Số lượng các cuộc tấn công ransomware là chưa từng có vào năm 2021. Ví dụ, trong quý 3 của năm, các nhà nghiên cứu bảo mật đã ghi nhận 190,4 triệu lần tấn công ransomware. Số lượng này khiến quý 3 năm 2021 trở thành quý cao nhất từng được ghi nhận, theo báo cáo của Help Net Security. Khoảng thời gian gần như vượt qua 195,7 triệu nỗ lực tấn công ransomware được ghi lại trong chín tháng đầu năm trước.
Báo cáo dự đoán có tổng cộng 714 triệu nỗ lực tấn công ransomware trong cả năm 2021, con số này sẽ đánh dấu mức tăng 134% so với cùng kỳ năm ngoái. Phản ánh những phát hiện này, hầu hết các tổ chức trong các lĩnh vực khác nhau đều mong đợi sẽ trở thành mục tiêu của một cuộc tấn công ransomware trong tương lai. Theo ghi nhận của HealthITSecurity, hơn một nửa (57%) các tổ chức đó cho rằng quan điểm của họ là do các phần mềm ransomware đã nhắm mục tiêu đến rất nhiều tổ chức khác trong ngành.
Ví dụ, 48% các nhà quản lý CNTT tại các cơ quan chính quyền địa phương và 63% số người được hỏi ở chính quyền trung ương trong một cuộc khảo sát do StateScoop thực hiện, nói rằng họ dự kiến chủ nhân của mình sẽ bị nhiễm ransomware trong tương lai. Trong một nghiên cứu khác, 63% các tổ chức chăm sóc sức khỏe tiết lộ rằng các nhà phân phối ransomware sẽ nhắm mục tiêu đến họ vào một thời điểm nào đó.
Một nghiên cứu của Cybereason, có tiêu đề Các cuộc tấn công bằng Ransomware và Chi phí Thực sự cho Doanh nghiệp, cho thấy 66% tổ chức báo cáo bị mất doanh thu đáng kể sau một cuộc tấn công bằng ransomware và 53% tổ chức chỉ ra rằng thương hiệu và danh tiếng của họ bị tổn hại do thành công tấn công, chứng tỏ rằng các cuộc tấn công ransomware gây ra rủi ro đáng kể cho khả năng tồn tại của doanh nghiệp.
TẬP TRUNG VÀO PHẢN ỨNG RANSOMWARE
Thừa nhận rủi ro ransomware gây ra cho hoạt động kinh doanh, các tổ chức cần đảm bảo rằng họ có thể phản ứng hiệu quả với cuộc tấn công ransomware để giảm thiểu tác động đến doanh nghiệp. Dưới đây là ba điều họ có thể cân nhắc trong quá trình thực hiện:
- Thực hành duy trì tốt an ninh như thực hiện chương trình nâng cao nhận thức về bảo mật cho nhân viên, đảm bảo hệ điều hành và các phần mềm khác thường xuyên được cập nhật và vá lỗi, đồng thời triển khai các giải pháp bảo mật tốt nhất trên mạng.
- Đảm bảo có thể tiếp cận những người chủ chốt bất cứ lúc nào vì các hành động phản ứng quan trọng có thể trì hoãn trong thời gian cuối tuần/kỳ nghỉ. Có thể xảy ra trường hợp những người phù hợp không nhận được email của họ do sự cố hệ thống từ cuộc tấn công hoặc không trả lời điện thoại của họ vì không có kỳ vọng họ cần theo dõi thông tin liên lạc trong trường hợp xảy ra sự kiện. Có sự phân công nhiệm vụ rõ ràng khi gọi cho các sự cố an ninh ngoài giờ là rất quan trọng ở đây.
- Tiến hành các bài tập và diễn tập theo chu kỳ bao gồm các nhân viên ngoài nhóm bảo mật như Pháp lý, Nhân sự, Hỗ trợ CNTT và Bộ điều hành để đảm bảo phản ứng sự cố suôn sẻ.
- Đảm bảo áp dụng các phương pháp cách ly rõ ràng để ngăn chặn sự xâm nhập sâu hơn vào mạng hoặc lây lan ransomware sang các thiết bị khác. Các nhóm phải thành thạo trong việc ngắt kết nối máy chủ, khóa tài khoản bị xâm nhập, chặn miền độc hại, v.v. Nên kiểm tra các quy trình này bằng các cuộc tập trận theo lịch hoặc đột xuất ít nhất mỗi quý để đảm bảo tất cả nhân sự và quy trình hoạt động như mong đợi.
- Đánh giá các tùy chọn của Nhà cung cấp dịch vụ bảo mật được quản lý nếu tổ chức của bạn gặp vấn đề về thiếu hụt nhân sự hoặc chuyên môn và thiết lập các thủ tục phản hồi đã thỏa thuận trước với họ để họ có thể thực hiện hành động ngay lập tức theo một kế hoạch đã thỏa thuận.
- Khóa các tài khoản quan trọng vì những kẻ tấn công theo đường dẫn thông thường thực hiện việc lan truyền ransomware trên toàn mạng là nâng cấp đặc quyền lên cấp miền quản trị và sau đó triển khai ransomware. Các nhóm nên tạo các tài khoản chỉ khẩn cấp, có độ bảo mật cao trong thư mục hoạt động chỉ được sử dụng khi các tài khoản hoạt động khác tạm thời bị vô hiệu hóa để đề phòng hoặc không thể truy cập trong cuộc tấn công ransomware.
- Liên hệ với Cơ quan thực thi pháp luật ngay lập tức khi phát hiện ra cuộc tấn công bằng ransomware, bao gồm FBI và chính quyền địa phương ngay lập tức khi phát hiện ra cuộc tấn công. Họ phải làm điều này bất chấp những gì một số băng đảng ransomware đã bắt đầu liên lạc với nạn nhân (Here’s looking at you, nhóm Grief Ransomware).
- Cân nhắc quyết định trả tiền chuộc một cách cẩn thận: Làm như vậy không phải lúc nào cũng giúp nạn nhân lấy lại quyền truy cập vào dữ liệu của họ. Khoảng một nửa số người được hỏi trong nghiên cứu ransomware của chúng tôi được trích dẫn ở trên nói rằng một số hoặc tất cả dữ liệu mà họ lấy lại quyền truy cập sau khi thanh toán đã bị hỏng.
PHẢN ỨNG RANSOMWARE VS. PHÒNG NGỪA
Những thách thức liên quan đến việc trả tiền chuộc nêu bật một thực tế thiết yếu của phản ứng với ransomware — cụ thể là nó có hiệu quả tối thiểu khi những kẻ tấn công đã chuẩn bị sẵn sàng và có ý định phá hoại nỗ lực phản ứng của các tổ chức.
Ví dụ: Threatpost đã báo cáo về một biến thể ransomware Conti được ghi nhận gần đây có khả năng tách lọc dữ liệu từ các bản sao lưu và sau đó xóa các bản sao lưu đó theo cách thủ công. Các băng đảng ransomware như Conti đang áp dụng các chiến thuật này để buộc nạn nhân vào vị trí mà họ có xu hướng phải trả giá hơn.
Đồng thời, trả tiền chuộc hiếm khi kết thúc sự cố ransomware. Trong báo cáo của chúng tôi được trích dẫn ở trên, chúng tôi biết rằng 80% nạn nhân đã trả tiền chuộc cuối cùng lại phải chịu một cuộc tấn công khác. Khoảng một nửa (46%) những người được hỏi nghĩ rằng những kẻ tấn công tương tự đã chọn nhắm mục tiêu họ một lần nữa. Trong khi đó, một phần ba lưu ý rằng một loạt các tác nhân đe dọa khác đã gây ra vụ tấn công, làm tăng khả năng băng nhóm ban đầu đã bán quyền truy cập mạng cho nạn nhân trên dark web.
Cuối cùng, các tổ chức không phải lúc nào cũng có thể phụ thuộc vào các bên thứ ba để trang trải tất cả các chi phí tấn công ransomware. Gần một nửa (42%) người trả lời khảo sát đã có hợp đồng bảo hiểm mạng nhưng tiết lộ rằng công ty bảo hiểm của họ chỉ bảo hiểm một phần tổn thất của họ.
Các tổ chức đang áp dụng các giải pháp Phát hiện và Phản hồi Mở rộng (XDR) được hỗ trợ bởi Trí tuệ nhân tạo (AI) và Học máy (ML) để cho phép các nhóm bảo mật của họ tự động hóa tốt hơn các nỗ lực phân loại, điều tra và khắc phục trên quy mô nhằm phát hiện các cuộc tấn công ransomware ở giai đoạn sớm nhất của một cuộc tấn công.
XDR được điều khiển bởi AI/ML có thể cho phép các nhóm bảo mật loại bỏ tiếng ồn do một loạt các cảnh báo mối đe dọa liên tục đưa ra, cho phép các chuyên gia bảo mật dành ít thời gian hơn để lựa chọn các cảnh báo và theo dõi sai lầm và có nhiều thời gian hơn để cải thiện tình hình an ninh tổng thể của tổ chức.
Giải pháp XDR do AI điều khiển có thể phân tích các tập dữ liệu đo từ xa lớn với độ chính xác cao để xác định các Chỉ số Hành vi (IOB) tinh vi nhất ở quy mô mà phân tích thủ công của con người không bao giờ có thể sánh kịp. Ưu điểm ở đây là tự động hóa việc phát hiện các sự kiện thường yêu cầu con người phân tích và giảm bớt các nhóm bảo mật trong nhiệm vụ không hiệu quả trong việc phân loại tín hiệu khỏi nhiễu trên mạng.
Một giải pháp XDR do AI điều khiển cho phép các nhà phân tích nhanh chóng xác định các chuỗi hành vi độc hại, các biến thể phần mềm độc hại chưa từng thấy trước đây và phát hiện các cuộc tấn công ransomware phức tạp hoặc RansomOps, sớm hơn để xử lý nhanh các mối đe dọa đã biết và chưa biết bất kể chúng xảy ra ở đâu trong môi trường của tổ chức.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.cybereason.com/blog/how-to-create-an-effective-ransomware-response-plan