4 lỗ hổng ransomware hàng đầu khiến công ty của bạn gặp nguy hiểm

VSEC - BLOG Xu hướng thế giới mạng

Vào năm 2023, bạn có thể chia các tổ chức thành hai loại: những tổ chức đã bị tấn công bởi mã độc tống tiền và những tổ chức sẽ sớm bị tấn công. Tình hình an ninh mạng hiện nay giống như một cuộc chạy đua vũ trang mạng đang diễn ra giữa các nhóm ransomware và các chuyên gia an ninh mạng. Khi các nhóm ransomware trở nên tinh vi hơn, các chuyên gia an ninh mạng sẽ làm việc để phát triển các công cụ và chiến lược mới để chống lại chúng. Trò chơi mèo vờn chuột này là một cuộc chiến tiêu hao không hồi kết mà không có người chiến thắng rõ ràng. Tuy một số khía cạnh của tình huống có thể nằm ngoài tầm kiểm soát của nhóm CNTT, nhưng vẫn có vô số biện pháp phòng ngừa có thể được thực hiện để giảm thiểu rủi ro bị tấn công bằng mã độc tống tiền hoặc tác hại mà một cuộc tấn công thành công có thể gây ra.

Theo nghiên cứu từ Securin, vẫn còn hàng trăm lỗ hổng bảo mật đã bị các tổ chức để lộ. Dưới đây là tóm tắt nhanh về bốn loại lỗ hổng phổ biến nhất mà các tổ chức nên đề phòng.

1) Lỗ hổng cho phép kẻ xâm nhập vào mạng

Theo nghiên cứu của Securin, các dịch vụ như dịch vụ từ xa bên ngoài, VPN và ứng dụng công khai chứa 133 lỗ hổng liên quan đến ransomware có thể bị khai thác để truy cập ban đầu.

Các dịch vụ từ xa bên ngoài đề cập đến các dịch vụ như Windows Server Message Block (SMB) hoặc Giao thức Máy tính Từ xa của Microsoft. Các dịch vụ này đã trở nên phổ biến hơn kể từ khi đại dịch bùng phát và sự gia tăng của hình thức làm việc tại nhà (WFH). Chúng có thể rất dễ bị tấn công, vì một số chứa đầy cấu hình sai hoặc cách khai thác mà tội phạm mạng đã biết. Ví dụ: cuộc tấn công ransomware WannaCry năm 2017 – một trong những cuộc tấn công lớn nhất trong lịch sử – đã khai thác lỗ hổng SMB. Có nhiều lỗ hổng khác vẫn chưa được xử lý: chẳng hạn như lỗ hổng Log4Shell, ảnh hưởng đến 176 sản phẩm từ 21 nhà cung cấp và đã bị khai thác bởi sáu nhóm ransomware, bao gồm Conti và AvosLocker.

2) Lỗ hổng yêu cầu hành động của người dùng

Điều quan trọng cần lưu ý là ‘lỗ hổng’ không chỉ đề cập đến các sự cố với phần mềm hoặc phần cứng mà còn đề cập đến lỗi của người dùng. Trên thực t, một tỷ lệ lớn các cuộc tấn công ransomware có thể được xác định chính xác là do điều đó. Các tác nhân đe dọa ransomware có kỹ năng xã hội cao để đạt được mục tiêu của chúng: giả sử bằng cách giả làm bạn bè, đồng nghiệp hoặc sếp của mục tiêu. Điều này có thể khiến người dùng vô tình thực thi mã độc hại bằng cách mở các tệp đính kèm email, liên kết hoặc tệp có hại. Thật không may, khi người dùng ngày càng tinh vi hơn trong việc nhận thấy kỹ thuật xã hội, thì đến lượt những kẻ xấu lại tinh chỉnh các công cụ của chúng.

Vì đây là vấn đề của con người nên cần có phản ứng của con người để chống lại nó: cụ thể là đào tạo trực tiếp chuyên sâu và chu đáo, nơi các thành viên nhóm CNTT giải thích cho mọi người ở các bộ phận khác cách xác định mối đe dọa tiềm ẩn (và phải làm gì nếu họ vô tình cho phép ai đó vào hệ thống). Điều bắt buộc là các bộ phận CNTT phải luôn cập nhật các xu hướng kỹ thuật xã hội hiện tại và thường xuyên cập nhật cho tổ chức của họ về những điều cần chú ý.

3) Lỗ hổng cung cấp quyền truy cập nâng cao

Các lỗ hổng mà chúng ta đã thảo luận cho đến nay đã đề cập đến các kỹ thuật được tin tặc sử dụng để cố xâm nhập vào mạng của bạn. Thật không may, đó thường chỉ là bước một. Sau khi tin tặc đã khai thác các lỗ hổng để xâm nhập vào hệ thống của bạn, chúng có thể lợi dụng các lỗ hổng bổ sung—những lỗ hổng cho phép leo thang đặc quyền để thâm nhập sâu hơn vào mạng và thực thi phần mềm độc hại. Nói cách khác: nếu kẻ tấn công của bạn có hiểu biết đủ tinh vi về các lỗ hổng đang hoạt động trong hệ thống của bạn, họ có thể xâm nhập vào một tài khoản có quyền hạn chế và sử dụng hiểu biết đó để tự biến mình thành quản trị viên và có quyền truy cập vào thông tin nhạy cảm hơn.

Theo nghiên cứu của Securin đã nói ở trên, có 75 lỗ hổng liên quan đến phần mềm tống tiền có thể cho phép các tác nhân ransomware nâng cao đặc quyền và dễ dàng tạo điều kiện di chuyển ngang qua các miền của tổ chức, bao gồm lỗ hổng Nâng cao Đặc quyền CLFS của Windows và lỗ hổng Nâng cao Đặc quyền của Microsoft Exchange Server.

4) Lỗ hổng cho phép di chuyển lén lút

Càng ngày, chúng ta càng thấy những kẻ độc hại sử dụng các chiến thuật như vô hiệu hóa phần mềm bảo mật hoặc chặn thực thi tập lệnh để xâm nhập và di chuyển ngang qua các mạng dễ bị tấn công mà không bị nhận dạng. Một ví dụ nổi tiếng về điều này là bỏ qua Mark-of-the-web (T1553.005), mà các nhóm ransomware sử dụng để lạm dụng các định dạng tệp cụ thể và ghi đè các điều khiển.

Hay lấy ví dụ về BlackByte, một băng nhóm ransomware mới đáng kể mà FBI đã đưa ra cảnh báo vào năm ngoái. BlackByte đã được biết đến với một kỹ thuật, theo ZDNet , “cho phép các cuộc tấn công vượt qua sự phát hiện của các sản phẩm bảo mật bằng cách khai thác lỗ hổng trong hơn 1.000 trình điều khiển được sử dụng trong phần mềm chống vi-rút.” Vấn đề này—mà các nhà nghiên cứu mô tả là “Mang theo trình điều khiển của riêng bạn”—đề xuất một mặt trận mới quan trọng và đáng lo ngại trong cuộc chiến chống lại các cuộc tấn công của mã độc tống tiền.

Các cuộc tấn công ransomware đang gia tăng và ngày càng rõ ràng rằng mọi tổ chức, bất kể ngành nghề hay quy mô, đều có nguy cơ gặp rủi ro. Không ai có thể hy vọng tự bảo vệ mình khỏi các cuộc tấn công của ransomware một cách đầy đủ. Điều mà các tổ chức có thể làm là tránh những sai lầm dễ mắc phải—đào tạo nhân viên đúng cách, hiểu rõ hơn về các lỗ hổng trong hệ thống của họ và thực hiện các bước nghiêm túc để khắc phục chúng. Cuộc chiến chống lại phần mềm tống tiền có thể sẽ không sớm kết thúc, nhưng chúng ta có thể thực hiện các bước để hạn chế thương vong trên đường đi.

Theo Cyber Security 

Liên hệ