản quyền và giao thức bàn làm việc từ xa, cùng những thứ khác.
Khi một máy tính đã bị nhiễm ransomware, ransomware sẽ mã hóa các tệp quan trọng trong máy tính. Sau đó, tin tặc yêu cầu một khoản tiền chuộc để khôi phục dữ liệu được mã hóa.
Các cuộc tấn công mạng có thể làm tổn hại đến an ninh quốc gia của một quốc gia, làm tê liệt hoạt động trong các lĩnh vực quan trọng của nền kinh tế, đồng thời gây ra thiệt hại to lớn và tổn thất tài chính nghiêm trọng. Đây chính xác là những gì đã xảy ra với cuộc tấn công mạng ransomware WannaCry.
Vào ngày 12 tháng 5 năm 2017, ransomware có tên WannaCry được cho là có nguồn gốc từ Bắc Triều Tiên, lan rộng khắp thế giới và lây nhiễm hơn 200.000 hệ thống máy tính tại hơn 150 quốc gia trong vòng chưa đầy hai ngày. WannaCry nhắm vào các hệ thống máy tính chạy hệ điều hành Windows. Nó đã khai thác một lỗ hổng trong giao thức chặn tin nhắn máy chủ của hệ điều hành.
Một trong những nạn nhân lớn nhất của vụ tấn công là Dịch vụ Y tế Quốc gia Vương quốc Anh (NHS). Hơn 70.000 thiết bị của họ, bao gồm máy tính, rạp hát, thiết bị chẩn đoán và máy quét MRI, đã bị nhiễm virus. Các bác sĩ không thể truy cập hệ thống của họ hoặc hồ sơ bệnh nhân cần thiết để chăm sóc bệnh nhân. Cuộc tấn công này khiến NHS thiệt hại gần 100 triệu đô la.
Đó là cách tồi tệ một có thể nhận được. Tuy nhiên, mọi thứ có thể trở nên tồi tệ hơn nhiều, đặc biệt là với Ransomware mới và nguy hiểm hơn như BlackCat, đang để lại một con đường đầy rẫy nạn nhân.
Phần mềm tống tiền BlackCat
Phần mềm tống tiền BlackCat, được các nhà phát triển của nó gọi là ALPHV, là phần mềm độc hại, khi lây nhiễm vào hệ thống, sẽ lọc và mã hóa dữ liệu trong hệ thống bị ảnh hưởng. Quá trình lọc liên quan đến việc sao chép và chuyển dữ liệu được lưu trữ trong một hệ thống. Sau khi BlackCat đã lọc và mã hóa dữ liệu quan trọng, yêu cầu trả tiền chuộc bằng tiền điện tử sẽ được thực hiện. Các nạn nhân của BlackCat được yêu cầu trả khoản tiền chuộc được yêu cầu để lấy lại quyền truy cập vào dữ liệu của họ.
BlackCat không phải là phần mềm tống tiền thông thường. BlackCat là phần mềm tống tiền thành công đầu tiên được viết bằng Rust, không giống như các phần mềm tống tiền khác thường được viết bằng C, C++, C#, Java hoặc Python. Ngoài ra, BlackCat cũng là họ ransomware đầu tiên có một trang web trên trang web rõ ràng, nơi chúng rò rỉ thông tin bị đánh cắp từ các cuộc tấn công của chúng.
Một điểm khác biệt chính so với các Ransomware khác là BlackCat hoạt động dưới dạng Ransomware dưới dạng dịch vụ (RaaS). Raas là một mô hình kinh doanh tội phạm mạng nơi những kẻ tạo ra ransomware thuê hoặc bán ransomware của họ dưới dạng dịch vụ cho các cá nhân hoặc nhóm khác.
Trong mô hình này, những người tạo ransomware cung cấp tất cả các công cụ và cơ sở hạ tầng cần thiết để những người khác phân phối và thực hiện các cuộc tấn công ransomware. Điều này là để đổi lấy một phần lợi nhuận của họ nhận được từ các khoản thanh toán ransomware.
Điều này giải thích tại sao BlackCat chủ yếu nhắm mục tiêu vào các tổ chức và doanh nghiệp, vì họ thường sẵn sàng trả tiền chuộc hơn so với các cá nhân. Các tổ chức và doanh nghiệp cũng trả một khoản tiền chuộc lớn hơn so với các cá nhân. Con người hướng dẫn và đưa ra quyết định trong các cuộc tấn công mạng được gọi là tác nhân Đe dọa mạng (CTA).
Để buộc nạn nhân trả tiền chuộc, BlackCat sử dụng ‘kỹ thuật tống tiền gấp ba lần’. Điều này liên quan đến việc sao chép và chuyển dữ liệu của nạn nhân và mã hóa dữ liệu trên hệ thống của họ. Các nạn nhân sau đó được yêu cầu trả tiền chuộc để truy cập dữ liệu được mã hóa của họ. Việc không thực hiện điều đó dẫn đến việc dữ liệu của họ bị rò rỉ ra công chúng và/hoặc các cuộc tấn công từ chối dịch vụ (DOS) được khởi chạy trên hệ thống của họ.
Cuối cùng, những người sẽ bị ảnh hưởng bởi vụ rò rỉ dữ liệu được liên hệ và thông báo rằng dữ liệu của họ sẽ bị rò rỉ. Đây thường là khách hàng, nhân viên và các chi nhánh khác của công ty. Điều này được thực hiện để gây áp lực buộc các tổ chức nạn nhân phải trả tiền chuộc để tránh mất uy tín và các vụ kiện do rò rỉ dữ liệu.
Cách BlackCat Ransomware hoạt động
Theo một cảnh báo nhanh do FBI đưa ra, phần mềm tống tiền BlackCat sử dụng thông tin đăng nhập của người dùng đã bị xâm phạm trước đó để có quyền truy cập vào hệ thống.
Sau khi thành công trong hệ thống, BlackCat sử dụng quyền truy cập mà nó có để xâm phạm tài khoản người dùng và quản trị viên được lưu trữ trong thư mục hoạt động. Điều này cho phép nó sử dụng Bộ lập lịch tác vụ Windows để định cấu hình Đối tượng chính sách nhóm độc hại (GPO) cho phép BlackCat triển khai phần mềm tống tiền để mã hóa các tệp trong hệ thống.
Trong cuộc tấn công BlackCat, các tập lệnh PowerShell được sử dụng cùng với Cobalt Strike để vô hiệu hóa các tính năng bảo mật trong mạng của nạn nhân. BlackCat sau đó đánh cắp dữ liệu của nạn nhân từ nơi dữ liệu được lưu trữ, kể cả từ các nhà cung cấp dịch vụ đám mây. Khi điều này được thực hiện, tác nhân đe dọa mạng hướng dẫn cuộc tấn công sẽ triển khai phần mềm tống tiền BlackCat để mã hóa dữ liệu trong hệ thống của nạn nhân.
Sau đó, nạn nhân nhận được một thông báo đòi tiền chuộc thông báo rằng hệ thống của họ đã bị tấn công và các tệp quan trọng đã bị mã hóa. Tiền chuộc cũng cung cấp hướng dẫn về cách trả tiền chuộc.
Tại sao BlackCat nguy hiểm hơn ransomware trung bình?
BlackCat nguy hiểm so với các ransomware trung bình vì một số lý do:
Nó được viết bằng Rust
Rust là ngôn ngữ lập trình nhanh, an toàn và cung cấp hiệu suất được cải thiện cũng như quản lý bộ nhớ hiệu quả. Bằng cách sử dụng Rust, BlackCat thu được tất cả những lợi ích này, khiến nó trở thành một phần mềm tống tiền rất phức tạp và hiệu quả với khả năng mã hóa nhanh. Nó cũng làm cho BlackCat khó đảo ngược kỹ thuật. Rust là một ngôn ngữ đa nền tảng cho phép các tác nhân đe dọa dễ dàng tùy chỉnh BlackCat để nhắm mục tiêu vào các hệ điều hành khác nhau, chẳng hạn như Windows và Linux, tăng phạm vi nạn nhân tiềm năng của chúng.
Nó sử dụng mô hình kinh doanh RaaS
Việc BlackCat sử dụng ransomware làm mô hình dịch vụ cho phép nhiều tác nhân đe dọa triển khai ransomware phức tạp mà không cần phải biết cách tạo. BlackCat thực hiện tất cả các công việc nặng nhọc cho các tác nhân đe dọa, những người chỉ cần triển khai nó trong một hệ thống dễ bị tấn công. Điều này làm cho các cuộc tấn công ransomware tinh vi trở nên dễ dàng đối với các tác nhân đe dọa quan tâm đến việc khai thác các hệ thống dễ bị tấn công.
Nó cung cấp các khoản thanh toán khổng lồ cho các chi nhánh
Với việc BlackCat sử dụng mô hình Raas, những người sáng tạo kiếm tiền bằng cách cắt giảm tiền chuộc trả cho những kẻ đe dọa triển khai nó. Không giống như các gia đình Raas khác chiếm tới 30% khoản thanh toán tiền chuộc của kẻ đe dọa, BlackCat cho phép kẻ đe dọa giữ 80% đến 90% số tiền chuộc mà họ kiếm được. Điều này làm tăng sức hấp dẫn của BlackCat đối với các tác nhân đe dọa, cho phép BlackCat có thêm nhiều chi nhánh sẵn sàng triển khai nó trong các cuộc tấn công mạng.
Nó có một trang web rò rỉ công khai trên trang web rõ ràng
Không giống như các phần mềm tống tiền khác làm rò rỉ thông tin bị đánh cắp trên web đen, BlackCat làm rò rỉ thông tin bị đánh cắp trên một trang web có thể truy cập được trên web rõ ràng. Bằng cách tiết lộ rõ ràng dữ liệu bị đánh cắp, nhiều người có thể truy cập dữ liệu hơn, làm tăng hậu quả của một cuộc tấn công mạng và gây thêm áp lực buộc nạn nhân phải trả tiền chuộc.
Ngôn ngữ lập trình Rust đã làm cho BlackCat rất hiệu quả trong cuộc tấn công của nó. Bằng cách sử dụng mô hình Raas và đưa ra khoản thanh toán khổng lồ, BlackCat thu hút nhiều tác nhân đe dọa hơn, những người có nhiều khả năng triển khai nó trong các cuộc tấn công.
Chuỗi lây nhiễm mã độc tống tiền BlackCat
BlackCat giành được quyền truy cập ban đầu vào hệ thống bằng cách sử dụng thông tin đăng nhập bị xâm phạm hoặc bằng cách khai thác các lỗ hổng của Microsoft Exchange Server. Sau khi có quyền truy cập vào một hệ thống, những kẻ độc hại sẽ phá bỏ hệ thống phòng thủ bảo mật của hệ thống và thu thập thông tin về mạng của nạn nhân cũng như nâng cao các đặc quyền của chúng.
Phần mềm tống tiền BlackCat sau đó di chuyển ngang trong mạng, giành quyền truy cập vào càng nhiều hệ thống càng tốt. Điều này có ích trong nhu cầu tiền chuộc. Càng nhiều hệ thống bị tấn công, nạn nhân càng có nhiều khả năng trả tiền chuộc.
Sau đó, các tác nhân độc hại sẽ lọc dữ liệu của hệ thống để sử dụng để tống tiền. Sau khi dữ liệu quan trọng đã được lọc, giai đoạn được thiết lập để tải trọng BlackCat được phân phối.
Các tác nhân độc hại cung cấp BlackCat bằng cách sử dụng Rust. Trước tiên, BlackCat dừng các dịch vụ như sao lưu, ứng dụng chống vi-rút, dịch vụ Internet của Windows và máy ảo. Khi điều này được thực hiện, BlackCat sẽ mã hóa các tệp trong hệ thống và xóa hình nền của hệ thống, thay thế bằng ghi chú tiền chuộc.
Bảo vệ khỏi BlackCat Ransomware
Mặc dù BlackCat đang tỏ ra nguy hiểm hơn so với các phần mềm tống tiền khác đã chứng kiến trước đó, nhưng các tổ chức có thể tự bảo vệ mình khỏi phần mềm tống tiền này bằng một số cách:
Mã hóa dữ liệu quan trọng
Một phần trong chiến lược tống tiền của Blackhat liên quan đến việc đe dọa làm rò rỉ dữ liệu của nạn nhân. Bằng cách mã hóa dữ liệu quan trọng, một tổ chức sẽ bổ sung thêm một lớp bảo vệ cho dữ liệu của mình, do đó làm tê liệt các kỹ thuật tống tiền mà các tác nhân đe dọa BlackHat sử dụng. Ngay cả khi nó bị rò rỉ, nó sẽ không ở định dạng mà con người có thể đọc được.
Thường xuyên cập nhật hệ thống
Trong nghiên cứu do Microsoft thực hiện, người ta đã tiết lộ rằng trong một số trường hợp, BlackCat đã khai thác các máy chủ trao đổi chưa được vá lỗi để có quyền truy cập vào hệ thống của một tổ chức. Các công ty phần mềm thường xuyên phát hành các bản cập nhật phần mềm để giải quyết các lỗ hổng và sự cố bảo mật có thể đã được phát hiện trong hệ thống của họ. Để an toàn, hãy cài đặt các bản vá phần mềm ngay khi chúng có sẵn.
Sao lưu dữ liệu ở một vị trí an toàn
Các tổ chức nên ưu tiên sao lưu dữ liệu thường xuyên và lưu trữ dữ liệu ở một vị trí ngoại tuyến riêng biệt và an toàn. Điều này nhằm đảm bảo rằng ngay cả trong trường hợp dữ liệu quan trọng được mã hóa, nó vẫn có thể được khôi phục từ các bản sao lưu hiện có.
Triển khai xác thực đa yếu tố
Ngoài việc sử dụng mật khẩu mạnh trong hệ thống, hãy triển khai xác thực đa yếu tố, yêu cầu nhiều thông tin xác thực trước khi cấp quyền truy cập vào hệ thống. Điều này có thể được thực hiện bằng cách định cấu hình hệ thống để tạo mật khẩu một lần được gửi đến số điện thoại hoặc email được liên kết, mật khẩu này được yêu cầu để truy cập hệ thống.
Giám sát hoạt động trên mạng và các tệp trong hệ thống
Các tổ chức nên liên tục giám sát hoạt động trên mạng của họ để phát hiện và phản hồi các hoạt động đáng ngờ trong mạng của họ càng nhanh càng tốt. Các hoạt động trên mạng cũng phải được các chuyên gia bảo mật ghi lại và xem xét để xác định các mối đe dọa tiềm ẩn. Cuối cùng, các hệ thống nên được thiết lập để theo dõi cách các tệp trong hệ thống được truy cập, ai truy cập chúng và cách chúng được sử dụng.
Bằng cách mã hóa dữ liệu quan trọng, đảm bảo hệ thống được cập nhật, thường xuyên sao lưu dữ liệu, triển khai xác thực đa yếu tố và giám sát hoạt động trong hệ thống. Các tổ chức có thể đi trước một bước và ngăn chặn các cuộc tấn công của BlackCat.
Tài nguyên học tập: Ransomware
Để tìm hiểu thêm về các cuộc tấn công mạng và cách tự bảo vệ mình trước các cuộc tấn công từ phần mềm tống tiền như BlackCat, chúng tôi khuyên bạn nên tham gia một trong các khóa học này hoặc đọc các cuốn sách được đề xuất bên dưới:
#1. Đào tạo nâng cao nhận thức về an ninh
Đây là một khóa học tuyệt vời cho tất cả mọi người quan tâm đến việc an toàn trên internet. Khóa học được cung cấp bởi Tiến sĩ Michael Biocchi, một Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (CISSP).
Khóa học bao gồm lừa đảo, kỹ thuật xã hội, rò rỉ dữ liệu, mật khẩu, duyệt web an toàn và thiết bị cá nhân, đồng thời cung cấp các mẹo chung về cách đảm bảo an toàn khi trực tuyến. Khóa học được cập nhật thường xuyên và tất cả mọi người sử dụng internet đều được hưởng lợi từ nó.
#2. Đào tạo nhận thức bảo mật, bảo mật Internet cho nhân viên
Khóa học này phù hợp với người dùng internet hàng ngày và nhằm mục đích giáo dục họ về các mối đe dọa bảo mật mà mọi người thường không biết và cách tự bảo vệ mình trước các mối đe dọa.
Khóa học được cung cấp bởi Roy Davis, một chuyên gia bảo mật thông tin được CISSP chứng nhận, bao gồm trách nhiệm giải trình của người dùng và thiết bị, lừa đảo và các email độc hại khác, kỹ thuật xã hội, xử lý dữ liệu, mật khẩu và câu hỏi bảo mật, duyệt web an toàn, thiết bị di động và Ransomware. Hoàn thành khóa học bạn sẽ nhận được chứng chỉ hoàn thành, chứng chỉ này đủ để tuân thủ các chính sách quy định dữ liệu tại hầu hết các nơi làm việc.
#3. An ninh mạng: Đào tạo nâng cao nhận thức cho người mới bắt đầu
Đây là khóa học Udemy được cung cấp bởi Usman Ashraf từ Học viện Logix, một công ty khởi nghiệp về Đào tạo và Chứng chỉ. Usman được chứng nhận CISSP và có bằng tiến sĩ. trong mạng máy tính và rất nhiều ngành công nghiệp và kinh nghiệm giảng dạy.
Khóa học này giúp người học tìm hiểu sâu về kỹ thuật xã hội, mật khẩu, xử lý dữ liệu an toàn, mạng riêng ảo (VPN), phần mềm độc hại, mã độc tống tiền và các mẹo duyệt web an toàn, đồng thời giải thích cách sử dụng cookie để theo dõi mọi người. Khóa học là phi kỹ thuật.
#4. Phần mềm tống tiền được tiết lộ
Đây là cuốn sách của Nihad A. Hassan, một nhà tư vấn bảo mật thông tin độc lập và là chuyên gia về an ninh mạng và pháp y kỹ thuật số. Cuốn sách hướng dẫn cách giảm thiểu và xử lý các cuộc tấn công của ransomware, đồng thời cung cấp cho người đọc cái nhìn sâu sắc về các loại ransomware khác nhau đang tồn tại, chiến lược phân phối và phương pháp khôi phục của chúng.
Cuốn sách cũng bao gồm các bước cần tuân theo trong trường hợp bị nhiễm mã độc tống tiền. Điều này bao gồm cách trả tiền chuộc, cách thực hiện sao lưu và khôi phục các tệp bị ảnh hưởng cũng như cách tìm kiếm trực tuyến các công cụ giải mã để giải mã các tệp bị nhiễm. Nó cũng đề cập đến cách các tổ chức có thể phát triển kế hoạch ứng phó với sự cố mã độc tống tiền để giảm thiểu thiệt hại do mã độc tống tiền gây ra và khôi phục hoạt động bình thường một cách nhanh chóng.
#5. Ransomware: Hiểu. Ngăn ngừa. Hồi phục
Trong cuốn sách này, Allan Liska, kiến trúc sư bảo mật cao cấp và chuyên gia về ransomware tại Recorded Future, trả lời tất cả các câu hỏi hóc búa liên quan đến Ransomware.
Cuốn sách đưa ra bối cảnh lịch sử về lý do tại sao mã độc tống tiền trở nên phổ biến trong những năm gần đây, cách ngăn chặn các cuộc tấn công của mã độc tống tiền, các lỗ hổng mà các tác nhân độc hại nhắm đến khi sử dụng mã độc tống tiền và hướng dẫn để sống sót sau một cuộc tấn công mã độc tống tiền với thiệt hại tối thiểu. Ngoài ra, cuốn sách trả lời câu hỏi cực kỳ quan trọng, bạn có nên trả tiền chuộc không? Cuốn sách này cung cấp một khám phá thú vị về ransomware.
#6. Sổ tay Bảo vệ Ransomware
Đối với bất kỳ cá nhân hoặc tổ chức nào đang tìm cách tự trang bị vũ khí chống lại mã độc tống tiền, cuốn sách này là phải đọc. Trong cuốn sách này, Roger A. Grimes, một chuyên gia về thâm nhập và bảo mật máy tính, đã đưa ra kinh nghiệm và kiến thức sâu rộng của mình trong lĩnh vực này để giúp mọi người và các tổ chức tự bảo vệ mình khỏi phần mềm tống tiền.
Cuốn sách cung cấp một kế hoạch chi tiết khả thi cho các tổ chức đang tìm cách xây dựng hệ thống phòng thủ mạnh mẽ chống lại phần mềm tống tiền. Nó cũng hướng dẫn cách phát hiện một cuộc tấn công, hạn chế thiệt hại nhanh chóng và xác định xem có trả tiền chuộc hay không. Nó cũng cung cấp một kế hoạch trò chơi để giúp các tổ chức hạn chế thiệt hại về danh tiếng và tài chính do các vi phạm an ninh nghiêm trọng gây ra.
Cuối cùng, nó hướng dẫn cách tạo ra một nền tảng an toàn cho bảo hiểm an ninh mạng và bảo vệ pháp lý để giảm thiểu sự gián đoạn đối với hoạt động kinh doanh và cuộc sống hàng ngày.
Lưu ý của tác giả
BlackCat là một phần mềm tống tiền mang tính cách mạng chắc chắn sẽ thay đổi hiện trạng khi nói đến an ninh mạng. Tính đến tháng 3 năm 2022, BlackCat đã tấn công thành công hơn 60 tổ chức và thu hút được sự chú ý của FBI. BlackCat là một mối đe dọa nghiêm trọng và không tổ chức nào có thể bỏ qua nó.
Bằng cách sử dụng ngôn ngữ lập trình hiện đại và các phương pháp tấn công, mã hóa và tống tiền độc đáo, BlackCat đã khiến các chuyên gia bảo mật phải bắt kịp. Tuy nhiên, cuộc chiến chống lại ransomware này vẫn chưa kết thúc.
Bằng cách triển khai các chiến lược được nêu bật trong bài viết này và giảm thiểu khả năng lỗi của con người làm lộ hệ thống máy tính, các tổ chức có thể luôn đi trước một bước và ngăn chặn cuộc tấn công thảm khốc của mã độc tống tiền BlackCat.
