Mã độc tống tiền - Ransomware đã trở thành một trong những mối đe dọa bảo mật hàng đầu trong gần 3 năm trở lại đây, kể từ khi chủng ransomware đầu tiên và cũng là một trong những cơn ác mộng tồi tệ nhất lịch sử an ninh mạng toàn cầu - WannaCry - được phát hiện vào tháng 5 năm 2017.
Từ đó đến nay, đã có vô số chủng ransomware mới ra đời. Mỗi loại lại mang trong mình những đặc điểm độc hại riêng, trở thành mối đe dọa cho các doanh nghiệp trên toàn thế giới bất kể quy mô lớn nhỏ. Snake là một loại ransomware mới, mang trong mình đầy đủ yếu tố cần thiết để trở thành một trong những “kẻ phá hoại” đáng sợ nhất thế giới internet.
Snake, còn được biết đến với tên gọi Ekans, là chủng ransomware tuân theo công thức tấn công “cổ điển” - mã hóa hầu hết các tệp trên mạng đích và sau đó gửi thông báo đòi tiền chuộc đến nạn nhân. Tuy nhiên, yếu tố làm cho Snake trở nên độc đáo là thay vì nhắm mục tiêu vào các hệ thống CNTT của Windows và Linux như hầu hết các ransomware tập trung vào doanh nghiệp từng được biết đến, mã độc này lại chỉ nhắm vào các hệ thống kiểm soát công nghiệp (ICS). Mặc dù vậy, các tác nhân độc hại đứng sau Snake vẫn đang sử dụng một số kỹ thuật tương tự như các chủng ransomware khác, đó là khoét sâu vào các phiên bản RDP (Remote Desktop Protocol) với mật khẩu bị rò rỉ để xâm nhập vào môi trường ICS và lây lan mã độc.
Snake được phát hiện đầu tiên bởi các nhà nghiên cứu an ninh mạng tại trung tâm bảo mật điểm cuối SentinelOne đầu năm nay, trong một chiến dịch với tên gọi "target campaigns" chống lại các tổ chức sở hữu hệ thống ICS và SCADA. Hai cái tên lớn mới nhất gia nhập danh sách nạn nhân của Snake bao gồm nhà sản xuất xe hơi Honda và công ty điện lực châu Âu Enel Group.
Cả Honda và Enel Group đều chưa xác nhận Snake là loại ransomware đã lây nhiễm các hệ thống của họ. Tuy nhiên kết quả phân tích của VirusTotal đã chỉ rõ Snake chính là thủ phạm.
“Snake đã chứng tỏ được sự hiệu quả trong việc gây hại cho các công ty đã tích hợp mạng CNTT và công nghệ OT [công nghệ vận hành]. Cách tốt nhất để ngăn chặn nó là giữ cho các hệ thống điều khiển công nghiệp hoạt động trên một mạng chuyên dụng, được phân vùng biệt lập khỏi các hệ thống khác và cả mạng internet của công ty, kết hợp với kế hoạch sao sao lưu định kỳ và các phương thức và bảo vệ điểm cuối phù hợp”, Sean Gallagher, chuyên gia bảo mật tới từ đội ngũ Sophos, cho biết.
Jim Walter, nhà nghiên cứu bảo mật tại SentinelOne, lưu ý rằng các cuộc tấn công của Snake không tuân theo là kịch bản "đánh nhanh rút gọn". Thay vào đó, những kẻ tấn công có thể mất hàng tuần hoặc hàng tháng chuẩn bị “nguyên liệu” cần thiết để thực hiện một cuộc tấn công, tùy thuộc vào mục tiêu.
Để hạn chế tối đa thảm họa an ninh mạng gây ra bởi các loại ransomware nói chung và Snake nói riêng, doanh nghiệp cần đặc biệt chú trọng đến khâu hướng dẫn, đào tạo nhân viên các kiến thức bảo mật mới, đề nghị họ nâng cao cảnh giác trước email giả mạo, tuyệt đối không nhấp vào các liên kết và tệp đính kèm không xác định được gửi tới từ bất cứ tin nhắn, thư điện tử nào. Trong trường hợp bị tấn công ransomware, doanh nghiệp nên đề nghị sự giúp đỡ từ các tổ chức bảo mật giàu kinh nghiệm, có phương án sao lưu dữ liệu quan trọng.