Ransomware là một loại phần mềm độc hại chặn người dùng khỏi hệ thống máy tính và mã hóa tệp của họ, cho phép kẻ tấn công kiểm soát mọi thông tin cá nhân được lưu trữ trên thiết bị của nạn nhân. Tội phạm mạng sau đó sẽ dùng dữ liệu nhạy cảm của nạn nhân để đe dọa cho đến khi đòi được tiền chuộc. Vậy nên mới có cái tên “ransom” (tiền chuộc) trong ransomware.

Ransomware hoạt động như thế nào?

Đặc điểm nổi bật của ransomware là nó được sử dụng như một công cụ tống tiền và có nhiều cách khác nhau để tội phạm mạng sử dụng loại phần mềm độc hại này để giành quyền truy cập vào thiết bị của nạn nhân. Một trong những cách phổ biến nhất là email lừa đảo — nạn nhân được gửi email có đính kèm file độc hại và sẽ lây nhiễm vào máy tính của nạn nhân khi chúng được mở.

Sau khi chiếm đoạt thành công máy tính của nạn nhân, những kẻ tấn công tiếp tục mã hóa một số hoặc tất cả các tệp của người dùng, như tài liệu Word, PDF, hình ảnh, cơ sở dữ liệu,… Phần mềm tống tiền cũng có thể khai thác toàn bộ lỗ hổng mạng, có thể lây lan sang các hệ thống khác và thậm chí trên toàn bộ tổ chức.

Vào cuối cuộc tấn công, tin tặc sẽ gửi cho nạn nhân một tin nhắn giải thích rằng các tệp của họ hiện đã bị mã hóa và chỉ có thể được giải mã nếu trả tiền chuộc. Tiền chuộc thường được yêu cầu dưới hình thức thanh toán Bitcoin không theo dõi được để trả cho kẻ tấn công.

Mục tiêu của Ransomware?

Mục tiêu ransomware có thể là người tiêu dùng cá nhân, các doanh nghiệp vừa và nhỏ hoặc các tổ chức doanh nghiệp lớn hơn. Việc bọn tội phạm chọn mục tiêu như thế nào thường phụ thuộc vào cơ hội. Ví dụ: họ có thể nhắm đến các nhóm có đội bảo mật nhỏ hơn như các trường đại học do khả năng bảo mật yếu hơn và mức độ chia sẻ tệp cao.

Một mục tiêu phổ biến khác là các tổ chức có nhiều khả năng trả tiền chuộc trong thời gian ngắn hơn. Các cơ quan chính phủ, ngân hàng, công ty luật và cơ sở y tế đều thuộc loại này, vì họ có thể cần quyền truy cập ngay lập tức vào các tệp khách hàng nhạy cảm và sẽ sẵn sàng trả tiền chuộc hơn nếu đổi lại sự im lặng về các vi phạm tài chính của tổ chức đó.

Cuối cùng, tội phạm thường nhắm mục tiêu vào các tổ chức công ty lớn với hy vọng kiếm được nhiều tiền hơn. Các cuộc tấn công ransomware trong danh mục này thường tập trung vào các doanh nghiệp ở Anh, Hoa Kỳ và Canada do số lượng sử dụng máy tính cá nhân cao.

Các loại Ransomware

Trong khi có vô số chủng loại ransomware, hầu hết các cuộc tấn công thuộc hai loại chính: Crypto ransomware và locker ransomware.

• Crypto ransomware hoạt động bằng cách mã hóa các tệp máy tính nhạy cảm của nạn nhân và yêu cầu tiền chuộc trước khi có thể khôi phục tệp.
• Locker ransomware không mã hóa các tập tin. Thay vào đó, nó xâm phạm các chức năng máy tính cơ bản và khóa nạn nhân hoàn toàn khỏi thiết bị của họ cho đến khi trả tiền chuộc.

Mức độ nghiêm trọng do một cuộc tấn công ransomware gây ra sẽ phụ thuộc vào biến thể của ransomware đang được sử dụng và các phương pháp giải quyết sẽ khác nhau tùy thuộc vào loại ransomware.

Ví dụ về ransomware

Mặc dù ransomware chỉ mới xuất hiện được vài thập kỷ, nhưng nó đã có những bước phát triển nhanh chóng trong 5 năm qua nhờ sự tiến bộ của các phương thức thanh toán không thể theo dõi như Bitcoin. Dưới đây là một số vụ tấn công kinh khủng nhất từ trước đến nay.

1. CryptoLocker

CryptoLocker là một trong những cuộc tấn công ransomware trên diện rộng đầu tiên sử dụng mã hóa khóa công khai. Cuộc tấn công năm vào 2013 này đã đặt nền móng cho ransomware hiện tại và đã xâm nhập hơn 500.000 máy từ năm 2013 đến năm 2014. Thanh toán được yêu cầu trả dưới dạng Bitcoin và vào thời điểm đó, các chuyên gia tin rằng phần mềm độc hại đang được sử dụng là không thể xâm nhập.

Đến năm 2014, một công ty bảo mật cuối cùng cũng có quyền truy cập vào một máy chủ liên quan đến cuộc tấn công và khôi phục thành công các khóa mã hóa, nhưng những kẻ tấn công vẫn cố gắng tống tiền gần 3 triệu USD trước khi chúng phá sản.

2.WannaCry

WannaCry là một cuộc tấn công năm 2017, lây lan trên 150 quốc gia nhằm vào các lỗ hổng bảo mật trong phần mềm Windows. Cuộc tấn công đã lây nhiễm cho 230.000 thiết bị trên toàn thế giới, khóa người dùng khỏi máy tính của họ cho đến khi trả tiền chuộc bằng Bitcoin.

Cuộc tấn công WannaCry hoạt động bằng cách khai thác một lỗ hổng hệ điều hành được phát hiện là đã xuất hiện từ rất lâu trước khi cuộc tấn công xảy ra và sự kiện này đã làm sáng tỏ hệ thống bảo mật lỗi thời. Trên toàn cầu, WannaCry gây ra thiệt hại tài chính trung bình 4 tỷ USD.

3. NotPetya

NotPetya là một cuộc tấn công toàn cầu năm 2017 chủ yếu nhắm vào Ukraine. Ban đầu, nó được cho là một dòng Petya ransomware mới – một dạng phần mềm độc hại lây nhiễm vào máy tính mục tiêu, mã hóa dữ liệu và đòi tiền chuộc bằng bitcoin để khôi phục tệp. Tuy nhiên, NotPetya sau đó được coi là một dòng ransomware hoàn toàn mới được gọi là wiper, với mục đích duy nhất là phá hủy dữ liệu bị xâm phạm thay vì trả lại để đòi tiền chuộc.

4. BadRabbit

BadRabbit là một dòng ransomware đã lây nhiễm cho các công ty truyền thông trên khắp nước Nga và Đông Âu vào năm 2019. Cuộc tấn công được thực hiện thông qua việc phát tán bản cập nhật Adobe Flash giả mạo để lây nhiễm thiết bị của nạn nhân khi tải xuống, hướng họ đến trang thanh toán nơi đòi tiền chuộc bằng Bitcoin. Không giống như cuộc tấn công NotPetya, BadRabbit sẽ giải mã file nếu nhận được khoản tiền chuộc.

Cách bảo vệ bản thân khỏi Ransomware

Như với bất kỳ mối đe dọa an ninh mạng nào, các phương pháp phòng ngừa hầu như luôn tốt hơn là tìm cách chữa trị khi đã quá muộn. Thực hiện theo các phương pháp phòng ngừa tốt nhất dưới đây để giảm thiểu nguy cơ bị tấn công.

• Sao lưu dữ liệu: Cách tốt nhất để tránh bị mã hóa các tệp nhạy cảm là sao lưu dữ liệu định kỳ. Tốt nhất là thực hiện việc này trên đám mây hoặc bằng ổ cứng ngoài. Nếu bạn gặp phải một cuộc tấn công, bạn chỉ cần xóa thiết bị của mình và cài đặt lại các tệp bằng bản sao lưu đó.
• Bảo vệ email: các chiến dịch lừa đảo qua email là một trong những phương tiện phổ biến nhất để phát tán ransomware, vì vậy việc bảo mật email của bạn là rất quan trọng. Ở cấp độ tổ chức, việc trang bị cho nhân viên của bạn khả năng nhận ra các email đáng ngờ có thể ngăn chặn một cuộc tấn công trước khi nó có thể gây ra bất kỳ thiệt hại nào.
• Luôn cập nhật hệ thống: Thường xuyên cập nhật phần mềm của bạn là một trong những cách đơn giản nhất để ngăn chặn bất kỳ cuộc tấn công mạng nào. Mỗi bản cập nhật phần mềm có sẵn đều giảm thiểu các lỗ hổng bảo mật mới được tìm thấy, khiến những kẻ tấn công khó khai thác phần mềm lỗi thời hơn.
• Không bao giờ nhấp vào các liên kết đáng ngờ: Cho dù đó là tệp đính kèm trong email hay một liên kết được tìm thấy trên web, đừng bao giờ nhấp vào các liên kết trong thư rác hoặc các trang web không xác định. Chỉ cần nhấp vào một liên kết độc hại cũng có thể bắt đầu quá trình tải xuống tự động, lây nhiễm vào máy tính của bạn ngay lập tức.
• Không tiết lộ thông tin cá nhân: Không bao giờ trả lời email hoặc tin nhắn văn bản từ một nguồn không xác định yêu cầu thông tin cá nhân, ngay cả khi họ tự nhận là người mà bạn tin tưởng.
• Sử dụng phần mềm bảo mật: Cài đặt phần mềm bảo mật đáng tin cậy là một trong những cách dễ nhất để giữ an toàn cho dữ liệu của bạn. Để tăng cường khả năng bảo vệ, hãy chọn một phần mềm cung cấp nhiều hơn các tính năng chống virus— một số có khả năng phát hiện mối đe dọa đa nền tảng có thể giữ an toàn cho tất cả các thiết bị của bạn.

Cách đối phó với các cuộc tấn công bằng Ransomware

Nếu bạn đã bị tấn công bằng ransomware, thì thời gian là điều cốt yếu và điều quan trọng nhất là phải hành động càng nhanh càng tốt. Bạn có thể thực hiện một số bước để giảm thiểu thiệt hại.

• Cách ly thiết bị bị nhiễm virus: Để đảm bảo an toàn cho mạng, bộ nhớ dùng chung và các thiết bị khác của bạn, quan trọng là bạn phải ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng càng sớm càng tốt. Điều này có thể ngăn các thiết bị được kết nối khác bị nhiễm virus.
• Đánh giá tất cả các thiết bị được kết nối khác: Việc cô lập thiết bị bị nhiễm không phải lúc nào cũng đảm bảo rằng phần mềm tống tiền không tồn tại ở nơi khác trên mạng của bạn. Để ngăn nó lây lan, hãy kiểm tra tất cả các thiết bị được kết nối khác và ngắt kết nối bất kỳ thiết bị nào đang hoạt động đáng ngờ.
• Báo cáo với cơ quan chức năng: Ransomware là một loại tội phạm giống như bất kỳ loại tội phạm nào khác cần được báo cáo cho cơ quan thực thi pháp luật. Các nhà chức trách liên quan cũng có quyền truy cập vào các công cụ để truy xuất dữ liệu bị đánh cắp và xác định vị trí của những kẻ tấn công.

Ransomware có thể bị loại bỏ không?

Việc loại bỏ ransomware tùy thuộc vào loại ransomware mà bạn đang xử lý và bạn sẽ cần phải cài đặt phần mềm bảo mật trước khi bị tấn công — nhưng trong một số trường hợp, bạn có thể xóa được. Đây là những gì bạn có thể làm:

• Ngắt kết nối thiết bị bị nhiễm khỏi Internet càng sớm càng tốt để ngăn phần mềm tống tiền phát tán.
• Quét các tệp độc hại và xóa chúng bằng phần mềm bảo mật. Nếu ransomware khóa màn hình máy tính, thì có thể không thực hiện được.
• Lấy lại quyền truy cập vào dữ liệu của bạn bằng công cụ giải mã được kết nối với phần mềm bảo mật. Bước này sẽ phụ thuộc vào phần mềm bảo mật bạn có.
• Khôi phục các tệp đã mất của bạn nếu bạn có bản sao lưu dữ liệu bên ngoài.

Ransomware gây ra mối đe dọa đáng kể cho người tiêu dùng cũng như các công ty, và những kẻ tấn công đang thực hiện các cuộc tấn công ngày càng tinh vi khi công nghệ tiến bộ. Khi nói đến việc bảo vệ bản thân, phòng ngừa hầu như luôn tốt hơn là tìm cách chữa sau cuộc tấn công — điều này có nghĩa là giáo dục bản thân về ransomware và cách sử dụng thiết bị một cách an toàn là điều cần thiết để ngăn chặn mọi cuộc tấn công. Để tăng cường bảo mật, hãy đảm bảo có phần mềm chống virus trên tất cả các thiết bị của bạn để giảm nguy cơ lây nhiễm.