Mã độc tống tiền - Ransomware đã trở thành một trong những mối đe dọa bảo mật hàng đầu trong vài năm trở lại đây. Đã có vô số chủng ransomware bị phát hiện. Mỗi loại lại mang trong mình những đặc điểm độc hại riêng, trở thành mối đe dọa cho các cá nhân, tổ chức trên toàn thế giới bất kể quy mô lớn nhỏ. MountLocker là một loại ransomware mới, mang trong mình đầy đủ yếu tố cần thiết để trở thành một trong những “kẻ phá hoại” đáng sợ nhất thế giới internet.
MountLocker lần đầu tiên được phát hiện vào tháng 7/2020, khi đã mã hóa thành công hệ thống mạng của hàng loạt tổ chức, và yêu cầu nạn nhân trả bitcoin để đổi lấy key giải mã. Giống như các dạng ransomware khác, những kẻ đứng sau vận hành mã độc này đe dọa sẽ tiết lộ hoặc rao bán công khai thông tin mà chúng đánh cắp được, nếu nạn nhân từ chối hoặc chậm trễ trong việc trả tiền chuộc.
Các nhà nghiên cứu an ninh mạng tại BlackBerry đã âm thầm theo dõi và phân tích mọi hành vi của MountLocker kể từ khi nó bị phát hiện. Kết quả cho thấy hoạt động của mã độc này đang “nóng dần lên”. Bên cạnh đó, cũng đã có sự xuất hiện của những dấu hiệu tiềm năng cho thấy mã độc có thể biến đổi để đạt trạng thái lây lan rộng hơn, từ đó trở thành một mối đe dọa mang tính toàn cầu trong tương lai gần.
Các nhà nghiên cứu lưu ý rằng MountLocker sở hữu một cơ chế liên kết linh hoạt để tìm kiếm nạn nhân. Những kẻ vận hành mã độc này có khả năng thương lượng với các tin tặc khác đã từng xâm nhập vào một hệ thống mục tiêu nhất định (thường là thông qua các kênh dark web). Qua đó giúp việc triển khai ransomware nhắm đến một nạn nhân cụ thể trở nên dễ dàng hơn. Đồng thời, cơ chế liên kết này cũng mang đến cơ hội cho cả hai bên kiếm tiền bất chính từ các hoạt động vi phạm của chúng.
Phương thức tấn công ưa thích của MountLocker là nhắm đến lỗ hổng hệ thống và đặc biệt là những sơ xuất mang tính chủ quan của các cá nhân trong một hệ thống mạng mục tiêu. Chẳng hạn như sử dụng mật khẩu yếu hay để lộ tài khoản, và nâng cấp đặc quyền từ đó.
Trong trường hợp này, MountLocker có thể lây lan trên toàn hệ thống mạng của nạn nhân trong vòng ít nhất là 24 giờ nếu đối phương không có biện pháp ngăn chặn đủ hiệu quả. Khi lệnh thực thi ransomware được kích hoạt, nạn nhân sẽ lập tức bị khóa khỏi mạng của chính mình, và đối mặt với yêu cầu tiền chuộc có thể lên tới bảy con số (USD), tùy thuộc vào quy mô.
Giống như tất cả các dạng ransomware khác, MountLocker cũng lợi dụng các lỗ hổng bảo mật phổ biến để phát tán. Vì vậy, những phương thức tối ưu nhất để các tổ chức tự bảo vệ mình trước chủng mã độc này là đảm bảo rằng các thành viên trong hệ thống không sử dụng mật khẩu mặc định, xác thực hai yếu tố được áp dụng, và đặc biệt hệ thống luôn được cập nhật các bản vá bảo mật mới nhất để loại bỏ các lỗ hổng đã biết.
Song song với đó, việc xây dựng sẵn một kế hoạch phản ứng linh hoạt, cũng như khôi phục hiệu quả trong trường hợp chẳng may trở thành nạn nhân của một cuộc tấn công ransomware cũng là điều mà mọi cá nhân, tổ chức nên làm. Trong đó việc sao lưu dữ liệu định kỳ là yếu tố tiên quyết.