Ngày 12/5/2017, một cuộc tấn công virus ransomware ( phần mềm tống tiền) đã lan rộng trên các hệ thống máy tính của hàng trăm công ty tư nhân và các tổ chức công cộng trên toàn cầu. Phần mềm độc hại này đã lây nhiễm cho máy tính nạn nhân ở ít nhất 74 quốc gia, bao gồm Nga, Thổ Nhĩ Kỳ, Đức, Philippines và Việt Nam với tốc độ 5 triệu email mỗi giờ. Chỉ trong vòng 24 giờ có hơn 200000 thiết bị trên 150 quốc gia bị mã hóa, sai đó một thông báo đòi tiền chuộc lên đến 600$.
Cuộc tấn công được thực hiện khiến các bệnh viện và bác sỹ phẫu thuật ở Anh buộc phải từ chối phục vụ bệnh nhân và hủy bỏ cuộc hẹn sau khi cuộc tấn công làm tê liệt hệ thống dữ liệu của Dịch vụ Y tế Quốc gia (NHS), gây ra tác động tài chính đáng kể trên toàn thế giới, ước tính rằng WannaCry đã gây ra thiệt hại khoảng 4 tỷ USD.
Sau năm năm, với sự thay đổi và phát triển không ngừng của khoa học công nghệ, các các kỹ thuật, chiến thuật tấn công ransomware cũng thay đổi rất nhiều. Tuy nhiên, có những kỹ thuật khá phổ biến được sử dụng chẳng hạn như lừa đảo, đánh cắp thông tin đăng nhập, …
Các cuộc tấn công bằng ransomware tiếp tục gây xôn xao và làm gián đoạn hoạt động kinh doanh của nhiều tổ chức. Cybersecurity and Infrastructure Security Agency báo cáo rằng vào tháng 2 năm 2022, họ phát hiện các sự cố ransomware vào 14 trong số 16 lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ.
Không chỉ các cuộc tấn công ransomware ngày càng gia tăng, nghiên cứu của Unit 42 cũng tiết lộ rằng số tiền chuộc mà các tổ chức phải trả đang ngày càng tăng lên. Năm 2021, ước tính số tiền chuộc trung bình khoảng 2.2 triệu đô la, tăng tăng 144% so với 900.000 đô la vào năm 2020. Khoản thanh toán trung bình từ các trường hợp năm 2021 đã tăng lên 541.010 đô la – cao hơn 78% so với năm trước.
Ransomware tiếp tục là một trong những mối đe dọa an ninh mạng quan trọng nhất mà các doanh nghiệp phải đối mặt vào năm 2022. Sau 5 năm, tác động, bài học kinh nghiệm và cách các tổ chức chống lại các cuộc tấn công ransomware hiệu quả để ngăn chặn một sự cố WannaCry khác? Các chuyên gia dày dạn kinh nghiệm về an ninh mạng bình luận và đưa ra những bài học kinh nghiệm vẫn còn đúng cho đến ngày nay.
Theo Matthew Warner, CTO & Co- Founder tại Blumira :
Ransomware là một trọng tâm chính của các tổ chức ngày nay, nhưng không phải lúc nào cũng vậy. Cuộc tấn công WannaCry được cho là đợt bùng phát ransomware lớn không kiểm soát được đầu tiên và gây ra mối lo ngại thực sự. WannaCry và các nhánh liên quan của nó, chẳng hạn như Petya (và NotPetya the wiper), đã giúp các tổ chức nhận ra tác động kinh doanh của ransomware.
Khoảng thời gian xung quanh vụ tấn công WannaCry gây xôn xao cho công tác bảo mật phòng thủ. Hầu hết mọi người đều nhớ rằng WannaCry là phát súng đầu tiên trên toàn cầu đối với ransomware trên toàn thế giới, nhưng nó không chỉ xuất phát từ việc rò rỉ các công cụ hack của NSA mà còn làm lộ ra một lỗ hổng trong Windows đã tồn tại từ Windows 2000. Năm 2016, một nhóm tự xưng là The Shadow Brokers thông báo rằng họ đã đánh cắp một số lượng lớn các công cụ từ một nhóm có liên kết với NSA có tên là The Equation Group và sẽ bán đấu giá chúng. Trong sáu tháng tiếp theo, Shadow Brokers đã thu thập hơn 11 bitcoin và phát hành nhiều loại thông tin khác nhau trong các đợt cho đến tháng 4 năm 2017, khi họ phát hành một số lượng lớn các công cụ và khai thác mới có chứa ETERNALBLUE, một công ty khai thác SMB quốc gia đã tạo ra, cho internet nói chung.
Tác động kỹ thuật của WannaCry còn kéo dài đến tận năm 2017. Mặc dù Microsoft đã phát hành bản vá cho ETERNALBLUE vào tháng 3 năm 2017, nhưng nhiều bản vá chưa được vá và WannaCry đã sử dụng cách khai thác này vào tháng 5 năm 2017 với thành công lớn. MS17-070 chưa được vá có thể được tìm thấy trong các mạng nội bộ với các ứng dụng kế thừa ngày nay.
Những gì WannaCry đã làm là củng cố nhu cầu đánh giá bề mặt tấn công đối với các tổ chức. WannaCry là một lời nhắc nhở rằng việc để SMB tiếp xúc với internet là không cần thiết và đã giúp ETERNALBLUE lây lan nhanh chóng. Tương tự, WannaCry cho thấy nhu cầu phân đoạn để ngăn chặn các loại sâu như WannaCry di chuyển ngang qua các mạng.
Quan trọng nhất, nhu cầu về vệ sinh CNTT tốt hơn, các quy trình để xây dựng sự trưởng thành về bảo mật và mong muốn ngăn chặn ransomware đều đòi hỏi ngân sách bổ sung và mua lại từ chính tổ chức. Vào năm 2017, (ISC) ² ước tính rằng sẽ có 1,8 triệu người lao động chênh lệch vào năm 2022, vào năm 2021, khoảng cách thực tế giảm từ 3,12 xuống 2,72 triệu người. Ngành công nghiệp, dụng cụ và nhu cầu về những người có kỹ năng đã phát triển nhanh chóng trong 5 năm qua khi nó được toàn cầu hóa và cải tiến. Có nhiều chuyển động về sự trưởng thành về bảo mật trên tất cả các quy mô tổ chức, nhưng như Log4Shell đã chứng minh vào năm 2021, có nhiều việc phải làm hơn khi tất cả chúng ta cùng nhau phát triển.
Stan Black, CISO tại Delinea cho rằng :
Cuộc tấn công mã độc tống tiền WannaCry năm 2017 đã gây ra làn sóng chấn động trên toàn cầu, ảnh hưởng đến hàng trăm nghìn máy tính và thiết bị và để lại hàng tỷ thiệt hại sau cuộc tấn công. Khi đó chúng ta ít biết rằng đó chỉ là bước khởi đầu cho sự gia tăng của các cuộc tấn công ransomware ngày càng tinh vi, lan rộng và bất lợi. Kể từ đó, chúng tôi đã thấy một lượng lớn nạn nhân của ransomware có cấu hình cao, cùng với sự gia tăng số lượng các nhóm ransomware cung cấp ransomware-as-a-service (RaaS).
WannaCry đã dạy cho tất cả các tổ chức một số bài học quan trọng. Điểm chính là bất kể bạn chi bao nhiêu tiền cho các cơ chế phòng thủ và bảo vệ vành đai của mình, bạn vẫn có thể bị lộ từ bên trong nếu công nghệ và hệ thống của bạn đã cũ, lỗi thời hoặc chưa được vá. Vệ sinh mạng nội bộ kém khiến cánh cửa mở ra cho các tác nhân độc hại.
Khi chúng ta nhìn về tương lai, có một số sáng kiến mà các tổ chức có thể thực hiện để hạn chế sự tiếp xúc của họ với các mối đe dọa như vậy. Một là phân khúc, về cơ bản là đặt các lan can kỹ thuật để tách biệt một chức năng kinh doanh với một chức năng kinh doanh khác. Điều này giảm thiểu sự lan truyền không có thử thách của các tác nhân độc hại và phần mềm độc hại. Một phương pháp hay nhất khác là xác định tất cả các tài sản quan trọng thường được nhắm mục tiêu cho các cuộc tấn công và thực hiện sao lưu gia tăng thường xuyên nếu cần khôi phục hệ thống. Xác thực đa yếu tố mạnh mẽ và kiểm soát truy cập đặc quyền cũng là những thành phần rõ ràng.
Mọi người dùng hiện là người dùng có đặc quyền có quyền truy cập vào các hệ thống và dữ liệu nhạy cảm. Các tổ chức nên xem xét cách tiếp cận ít đặc quyền nhất để truy cập, chỉ giới hạn ở những gì được yêu cầu cho chức năng hoặc nhiệm vụ của công việc. Mặc dù nó sẽ không giúp tăng khả năng sẵn sàng hoạt động, nhưng các tổ chức cũng luôn phải chuẩn bị cho các tình huống xấu nhất với một kế hoạch bảo vệ không gian mạng giải quyết bất kỳ tổn thất nào.
Ngày nay, các cuộc tấn công ransomware vẫn tiếp tục gia tăng. Trong khi chính phủ Hoa Kỳ và các cơ quan liên bang khác trên toàn thế giới nỗ lực thực hiện các biện pháp ngăn chặn các cuộc tấn công bằng ransomware và truy tố những người tham gia vào các hoạt động đó, việc giảm thiểu thành công các cuộc tấn công bằng ransomware đòi hỏi một loạt các sáng kiến kết hợp. Điều này bao gồm việc triển khai các biện pháp kiểm soát an ninh được thiết lập với đặc quyền ít nhất và không tin tưởng, tạo ra văn hóa công ty ưu tiên bảo mật và đào tạo nhân viên, phát hiện và ứng phó mối đe dọa mạnh mẽ, sự hợp tác giữa các khu vực công và tư và quan trọng nhất là hoạt động dựa trên tư duy rằng nó không phải là ‘nếu’ tội phạm mạng sẽ tấn công mà là khi nào.
Nguồn tham khảo:
- https://www.securitymagazine.com/
- Và các tài liệu liên quan đến WannaCry
