Ransomware là một dạng phần mềm độc hại ngăn người dùng và tổ chức truy cập vào các tệp và dữ liệu trên thiết bị của họ cho đến khi họ trả tiền chuộc. Sau khi trả tiền chuộc, tội phạm mạng hứa sẽ cung cấp cho nạn nhân những gì họ cần để lấy lại quyền truy cập vào thiết bị của mình. Thông thường, kẻ tấn công sẽ cung cấp cho nạn nhân khóa giải mã tùy thuộc vào loại tấn công ransomware.
Điều quan trọng cần lưu ý là tội phạm mạng không đáng tin cậy và không phải lúc nào cũng thực hiện lời hứa trả lại quyền truy cập. Chúng cũng có thể tấn công lại bằng một cuộc tấn công tiếp theo, nếu chúng biết một tổ chức sẵn sàng trả tiền chuộc.
Tội phạm mạng cũng có thể bán dữ liệu nhạy cảm của nạn nhân trên dark web, ngay cả khi đã trả tiền chuộc. Các cuộc tấn công bằng phần mềm tống tiền có thể gây ra thiệt hại tài chính đáng kể cho các doanh nghiệp và khiến nhiều tổ chức từ các công ty khởi nghiệp đến các doanh nghiệp lớn rơi vào tình trạng khốn đốn hoặc phải đóng cửa hoàn toàn.
Tấn công Ransomware diễn ra như thế nào?
Phần mềm tống tiền có thể lây nhiễm thiết bị theo nhiều cách, tùy thuộc vào tác nhân gây ra cuộc tấn công.
Lừa đảo
Lừa đảo là một dạng tấn công kỹ thuật xã hội tinh vi nhằm thuyết phục nạn nhân tiết lộ thông tin nhạy cảm. Các cuộc tấn công bằng phần mềm tống tiền thường hoạt động bằng cách lừa nạn nhân vô tình tải xuống phần mềm độc hại thông qua email lừa đảo. Nếu không có các công cụ bảo mật phù hợp và đào tạo nhân viên kỹ năng nhận dạng email lừa đảo, nhân viên có thể hủy hoại công ty chỉ bằng một cú nhấp chuột.
Khi một nhân viên nhấp vào liên kết hoặc tệp đính kèm trong email lừa đảo có chứa ransomware, nó sẽ từ từ lây nhiễm vào thiết bị của nhân viên mà họ không hề hay biết. Sau đó, ransomware có thể lây lan qua mạng được kết nối để lây nhiễm vào thiết bị của những nhân viên khác trong cùng lớp mạng. Khi ransomware lây lan, các tệp dữ liệu công ty sẽ bị mã hóa – ngăn không cho bất kỳ ai truy cập vào cho đến khi tiền chuộc được trả và khóa giải mã được cung cấp.
Bộ công cụ khai thác
Bộ công cụ khai thác được tội phạm mạng sử dụng để tấn công các lỗ hổng trong hệ thống nhằm mục đích phát tán phần mềm độc hại. Khi nạn nhân truy cập vào các trang web độc hại hoặc nhấp vào mẫu quảng cáo hấp dẫn (quảng cáo độc hại), nạn nhân mục tiêu sẽ được chuyển hướng đến trang đích của bộ công cụ khai thác. Đây là nơi bộ công cụ khai thác xác định các lỗ hổng và sau đó khai thác chúng - cho phép mã độc lây nhiễm thành công vào thiết bị của nạn nhân.
Khi thiết bị của nạn nhân bị nhiễm, họ sẽ được yêu cầu trả tiền chuộc trước khi được phép truy cập vào tệp và dữ liệu của chính mình.
Các loại tấn công Ransomware
Crypto Ransomware
Crypto Ransomware là một trong những loại tấn công ransomware phổ biến nhất. Với loại tấn công này, kẻ tấn công sử dụng một chương trình mã hóa các tệp trên thiết bị của nạn nhân. Khi bị mã hóa, nội dung của các tệp sẽ bị xáo trộn – khiến chúng không thể đọc được. Nạn nhân sẽ nhận được cảnh báo trên màn hình thông báo để giải mã các tệp, họ sẽ cần lấy khóa giải mã từ kẻ tấn công. Kẻ tấn công sẽ không cung cấp cho nạn nhân khóa giải mã cho đến khi họ trả tiền chuộc.
Điều đáng chú ý là crypto ransomware khác với crypto malware (phần mềm độc hại mã hóa) là phần mềm độc hại cho phép kẻ tấn công khai thác tiền mã hóa trên thiết bị của nạn nhân.
Locker Ransomware
Locker ransomware là một loại tấn công ransomware phổ biến khác. Sử dụng loại tấn công này, phần mềm độc hại sẽ khiến thiết bị của nạn nhân không hoạt động được. Ví dụ, khi phần mềm độc hại lây nhiễm vào thiết bị của nạn nhân, nạn nhân sẽ không thể sử dụng chuột hoặc bàn phím. Điều duy nhất nạn nhân có thể làm trên thiết bị của mình là trả tiền chuộc, đó sẽ là điều duy nhất hiển thị trên màn hình của họ.
Thay vì mã hóa các tập tin như crypto ransomware, locker ransomware sẽ chỉ khóa và ngăn nạn nhân sử dụng thiết bị của mình.