Mọi người đều biết rằng ransomware rất đáng sợ. Và giờ đây, một biến thể ransomware mới thông minh, có tên BlackCat, gây ra mối đe dọa thậm chí còn lớn hơn.
Không giống như các cuộc tấn công mạng khác, ransomware BlackCat hoạt động trên một ngôn ngữ lập trình mạnh mẽ khó giải mã. Chính xác thì ransomware BlackCat là gì và cách ngăn chặn nó ra sao?
Ransomware BlackCat là gì?
BlackCat là mô hình tấn công mạng Ransomware-as-a-Service (RaaS). Thủ phạm ransomware BlackCat xâm phạm dữ liệu trong hệ thống và đưa ra yêu cầu chuyển tiền tệ cho nạn nhân để đổi lại dữ liệu. Ransomware BlackCat xuất hiện lần đầu tiên vào tháng 11 năm 2021.
BlackCat không phải là nhóm tin tặc thông thường. Nó hoạt động với các nhánh từ những nhóm tấn công mạng khác nhau và trả cho chúng khoản thù lao lên tới 90%. Đây là một điểm thu hút lớn vì các chương trình RaaS khác không cung cấp quá 70%. Do mức thù lao cao, các hacker từ những băng đảng khác như BlackMatter và REvil rất muốn hợp tác với BlackCat.
Mặc dù ransomware BlackCat phổ biến trong Windows nhưng nó cũng có thể xuất hiện trên các hệ điều hành khác.
BlackCat Ransomware hoạt động như thế nào?
Là một cuộc tấn công ransomware, BlackCat sử dụng liên kết trang web hoặc email bị nhiễm phần mềm độc hại để dụ nạn nhân. Nó mạnh đến mức có thể lan truyền nhanh chóng trên toàn bộ hệ thống.
Ransomware BlackCat triển khai một kỹ thuật tống tiền như sau: Những kẻ tấn công xác định liên kết yếu nhất trong hệ thống và đột nhập qua kẽ hở. Sau khi vào bên trong, chúng lấy dữ liệu nhạy cảm nhất và giải mã nó ngay trong hệ thống. Chúng tiến hành thay đổi tài khoản người dùng trong Active Directory của hệ thống.
Việc can thiệp thành công Active Directory cho phép BlackCat cấu hình Group Policy Objects (GPO) có hại để xử lý dữ liệu ransomware. Tiếp theo là vô hiệu hóa bất kỳ cơ sở hạ tầng bảo mật nào trong hệ thống để tránh rào cản. Không có biện pháp bảo vệ an ninh nào, chúng tiếp tục lây nhiễm hệ thống bằng các script PowerShell.
Chúng chiếm thế thượng phong, vì vậy những kẻ tấn công tiến hành đòi tiền chuộc từ nạn nhân với lời đe dọa làm hỏng key giải mã dữ liệu, bắt đầu một cuộc tấn công từ chối dịch vụ phân tán hoặc làm rò rỉ dữ liệu. Mỗi hành động này đều đặt nạn nhân vào thế bí. Trong hầu hết các trường hợp, họ buộc phải trả tiền.
Kịch bản trên không phải chỉ xảy ra riêng với BlackCat; các cuộc tấn công RaaS khác áp dụng quy trình tương tự. Nhưng một điều làm nên sự khác biệt của ransomware BlackCat là nó sử dụng ngôn ngữ lập trình Rust - một kỹ thuật lập trình giúp giảm lỗi đến mức tối thiểu. Nó cung cấp một bộ nhớ an toàn cho các tài sản dữ liệu, ngăn chặn việc vô tình bị rò rỉ.
Ngôn ngữ lập trình Rust cho phép BlackCat thực hiện các cuộc tấn công phức tạp nhất mà không cần thực hiện quá nhiều thao tác. Nạn nhân không thể truy cập vào hệ thống của những kẻ tấn công vì hệ thống này có tính bảo mật cao.
Cách ngăn chặn các cuộc tấn công ransomware BlackCat
Kể từ khi thành lập, BlackCat tiếp tục có những bước tiến táo bạo trong việc khẳng định mình là một nhóm tin tặc nguy hiểm. Không giống như những kẻ tấn công khác xây dựng trang web làm rò rỉ dữ liệu trên dark web, BlackCat xây dựng trang web của mình trên domain công cộng. Chúng đang gửi một thông điệp mạnh mẽ đến các nạn nhân để buộc họ phải nhanh chóng trả tiền; nếu không, họ sẽ chịu tổn thất nặng nề như những nạn nhân khác được đăng trên trang web của tin tặc.
Phòng hơn chữa. Bạn có thể thực hiện một số biện pháp bảo mật để bảo vệ các ứng dụng của mình trước những cuộc tấn công ransomware BlackCat.
1. Mã hóa dữ liệu của bạn
Mã hóa dữ liệu hoạt động dựa trên tiền đề rằng ngay cả khi người dùng trái phép truy cập dữ liệu của bạn, chúng cũng sẽ không thể xâm phạm dữ liệu đó. Và đó là vì dữ liệu của bạn không còn ở dạng bản rõ mà ở dạng mã. Sau khi dữ liệu chuyển từ dạng không mã hóa sang dạng mã hóa, bạn cần có khóa mã hóa để truy cập dữ liệu đó.
Công nghệ mã hóa hiện đại đã thắt chặt hơn nữa tính bảo mật của dữ liệu được mã hóa. Nó sử dụng các thuật toán để đảm bảo xác thực và toàn vẹn dữ liệu. Khi một tin nhắn đến, hệ thống sẽ xác thực nó để xác định nguồn gốc và xác minh tính toàn vẹn bằng cách kiểm tra xem nó có bất kỳ thay đổi nào không.
Mã hóa dữ liệu cho phép bạn mã hóa cả dữ liệu ở trạng thái lưu trữ và dữ liệu đang truyền. Điều đó có nghĩa là, nếu ransomware làm rò rỉ dữ liệu của bạn, thì dữ liệu đó vẫn không thể đọc được.
2. Thực hiện xác thực đa yếu tố
Tạo mật khẩu mạnh là một phần của văn hóa an ninh mạng lành mạnh. Mật khẩu càng mạnh thì càng khó bẻ khóa. Nhưng những kẻ tấn công BlackCat không phải là tay mơ trong việc tìm ra mật khẩu bằng các cuộc tấn công Brute Force hoặc tương tự.
Ngay cả sau khi tạo mật khẩu mạnh, hãy tiến xa hơn bằng cách triển khai Xác thực đa yếu tố (MFA). Nó yêu cầu hai hoặc nhiều thông tin đăng nhập xác minh trước khi người dùng có thể truy cập hệ thống của bạn.
Yếu tố xác thực đa yếu tố phổ biến là Mật khẩu dùng một lần (OTP). Nếu BlackCat hack mật khẩu của bạn, chúng sẽ cần cung cấp OTP mà hệ thống của bạn tạo và gửi đến số điện thoại, email hoặc bất kỳ ứng dụng nào khác mà bạn đã kết nối với quy trình. Nếu không có quyền truy cập vào OTP, chúng sẽ không thể đăng nhập.
3. Cài đặt bản cập nhật
Duy trì an ninh mạng là một hoạt động liên tục. Khi các nhà phát triển tạo ra những ứng dụng có bảo mật mạnh mẽ, tin tặc đang nỗ lực tìm ra các lỗ hổng trong các hệ thống đó. Và do đó, các nhà phát triển tiếp tục cập nhật hệ thống để thắt chặt những điểm có bảo mật lỏng lẻo.
Điều quan trọng là bạn phải cài đặt mọi bản cập nhật cho hệ điều hành và ứng dụng bạn sử dụng. Nếu không làm như vậy, bạn sẽ gặp phải các mối đe dọa trên mạng mà những kẻ tấn công có thể khai thác để bắt đầu một cuộc tấn công ransomware nhằm vào bạn.
Rất dễ quên việc cài đặt các bản cập nhật. Để ngăn điều đó xảy ra, hãy lập lịch cập nhật thiết bị của bạn theo định kỳ hoặc đặt lời nhắc tự động.
4. Áp dụng hệ thống kiểm soát truy cập
Cách dễ nhất để rơi vào cuộc tấn công ransomware BlackCat là để mạng của bạn mở cho tất cả mọi người. Bạn sẽ được hưởng lợi từ một hệ thống an ninh mạng mạnh mẽ hơn khi áp dụng một hệ thống kiểm soát truy cập giám sát lưu lượng truy cập vào mạng của bạn, đặc biệt là những người và thiết bị muốn có quyền truy cập.
Một hệ thống kiểm soát truy cập hiệu quả sử dụng các quy trình xác thực và ủy quyền để kiểm tra người dùng và thiết bị, đảm bảo rằng chúng vô hại trước khi thông qua ứng dụng của bạn. Với một hệ thống như vậy, những kẻ tấn công sẽ gặp khó khăn khi hack hệ thống của bạn.
5. Sao lưu dữ liệu
Với tỷ lệ vi phạm dữ liệu ngày càng tăng, bạn nên thận trọng việc thực hiện các biện pháp xử lý những cuộc tấn công có thể xảy ra trên hệ thống của mình. Và một cách chắc chắn để làm điều đó là sao lưu dữ liệu bằng cách chuyển dữ liệu đó từ bộ nhớ chính sang bộ nhớ phụ. Sau đó, tách hệ thống lưu trữ thứ cấp khỏi hệ thống lưu trữ chính, vì vậy nếu hệ thống lưu trữ thứ hai bị xâm phạm thì hệ thống lưu trữ thứ nhất cũng không bị lây nhiễm. Nếu bất cứ điều gì xảy ra với dữ liệu chính, bạn sẽ vẫn còn dữ liệu dự phòng.
Bạn có thể sao lưu dữ liệu của mình ở nhiều vị trí khác nhau bao gồm thiết bị phần cứng, giải pháp phần mềm, dịch vụ đám mây và dịch vụ kết hợp. Dịch vụ sao lưu đám mây cung cấp nhiều lợi ích và tính năng bảo mật không khả dụng với các giải pháp sao lưu truyền thống. Nếu muốn kết hợp các giải pháp truyền thống với giải pháp đám mây, bạn có thể thực hiện điều đó với những bản sao lưu kết hợp.