Gần 50% sự cố bảo mật do Nhóm ứng phó sự cố Kaspersky xử lý đều liên quan đến ransomware

Khi xảy ra sự cố bảo mật, Nhóm ứng phó khẩn cấp toàn cầu của Kaspersky (Kaspersky’s Global Response Emergency Team - GERT) được các công ty liên hệ nhằm hạn chế thiệt hại và ngăn chặn cuộc tấn công lan rộng. Đây là giải pháp ứng phó sự cố (Incident response - IR) dành riêng cho các tổ chức quy mô vừa và lớn. Tính từ đầu năm đến hết tháng 11 năm 2021, gần như mỗi 2 sự cố bảo mật xảy ra tại các công ty do nhóm GERT xử lý thì lại có 1 sự cố liên quan đến ransomware (chiếm gần nửa tổng số yêu cầu IR) – tăng gần 12% so với cùng kỳ năm 2020.

Khi nói đến an ninh mạng, ransomware đã trở thành câu chuyện nổi bật của năm, từ tấn công vào hệ thống đường ống dẫn nhiên liệu đến dịch vụ y tế quốc gia. Các tác nhân khai thác ransomware đã thay đổi và cải tiến chiến thuật, thay vì đánh vào các tổ chức quy mô lớn thì chúng tập trung phát triển hệ sinh thái ngầm phục vụ cho các cuộc tấn công.

Trong giai đoạn từ tháng 1 đến tháng 11 năm 2021, tỷ lệ yêu cầu IR liên quan đến ransomware do nhóm GERT của Kaspersky xử lý là 46,7%, tăng vọt từ con số 37,9% trong cả năm 2020 và 34% trong năm 2019.

Những mục tiêu phổ biến nhất là tổ chức thuộc chính phủ và các ngành công nghiệp với tổng số cuộc tấn công chiếm gần 50% tổng số yêu cầu dịch vụ IR có liên quan đến ransomware trong năm 2021. Các mục tiêu phổ biến khác có thể kể đến là các tổ chức tài chính và công nghệ thông tin.

Tuy nhiên, khi chuyển hướng sang tấn công đòi khoản tiền chuộc lớn và nhắm vào các mục tiêu cấp cao, các nhóm ransomware đang phải đối mặt với sức ép ngày càng gia tăng từ các chính trị gia và cơ quan hành pháp, khiến hiệu quả của các cuộc tấn công trở thành vấn đề trọng yếu. Do đó, các chuyên gia của Kaspersky lưu ý hai xu hướng quan trọng sẽ trở nên phổ biến vào năm 2022. Thứ nhất, nhiều nhóm ransomware có khả năng phát triển ransomware trên hệ điều hành Linux để tối đa hóa tấn công trên diện rộng – tương tự với RansomExx và Darkside. Thứ hai, các nhóm tấn công sẽ bắt đầu tập trung nhiều vào tống tiền “tài chính”: kẻ tấn công sẽ đe dọa phát tán những dữ liệu tài chính quan trọng của công ty (như các sự kiện sáp nhập hoặc mua lại, kế hoạch niêm yết cổ phiếu), nhằm mục đích hạ giá cổ phiếu. Đứng trước áp lực tài chính, khả năng cao các công ty sẽ chấp nhận chi trả tiền chuộc.

“Chúng ta chỉ bắt đầu nói về Ransomware 2.0 từ năm 2020, và kỷ nguyên ransomware đã thực sự bùng nổ vào năm 2021”, Vladimir Kuskov, Trưởng Bộ phận Thăm dò Mối đe dọa mạng tại Kaspersky chia sẻ: “Các băng nhóm ransomware không chỉ mã hóa dữ liệu, mà chúng còn đánh cắp thông tin từ các cơ quan trọng yếu, quy mô lớn và đe dọa tiết lộ thông tin nếu các nạn nhân không trả tiền chuộc. Dự báo, Ransomware 2.0 sẽ còn tiếp tục lan rộng trong năm tới”.

Fedor Sinitsyn, chuyên gia bảo mật tại Kaspersky cho biết thêm: “Đồng thời, hiện nay ransomware đang là vấn đề nổi cộm, các cơ quan pháp luật đã và đang làm việc cật lực để đánh bại các mối đe dọa dai dẳng, điển hình trong năm nay là nhóm tin tặc DarkSide và REvil. Vòng đời của các băng nhóm này đang bị thu hẹp, điều đó có nghĩa là chúng sẽ phải điều chỉnh chiến thuật của mình vào năm 2022 để duy trì lợi nhuận, nhất là khi một số chính phủ đang thảo luận rằng  trả tiền chuộc cho tội phạm mạng sẽ là việc bất hợp pháp.”

Xem thêm về “Kaspersky Security Bulletin – Câu chuyện của năm: Ransomware” tại Securelist.

Để tìm hiểu thêm về vòng đời của các băng nhóm ransomware nguy hiểm, vui lòng truy cập tại đây.

Để bảo vệ doanh nghiệp khỏi các cuộc tấn công bằng phần mềm tống tiền ransomware, các chuyên gia Kaspersky khuyến nghị:

• Không kết nối dịch vụ máy tính để bàn từ xa (chẳng hạn như RDP) với mạng công cộng nếu không thực sự cần thiết. Luôn luôn sử dụng mật khẩu mạnh cho các dịch vụ này.
• Cài đặt các bản vá lỗi sẵn có trong trường hợp sử dụng các giải pháp VPN thương mại để cung cấp quyền truy cập từ xa và cho phép nhân viên làm việc như đang kết nối với các cổng trong mạng lưới.
• Luôn luôn cập nhật phần mềm trên tất cả các thiết bị để ngăn phần mềm tống tiền khai thác các lỗ hổng bảo mật.
• Chiến lược phòng thủ nên tập trung phát hiện sự dịch chuyển lưu lượng trong mạng và lưu lượng đưa dữ liệu lên Internet. Cần đặc biệt chú ý đến lưu lượng đi để phát hiện các kết nối của tội phạm mạng. Hãy sao lưu dữ liệu thường xuyên. Hãy đảm bảo rằng bạn có thể nhanh chóng truy cập dữ liệu sao lưu trong trường hợp khẩn cấp. Hãy sử dụng thông tin mới nhất từ Threat Intelligence – Dịch vụ thám báo mối đe dọa, để cập nhật thông tin về các chiến thuật, kỹ thuật (TTP) thực tế được các tác nhân nguy hại sử dụng.
• Hãy sử dụng các giải pháp như Kaspersky Endpoint Detection and Response và dịch vụ phát hiện và ứng phó Kaspersky Managed Detection and Response để sớm xác định và ngăn chặn các cuộc tấn công ngay từ những giai đoạn đầu, trước khi những kẻ tấn công đạt được mục tiêu cuối cùng của chúng.
• Tiến hành đào tạo cho nhân viên để góp phần bảo vệ doanh nghiệp. Có thể cân nhắc các khóa đào tạo chuyên biệt, chẳng hạn như các khóa được cung cấp trên nền tảng nâng cao nhận thức an ninh bảo mật Kaspersky Automated Security Awareness Platform. Vui lòng truy cập tại đây để xem bài học miễn phí về cách bảo vệ chống lại các cuộc tấn công bằng phần mềm tống tiền.
• Sử dụng giải pháp bảo mật điểm cuối đáng tin cậy, chẳng hạn như giải pháp Kaspersky Endpoint Security for Business (KESB), với các tính năng ngăn chặn lỗ hổng bảo mật, phát hiện hành vi đáng ngờ, và công cụ khắc phục có khả năng vô hiệu hóa các hành động gây hại. KESB cũng có các cơ chế tự vệ có thể ngăn không cho tội phạm mạng gỡ bỏ giải pháp này.

---

Về Kaspersky

Kaspersky là một công ty bảo vệ an ninh mạng và quyền riêng tư số toàn cầu, được thành lập vào năm 1997. Hiểu biết về các mối đe dọa và chuyên môn sâu về an ninh bảo mật của Kaspersky liên tục được chuyển đổi thành các giải pháp và dịch vụ an ninh bảo mật mang tín đổi mới sáng tạo để bảo vệ các doanh nghiệp, cơ sở hạ tầng thiết yếu, các chính phủ và người tiêu dùng trên toàn cầu. Danh mục giải pháp an ninh bảo mật toàn diện của Kaspersky  bao gồm giải pháp bảo vệ điểm cuối hàng đầu và các giải pháp và dịch vụ bảo mật chuyên dụng để chống lại các mối đe dọa kỹ thuật số tinh vi và thường xuyên biến đổi. Công nghệ của Kaspersky đã và đang bảo vệ cho hơn 400 triệu khách hàng cá nhân và 240.000 khách hàng doanh nghiệp trên toàn thế giới. Vui lòng tìm hiểu thêm thông tin tại www.kaspersky.com.