Hãy tưởng tượng đang viết một email công việc quan trọng và đột nhiên mất quyền truy cập vào mọi thứ. Hoặc nhận được một thông báo lỗi nghiêm trọng yêu cầu bitcoin giải mã máy tính của bạn. Có thể có nhiều tình huống khác nhau, nhưng có một điều vẫn giống nhau đối với tất cả các cuộc tấn công bằng ransomware — những kẻ tấn công luôn cung cấp hướng dẫn về cách lấy lại quyền truy cập của bạn. Tất nhiên, lợi ích duy nhất là trước tiên bạn phải cung cấp trả trước một số tiền chuộc khổng lồ.
Một loại ransomware tàn khốc được gọi là "Mê cung" đang làm chao đảo thế giới an ninh mạng. Dưới đây là những điều bạn cần biết về ransomware Cognizant Maze.
Maze Ransomware là gì?
Maze ransomware xuất hiện dưới dạng một dòng Windows, được phân phối thông qua các email spam và các bộ công cụ khai thác đòi hỏi một lượng lớn bitcoin hoặc tiền điện tử để đổi lấy việc giải mã và khôi phục dữ liệu bị đánh cắp.
Các email đến với các dòng chủ đề có vẻ vô tội như “Hóa đơn Verizon của bạn đã sẵn sàng để xem” hoặc “Gửi gói hàng bị nhỡ” nhưng bắt nguồn từ các miền độc hại. Có tin đồn rằng Maze là ransomware dựa trên chi nhánh hoạt động thông qua mạng lưới các nhà phát triển chia sẻ lợi nhuận với các nhóm khác nhau xâm nhập vào mạng công ty.
Để đưa ra các chiến lược bảo vệ và hạn chế khả năng bị phơi nhiễm trước các cuộc tấn công tương tự, chúng ta nên suy ngẫm về Mê cung ẩn ...
Cuộc tấn công ransomware trong mê cung
Vào tháng 4 năm 2020, Cognizant, một công ty nằm trong danh sách Fortune 500 và là một trong những nhà cung cấp dịch vụ CNTT lớn nhất toàn cầu, đã trở thành nạn nhân của cuộc tấn công Maze nguy hiểm gây ra sự gián đoạn dịch vụ trên diện rộng.
Do cuộc tấn công này bị xóa các thư mục nội bộ, một số nhân viên của Cognizant bị gián đoạn giao tiếp và nhóm bán hàng bị bối rối không có cách nào để giao tiếp với khách hàng và ngược lại.
Thực tế là vụ vi phạm dữ liệu Cognizant xảy ra khi công ty đang điều chuyển nhân viên làm việc từ xa do đại dịch Coronavirus khiến công việc này càng trở nên khó khăn hơn. Theo báo cáo của CRN, các nhân viên buộc phải tìm cách khác để liên lạc với đồng nghiệp do mất quyền truy cập email.
Giám đốc điều hành của Cognizant, Brian Humphries cho biết:“Không ai muốn bị đối phó với một cuộc tấn công ransomware. “Cá nhân tôi không tin rằng có ai đó thực sự không thấm vào đâu, nhưng sự khác biệt là cách bạn quản lý nó. Và chúng tôi đã cố gắng quản lý nó một cách chuyên nghiệp và thuần thục. ”
Công ty đã nhanh chóng làm mất ổn định tình hình bằng cách có được sự trợ giúp của các chuyên gia hàng đầu về an ninh mạng và đội bảo mật CNTT nội bộ của họ. Cuộc tấn công mạng Cognizant cũng đã được báo cáo cho các cơ quan thực thi pháp luật và các khách hàng của Cognizant đã được cung cấp các bản cập nhật liên tục về các Chỉ số Thỏa hiệp (IOC).
Tuy nhiên, công ty đã phải chịu những thiệt hại tài chính đáng kể do cuộc tấn công, gây ra khoản doanh thu bị mất lên tới $ 50-70 triệu.
Tại sao Maze Ransomware lại là Mối đe dọa kép?
Như thể bị ảnh hưởng bởi Ransomware vẫn chưa đủ tệ, những người phát minh ra cuộc tấn công Maze đã tạo thêm một bước ngoặt cho các nạn nhân để đối phó. Một chiến thuật độc hại được gọi là “tống tiền kép” được đưa ra với cuộc tấn công Maze trong đó nạn nhân bị đe dọa rò rỉ dữ liệu bị xâm nhập nếu họ từ chối hợp tác và đáp ứng các yêu cầu của ransomware.
Phần mềm ransomware khét tiếng này được gọi đúng là “mối đe dọa kép” bởi vì ngoài việc tắt quyền truy cập mạng của nhân viên, nó còn tạo ra một bản sao của toàn bộ dữ liệu mạng và sử dụng nó để khai thác và dụ nạn nhân đòi tiền chuộc.
Thật không may, chiến thuật gây áp lực của những người tạo ra Mê cung không kết thúc ở đây. Nghiên cứu gần đây đã chỉ ra rằng TA2101, một nhóm đứng sau Maze ransomware, hiện đã xuất bản một trang web chuyên dụng liệt kê tất cả các nạn nhân không hợp tác của họ và thường xuyên xuất bản các mẫu dữ liệu bị đánh cắp của họ như một hình thức trừng phạt.
Cách Hạn chế Sự cố Ransomware trong Mê cung
Giảm thiểu và loại bỏ rủi ro do ransomware là một quá trình gồm nhiều khía cạnh, trong đó các chiến lược khác nhau được kết hợp và tùy chỉnh dựa trên từng trường hợp người dùng và hồ sơ rủi ro của một tổ chức cá nhân. Dưới đây là các chiến lược phổ biến nhất có thể giúp ngăn chặn một cuộc tấn công Mê cung ngay lập tức.
Thực thi danh sách cho phép ứng dụng
Danh sách trắng ứng dụng là một kỹ thuật giảm thiểu mối đe dọa chủ động cho phép chỉ các chương trình hoặc phần mềm được ủy quyền trước chạy trong khi tất cả các chương trình hoặc phần mềm khác bị chặn theo mặc định.
Kỹ thuật này giúp ích rất nhiều trong việc xác định các nỗ lực bất hợp pháp nhằm thực thi mã độc hại và hỗ trợ ngăn chặn việc cài đặt trái phép.
Bản vá Ứng dụng và Vi phạm Bảo mật
Các lỗi bảo mật cần được vá ngay khi chúng được phát hiện để ngăn chặn những kẻ tấn công thao túng và lạm dụng. Dưới đây là khung thời gian được khuyến nghị để áp dụng các bản vá lỗi kịp thời dựa trên mức độ nghiêm trọng của lỗi:
- Rủi ro cực cao :trong vòng 48 giờ kể từ khi bản vá được phát hành.
- Rủi ro cao :trong vòng hai tuần kể từ khi bản vá được phát hành.
- Rủi ro vừa phải hoặc thấp :trong vòng một tháng kể từ khi bản vá được phát hành.
Định cấu hình Cài đặt Macro của Microsoft Office
Macro được sử dụng để tự động hóa các tác vụ thường ngày nhưng đôi khi có thể là mục tiêu dễ dàng vận chuyển mã độc hại vào hệ thống hoặc máy tính sau khi được kích hoạt. Cách tốt nhất là giữ chúng ở trạng thái vô hiệu hóa nếu có thể hoặc để chúng được đánh giá và xem xét trước khi sử dụng.
Làm cứng ứng dụng tuyển dụng
Làm cứng ứng dụng là một phương pháp che chắn các ứng dụng của bạn và áp dụng các lớp bảo mật bổ sung để bảo vệ chúng khỏi bị đánh cắp. Các ứng dụng Java rất dễ có lỗ hổng bảo mật và có thể bị các tác nhân đe dọa sử dụng làm điểm xâm nhập. Điều bắt buộc là phải bảo vệ mạng của bạn bằng cách sử dụng phương pháp này ở cấp ứng dụng.
Hạn chế Đặc quyền Quản trị
Các đặc quyền quản trị nên được xử lý hết sức thận trọng vì tài khoản quản trị viên có quyền truy cập vào mọi thứ. Luôn sử dụng Nguyên tắc Đặc quyền Ít nhất (POLP) khi thiết lập quyền truy cập và quyền vì đó có thể là một yếu tố không thể thiếu trong việc giảm thiểu phần mềm tống tiền Maze hoặc bất kỳ cuộc tấn công mạng nào vì vấn đề đó.
Patch Hệ điều hành
Theo nguyên tắc chung, bất kỳ ứng dụng, máy tính và thiết bị mạng nào có lỗ hổng bảo mật rủi ro cao phải được vá trong vòng 48 giờ. Điều quan trọng nữa là đảm bảo chỉ sử dụng các phiên bản mới nhất của hệ điều hành và tránh các phiên bản không được hỗ trợ bằng mọi giá.
Triển khai xác thực đa yếu tố
Xác thực đa yếu tố (MFA) bổ sung thêm một lớp bảo mật vì nhiều thiết bị được ủy quyền được yêu cầu đăng nhập vào các giải pháp truy cập từ xa như ngân hàng trực tuyến hoặc bất kỳ hành động đặc quyền nào khác yêu cầu sử dụng thông tin nhạy cảm.
Bảo mật trình duyệt của bạn
Điều quan trọng là đảm bảo rằng trình duyệt của bạn luôn được cập nhật, quảng cáo bật lên bị chặn và cài đặt trình duyệt của bạn ngăn việc cài đặt các tiện ích mở rộng không xác định.
Xác minh xem các trang web bạn đang truy cập có hợp pháp hay không bằng cách kiểm tra thanh địa chỉ. Chỉ cần nhớ rằng, HTTPS an toàn trong khi HTTP kém hơn đáng kể.
Bảo mật Email của Nhân viên
Phương thức xâm nhập chính của Maze ransomware là qua email.
Triển khai xác thực đa yếu tố để thêm một lớp bảo mật bổ sung và đặt ngày hết hạn cho mật khẩu. Ngoài ra, hãy huấn luyện bản thân và nhân viên để không bao giờ mở email từ các nguồn không xác định hoặc ít nhất là không tải xuống bất cứ thứ gì như tệp đính kèm đáng ngờ. Đầu tư vào giải pháp bảo vệ email đảm bảo việc truyền email của bạn được an toàn.
Thực hiện Sao lưu Thường xuyên
Sao lưu dữ liệu là một phần không thể thiếu của kế hoạch khôi phục sau thảm họa. Trong trường hợp bị tấn công, bằng cách khôi phục các bản sao lưu thành công, bạn có thể dễ dàng giải mã dữ liệu sao lưu ban đầu đã bị tin tặc mã hóa. Bạn nên thiết lập sao lưu tự động và tạo mật khẩu phức tạp và duy nhất cho nhân viên của mình.
Chú ý đến các điểm cuối bị ảnh hưởng và thông tin đăng nhập
Cuối cùng nhưng không kém phần quan trọng, nếu bất kỳ điểm cuối mạng nào của bạn bị ảnh hưởng bởi Maze ransomware, bạn nên nhanh chóng xác định tất cả thông tin đăng nhập được sử dụng trên chúng. Luôn cho rằng tất cả các điểm cuối đều có sẵn và / hoặc bị xâm phạm bởi tin tặc. Nhật ký sự kiện của Windows sẽ hữu ích cho việc phân tích các nhật ký sau thỏa hiệp.
Ngạc nhiên về Cuộc tấn công mê cung?
Vi phạm Cognizant khiến nhà cung cấp giải pháp CNTT phải cố gắng phục hồi sau những tổn thất lớn về tài chính và dữ liệu. Tuy nhiên, với sự trợ giúp của các chuyên gia hàng đầu về an ninh mạng, công ty đã nhanh chóng phục hồi sau cuộc tấn công nguy hiểm này.
Tập này đã chứng minh các cuộc tấn công ransomware nguy hiểm như thế nào.
Bên cạnh Maze, có rất nhiều cuộc tấn công ransomware khác được thực hiện bởi các tác nhân đe dọa độc hại hàng ngày. Tin tốt là, với sự thẩm định và thực hành bảo mật nghiêm ngặt, bất kỳ công ty nào cũng có thể dễ dàng giảm thiểu các cuộc tấn công này trước khi chúng tấn công.