Tác động của cuộc tấn công bằng mã độc tống tiền kép đối với doanh nghiệp và giảm thiểu

Các đã xuất hiện được một thời gian và các chuyên gia bảo mật đã chiến đấu với nó một cách đáng kể. Họ đã cung cấp trên các cá nhân và doanh nghiệp. Tuy nhiên, các kỹ thuật của các tác nhân ác ý cũng đang phát triển với tốc độ tương tự để tiếp tục gây sát thương.

Vào năm 2019, thế giới đã trải qua một phương thức tấn công bằng ransomware mới - Mã độc tống tiền kép. Cuộc tấn công, do một nhóm độc hại- , nhắm mục tiêu đến Allied Universal, một công ty bảo mật. 10% dữ liệu bị đánh cắp từ công ty bảo mật sau đó đã được công khai như một lời cảnh báo từ các tác nhân đe dọa về việc không tuân thủ. Nhóm Maze cũng đòi 3,5 triệu USD tiền chuộc, nếu không họ sẽ làm rò rỉ 90% dữ liệu còn lại.

Năm 2020 Cũng chứng kiến các nhóm độc hại như REvil, Ragnar-lock và Lock bit gia nhập Maze để tham gia vào việc khai thác thành công và tàn phá các doanh nghiệp. Đã có, hơn đã trở thành nạn nhân của chiến thuật này, chi phí khoảng và dự kiến trị giá 265 tỷ đô la vào năm 2031. Một trong những công ty là Cognizant, một nhà cung cấp dịch vụ CNTT lớn. Công ty đã mất khoảng 70 triệu đô la Mỹ cho , một trong những vụ gây chết người nhiều nhất trong lịch sử.

Tấn công bằng mã độc tống tiền kép là gì

Trong một cuộc tấn công bằng mã độc tống tiền Double, các phần mềm độc hại có quyền truy cập trái phép vào mạng để trích xuất và mã hóa dữ liệu với hy vọng được thanh toán tiền chuộc. Trái ngược với cuộc tấn công ransomware đơn thuần, phương pháp này làm giảm tác dụng của dữ liệu đã sao lưu. Những kẻ tấn công hiện tận dụng dữ liệu trích xuất để gây áp lực cho nạn nhân. Họ có thể đi xa như xuất bản dữ liệu hoặc bán cho đối thủ cạnh tranh nếu nạn nhân từ chối tuân thủ.

Tống tiền nhân đôi với kết quả không thể tha thứ khi thực hiện thành công. Nạn nhân có thể phải đối mặt với tổn thất tài chính trước các tác nhân đe dọa hoặc sự tuân thủ và làm xấu mặt công chúng.

Năm 2022, thủ đoạn tấn công này vẫn đang gia tăng. Theo , lĩnh vực chăm sóc sức khỏe có mức tăng gấp đôi tống tiền 650%, trong khi dịch vụ ăn uống tăng 450%. Ngoài ra, các lĩnh vực khác cũng dễ bị tấn công bởi cuộc tấn công này và mức phí tiếp tục tăng cao với sự tham gia của RAAS.

Tấn công bằng mã độc tống tiền kép hoạt động như thế nào

Cuộc tấn công bằng ransomware tống tiền kép bắt đầu như một cuộc tấn công thụ động sau đó chuyển thành một cuộc tấn công chủ động tàn phá như Mã hóa dữ liệu và DDOS. Chuỗi các cuộc tấn công này bắt đầu với một quá trình mà kẻ tấn công phải có quyền truy cập vào hệ thống của công ty thông qua bất kỳ vectơ tấn công nào.

Các vectơ tấn công có thể là kỹ thuật xã hội hoặc lập trình, bao gồm lừa đảo, bạo lực trên máy chủ Máy tính để bàn từ xa, phần mềm độc hại, khai thác lỗ hổng, v.v.

Sau khi diễn viên có được quyền truy cập vào hệ thống, anh ta tiến hành một cuộc tấn công do thám thông qua chuyển động bên. Ở giai đoạn này, nó vẫn là một cuộc tấn công bị động vì tác nhân đang giả dạng người dùng ban đầu để thoát khỏi sự phát hiện và thu được thông tin có giá trị cho cuộc tấn công tiềm năng của họ.

Khi tác nhân độc hại đã thu thập được dữ liệu có giá trị, anh ta tách dữ liệu ra và triển khai mã độc để mã hóa dữ liệu.

Tác động của cuộc tấn công bằng mã độc tống tiền gấp đôi đối với doanh nghiệp

Nhóm IB, trong báo cáo của họ, , cho biết rằng cuộc tấn công bằng mã độc tống tiền kép có mức tăng thiệt hại khoảng 935%. Tác động của những thiệt hại này đối với các công ty bị ảnh hưởng có thể rất lớn, tùy thuộc vào quy mô của họ. Hơn nữa, khung thời gian phục hồi của các doanh nghiệp này phụ thuộc vào tốc độ phản hồi của họ và độ sâu của cuộc tấn công.

Diện mạo thương hiệu

Doanh nghiệp có nguy cơ mất mặt thương hiệu vì rò rỉ dữ liệu và DDOS. Travelex, một công ty du lịch, đã chứng kiến danh tiếng của mình đi xuống vào đêm giao thừa của năm 2019.

Sau khi làm gián đoạn các dịch vụ của họ, khiến khách hàng bị mắc kẹt, REvil cũng đe dọa sẽ công bố dữ liệu bị lọc ra nếu công ty từ chối trả tiền chuộc. Cuộc tấn công kép ransomware tống tiền ở đây đang hoành hành vì ngay cả khi Travelex tuân thủ khôi phục dịch vụ và ngăn chặn rò rỉ dữ liệu, việc vi phạm tính bảo mật và DDOS đã làm hỏng danh tiếng của họ.

Mất tiền

Các doanh nghiệp phụ thuộc vào dữ liệu được sao lưu để tránh mất nhiều tiền cho các sự kiện ransomware. Tuy nhiên, khả năng điều này vẫn rất hiệu quả là rất thấp trong trường hợp tống tiền kép.

Những kẻ tấn công hiện tận dụng dữ liệu đã được lọc; Các công ty bị tấn công sẽ được yêu cầu trả tiền chuộc, trị giá hàng triệu đô la hoặc bị rò rỉ thông tin nhạy cảm của họ trong phạm vi công cộng. Với dữ liệu có giá trị của các công ty này được công bố rộng rãi, họ có thể tích lũy các khoản phạt nặng về tuân thủ, như đối với .

Hơn thế nữa, các doanh nghiệp không tuân theo nhu cầu có nguy cơ mất giá trị cổ phiếu của họ khi chúng bị bán khống. Theo cố vấn bộ phận không gian mạng của FBI- , phương pháp này được giới thiệu vào năm 2020 bởi một thành viên Revil Ransomware trong một diễn đàn về hack. Và những kẻ tấn công đang không ngừng sử dụng phương tiện này để tạo điều kiện cho việc tống tiền. Do đó, các tổ chức chắc chắn sẽ mất số tiền lớn khi họ trải qua hình thức tấn công này.

Lỗ hổng bảo mật của các liên kết bên thứ ba

Vì những kẻ tấn công có toàn quyền truy cập vào mạng doanh nghiệp, nên chúng có thể nâng cao quyền truy cập của mình vào các đối tác và dữ liệu người tiêu dùng. Với điều này, các tác nhân đe dọa có thể lấy đi những dữ liệu này và đòi tiền chuộc từ các đối tác hoặc người tiêu dùng.

Một ví dụ về sự kiện này là trong trường hợp Những bệnh nhân bị truy cập dữ liệu cần phải trả tiền chuộc. Một sự kiện khác là nơi để trả 50 triệu đô la tiền chuộc. Thật khó khăn cho Apple vì sự xâm phạm thông tin quý giá của họ với Quanta Computer Inc.

Mức độ phổ biến của các cuộc tấn công bằng mã độc tống tiền gấp đôi

Việc sử dụng phương pháp tống tiền kép đã tăng gấp ba lần vì nó đã thành công như thế nào. ghi nhận về mức tăng đột biến 106% trong việc lọc dữ liệu và tỷ lệ thành công đối với những kẻ tấn công là 60% vào năm 2022. Tỷ lệ cược đang nghiêng về các phần tử độc hại và không doanh nghiệp nào không bị tấn công hoặc bị tấn công lần nữa.

Mất nhân viên có giá trị

Hậu quả bất chính của vụ việc này có thể đảm bảo rằng một doanh nghiệp mất đi hầu hết các nhân viên quý giá của mình. Theo 2022 , 40% doanh nghiệp bị mất nhân sự vì họ bị sa thải hoặc từ chức sau một cuộc tấn công.

Một số doanh nghiệp lớn và nhỏ mất nhân viên vì họ không đủ tiền trả lương sau một khoản lỗ đáng kể. Trong một số trường hợp, việc mất tiền cao là do những kẻ tấn công yêu cầu số tiền chuộc gấp đôi.

Mặt khác, nó có thể xảy ra vì cổ phiếu của họ giảm sau khi tiếp xúc với thông tin quan trọng trên các nền tảng như NASDAQ.

Giảm thiểu cuộc tấn công bằng mã độc tống tiền kép

Với sự gia tăng gấp đôi các cuộc tấn công bằng ransomware tống tiền, bạn không cần phải đợi cho đến khi hậu tấn công trước khi hành động. Sự chủ động là cách tốt nhất để chống lại cuộc tấn công này. Mặc dù nó có thể không loại bỏ cơ hội xâm nhập vào doanh nghiệp, nhưng nó giảm thiểu cơ hội. Ngoài ra, nó giảm thiểu tổn thất trong trường hợp vi phạm.

Áp dụng chính sách Zero Trust

Doanh nghiệp cho phép các cá nhân có được quyền truy cập đặc quyền vào mạng của họ, ngay cả những khu vực nhạy cảm nhất. Khi điều này xảy ra, họ đặt kiến trúc vào một vị trí dễ bị tấn công bởi ransomware.

Doanh nghiệp phải thực hành chính sách không tin cậy bằng cách hạn chế quyền truy cập vào mạng của họ. Họ phải xem tất cả các yếu tố trong mạng của họ, bao gồm cả những người trong cuộc, là một mối đe dọa có thể xảy ra. Cần phải xác thực bắt buộc các phần tử trước khi cấp quyền truy cập.

Một khuyến nghị khác là tạo một phân đoạn mạng cho tất cả các quyền truy cập được cấp. Cách làm này sẽ hạn chế sự lây lan của phần mềm độc hại.

Mã hóa dữ liệu

Điểm áp lực đối với những kẻ độc hại sử dụng chuỗi tấn công này là chúng đã lấy sạch dữ liệu của bạn và có thể xuất bản nó nếu bạn từ chối trả tiền chuộc. Tuy nhiên, doanh nghiệp có thể đi trước một bước bằng cách mã hóa dữ liệu của họ ngay từ đầu.

Bằng cách mã hóa dữ liệu của bạn, bạn đã từ chối quyền truy cập của tác nhân độc hại vào dữ liệu của bạn, do đó, làm giảm khả năng thương lượng của anh ta. Tác nhân đe dọa không còn có thể đe dọa khi bị rò rỉ dữ liệu; điều tồi tệ nhất mà anh ta có thể làm là mã hóa gấp đôi dữ liệu của bạn.

Sao lưu ngoại tuyến

Mã độc kép đã làm cho sao lưu ngoại tuyến xuất hiện như một tùy chọn kém hiệu quả hơn để giảm thiểu các hành động độc hại. Tuy nhiên, sao lưu ngoại tuyến có thể cứu công ty của bạn khỏi những thiệt hại nếu bạn thực hành mã hóa dữ liệu. Bằng cách này, ngay cả khi những kẻ tấn công mã hóa gấp đôi dữ liệu của bạn, bạn có thể quay trở lại dữ liệu đã sao lưu ngoại tuyến.

Giáo dục nhân viên

Sự xuất hiện của covid 19 đã chứng kiến tỷ lệ việc làm từ xa tăng vọt. Giờ đây, nhiều nhân viên hơn có thể truy cập các mạng nhạy cảm thông qua bộ định tuyến bên ngoài. Mặc dù sự phát triển này làm cho cuộc sống của người lao động trở nên dễ dàng hơn, nhưng nó lại tạo ra nhiều lỗ hổng hơn cho người sử dụng lao động của họ.

Những kẻ tấn công tận dụng sự thiếu hiểu biết của một số nhân viên để khai thác lợi ích của họ. Ngay cả nhân viên cũng có thể là một mối đe dọa không chủ ý; Tuy nhiên, điều này có thể được ngăn chặn bằng sự nhạy cảm. Khuyến nghị dành cho các doanh nghiệp tăng cường nhận thức nội bộ về các cuộc tấn công ransomware và tác động của nó.

Đánh giá mạng của bạn và vá lỗ hổng bảo mật

Doanh nghiệp đánh giá các lỗ hổng trong mạng của họ theo hai cách, tùy thuộc vào quy mô cơ sở hạ tầng của họ. Họ có thể tiến hành đánh giá hoặc mô phỏng lỗ hổng bằng bút thử nghiệm. Với điều này, họ có thể phát hiện ra bất kỳ lỗ hổng bảo mật và cấu hình sai nào khiến cuộc tấn công tiềm ẩn dễ dàng xảy ra.

Điều quan trọng là phải nhanh chóng vá tất cả các lỗ hổng và tiến hành cập nhật bảo mật cần thiết, nếu không mọi nỗ lực đều vô ích, như trường hợp của Travelex. Trước cuộc tấn công REvil, Kevin Beaumount, một nhà nghiên cứu bảo mật, đã tuyên bố rằng kể từ tháng 8 năm 2019. Tuy nhiên, Travelex đã miễn cưỡng sửa chữa nó, do đó, sự sụp đổ của họ.

Nhật ký dữ liệu giám sát

Doanh nghiệp có thể quan sát các hoạt động gói tin trong hệ thống mạng của mình bằng các công cụ sẽ cảnh báo khi có điều gì bất thường xảy ra. Bằng cách theo dõi nhật ký dữ liệu, bạn có thể phát hiện ngay một cuộc tấn công bằng phần mềm độc hại và loại bỏ nó trước khi nó leo thang.

Sự kết luận

Trong khi các doanh nghiệp và chuyên gia an ninh mạng đang cố gắng hết sức để bảo mật cơ sở hạ tầng của họ, thì những kẻ tấn công Ransomware đang nỗ lực gấp đôi để khiến công việc trở nên tẻ nhạt.

Bên cạnh tống tiền gấp đôi, các chiến thuật khác được những kẻ tấn công ransomware sử dụng bao gồm tống tiền gấp ba và tống tiền gấp bốn lần. Các chuyên gia an ninh mạng phải cập nhật kiến thức và kỹ năng của họ để chống lại vấn đề này.

Ngoài ra, các doanh nghiệp nên có chủ đích và chuyên tâm hơn đối với cơ sở hạ tầng an ninh của họ. Họ phải nắm bắt các xu hướng bảo mật gần đây và thực hiện chúng trong tổ chức của họ.