Ransomware LockBit đã quay trở lại và cách phòng tránh

LockBit đã quay trở lại với những phương thức tấn công mới và tinh vi hơn, gây ra những hậu quả nghiêm trọng.

Tìm hiểu sự trở lại của Ransomware LockBit và cách phòng tránh nhé!

I. Tổng quan về ransomware LockBit

LockBit là một loại phần mềm độc hại, một dạng tấn công mạng. Khi bị ransomware LockBit tấn công, dữ liệu của bạn bị mã hóa và phải trả 1 khoản tiền để được giải mã.

Tìm hiểu về mã độc Ransomware LockBit

Xem thêm:>>>Giải pháp bảo mật Website Ecommerce đảm bảo an toàn dữ liệu​<<<

Ransomware LockBit có tốc độ mã hóa cực nhanh và nhiễm độc lây lan trong các mạng lưới nội bộ mà không cần sự can thiệp của con người.

Mục tiêu: Ransomware LockBit chủ yếu nhắm vào các tổ chức và doanh nghiệp lớn, nơi có thể đòi được các khoản tiền chuộc lớn.

1. Kỹ thuật của Ransomware LockBit

• Exploits và Vulnerabilities: Tận dụng các lỗ hổng trong phần mềm và hệ điều hành để xâm nhập vào hệ thống.
• Phishing: Gửi các email lừa đảo để lừa người dùng tải xuống và chạy phần mềm độc hại.
• Remote Desktop Protocol (RDP) Brute Force: Tấn công vào các tài khoản RDP yếu hoặc không được bảo vệ tốt.

2. Ransomware LockBit trong quá khứ

Ransomware LockBit 1.0 (2019):

• Xuất hiện vào tháng 9 năm 2019, LockBit nhanh chóng được chú ý nhờ tốc độ mã hóa nhanh chóng và khả năng tự động lây lan trong mạng nội bộ.
• Sử dụng các kỹ thuật xã hội và email phishing để xâm nhập vào hệ thống nạn nhân.

Ransomware LockBit 2.0 (2021):

• Vào giữa năm 2021, LockBit phát hành phiên bản 2.0 với nhiều cải tiến, bao gồm tốc độ mã hóa nhanh hơn và khả năng tránh bị phát hiện tốt hơn.

Tìm hiểu các phiên bản của Ransomware LockBit

Xem thêm:>>> Neural Network – Mối đe dọa có thể che giấu phần mềm độc hại(Malware)<<<

• LockBit 2.0 cũng giới thiệu tính năng tống tiền kép, không chỉ mã hóa dữ liệu mà còn đánh cắp dữ liệu và đe dọa công bố công khai nếu nạn nhân không trả tiền chuộc.
• LockBit 2.0 đã gây ra nhiều cuộc tấn công lớn trên toàn cầu, bao gồm các tổ chức y tế, giáo dục và chính phủ.

Ransomware LockBit 3.0 (2023):

• Vào năm 2023, một phiên bản mới của LockBit được phát hiện, với nhiều cải tiến về kỹ thuật mã hóa và chiến thuật tấn công.
• LockBit 3.0 tiếp tục nhắm vào các tổ chức lớn, sử dụng các lỗ hổng bảo mật mới nhất để xâm nhập và mã hóa dữ liệu.
• Các cuộc tấn công của LockBit 3.0 trở nên tinh vi hơn, với khả năng mã hóa toàn bộ hệ thống trong thời gian ngắn và yêu cầu các khoản tiền chuộc lớn hơn.

II. Thiệt hại về sự trở lại Ransomware LockBit

1. Nội dung Ransomware LockBit

Theo báo cáo từ BleepingComputer, nhà điều hành dịch vụ ransomware-as-a-service đã thiết lập một địa chỉ .onion mới. Tại địa chỉ này, LockBit không chỉ liệt kê 5 nạn nhân mới cùng đồng hồ đếm ngược để rò rỉ dữ liệu mà còn gửi một thông điệp thách thức đến cơ quan thực thi pháp luật.

• Mặc dù trước đó công an đã vào cuộc và triệt phá được 1 cơ sở của Ransomware LockBit, chưa đầy 1 tuần sau, nhóm này đã trở lại và tiếp tục hoạt động phi pháp.

Và nhóm này đã tạo ra hình ảnh giả lập của FBI để tiến hành hoạt động thuận lợi hơn.

2. Nguyên nhân Ransomware LockBit

Nhà điều hành cho biết NCA chỉ gỡ bỏ các máy chủ chạy PHP, do đó các hệ thống sao lưu không sử dụng PHP sẽ không bị ảnh hưởng. 

• Cảnh báo đến từ nhà điều hành cho biết các máy chủ bảng trò chuyện và máy chủ blog đang sử dụng PHP 8.1.2, dễ bị tấn công bởi lỗ hổng bảo mật CVE-2023-3824, tạo điều kiện cho NCA xâm nhập và làm gián đoạn hoạt động.

Mã độc Ransomware LockBit tấn công an ninh mang

Xem thêm:>>>Top 12 Theme WordPress Thương Mại Điện Tử Tốt Nhất​<<<

Suy đoán đến từ cơ quan thực thi pháp luật đã tấn công Ransomware LockBit vì nhóm này đã lấy được thông tin nhạy cảm liên quan đến các phiên tòa của Donald Trump trong cuộc tấn công vào Quận Fulton hồi tháng 1 năm nay.Nếu dữ liệu bị rò rỉ, nó “có thể ảnh hưởng đến cuộc bầu cử sắp tới ở Mỹ”.

• Ransomware LockBit tuyên bố sẽ tấn công “khu vực .gov thường xuyên hơn” và kiểm tra khả năng bảo mật của hệ thống. 

NCA và các đối tác quốc tế đã thông báo đã gỡ bỏ trang web và cơ sở hạ tầng của Ransomware LockBit, bao gồm 34 máy chủ lưu trữ thông tin bị đánh cắp, bộ giải mã, thông tin về các chi nhánh, và nhiều thông tin khác.

III. Cách phòng tránh Ransomware LockBit

1. Biện pháp kỹ thuật

Cập nhật phần mềm và hệ điều hành vì:

• Ngăn chặn lỗ hổng bảo mật: Các lỗ hổng bảo mật mà tin tặc có thể lợi dụng để xâm nhập vào hệ thống được ngăn chặn.
• Tăng cường hiệu suất và tính năng bảo mật: Các bản cập nhật giúp hệ thống hoạt động ổn định và an toàn hơn.

Cách thiết lập cập nhật tự động:

• Windows Update: 

Trên hệ điều hành Windows, vào "Settings" -> "Update & Security" -> "Windows Update" và chọn "Check for updates". Thiết lập để hệ thống tự động tải xuống và cài đặt các bản cập nhật.

Thiết lập hệ thống phòng tránh mã độc

• MacOS Software Update: 

Trên macOS, vào "System Preferences" -> "Software Update" và chọn "Automatically keep my Mac up to date".

• Cập nhật phần mềm ứng dụng: 

Đảm bảo tất cả các phần mềm ứng dụng đều được cài đặt chế độ cập nhật tự động nếu có, hoặc thường xuyên kiểm tra và cập nhật thủ công.

Sử dụng phần mềm chống virus và phần mềm chống ransomware

• Kaspersky: Một trong những phần mềm bảo mật hàng đầu với tính năng chống virus và chống ransomware mạnh mẽ.
• Norton: Cung cấp bảo vệ toàn diện cho các thiết bị khỏi virus và ransomware.
• Bitdefender: Nổi tiếng với khả năng phát hiện và ngăn chặn ransomware hiệu quả.

Cách cấu hình và sử dụng hiệu quả:

• Cập nhật phần mềm thường xuyên
• Quét hệ thống định kỳ
• Kích hoạt bảo vệ thời gian thực: Phát hiện và ngăn chặn các mối đe dọa

Sao lưu dữ liệu thường xuyên

Các phương pháp sao lưu dữ liệu (local, cloud):

• Sao lưu thủ công: Sao lưu dữ liệu lên ổ cứng ngoài hoặc thiết bị lưu trữ nội bộ. Đảm bảo lưu trữ thiết bị này ở nơi an toàn và không kết nối liên tục với hệ thống.
• Sao lưu cloud (đám mây): Sử dụng các dịch vụ sao lưu đám mây như Google Drive, Dropbox, hoặc OneDrive để lưu trữ dữ liệu một cách an toàn và có thể truy cập từ bất kỳ đâu.

Lịch trình sao lưu và kiểm tra dữ liệu sao lưu:

• Lịch trình sao lưu: Thiết lập lịch trình sao lưu định kỳ (hàng ngày, hàng tuần) dựa trên tần suất thay đổi dữ liệu.
• Kiểm tra dữ liệu sao lưu: Định kỳ kiểm tra và xác nhận rằng các bản sao lưu có thể khôi phục được dữ liệu một cách chính xác và đầy đủ.

2. Biện pháp quản lý

Đào tạo nhân viên

Nội dung và hình thức đào tạo về an ninh mạng:

• Nhận diện email lừa đảo: Đào tạo nhân viên cách nhận diện email lừa đảo, liên kết độc hại, và các hành vi đáng ngờ.

Cung cấp kiến thức phòng tránh ransomware LockBit

• Thực hành tốt về mật khẩu: Hướng dẫn nhân viên tạo mật khẩu mạnh và không tái sử dụng mật khẩu.
• Cập nhật kiến thức an ninh mạng: Thường xuyên tổ chức các buổi huấn luyện và cập nhật kiến thức mới về an ninh mạng.

Chính sách bảo mật nội bộ

Xây dựng và thực thi chính sách bảo mật:

• Xác định và phân loại dữ liệu: Xác định các loại dữ liệu quan trọng và áp dụng các biện pháp bảo mật phù hợp.
• Chính sách truy cập: Xây dựng chính sách truy cập dựa trên vai trò, hạn chế quyền truy cập đối với các dữ liệu nhạy cảm.

Kiểm tra và đánh giá định kỳ:

• Kiểm tra hệ thống bảo mật: Thực hiện kiểm tra bảo mật định kỳ để phát hiện và khắc phục các lỗ hổng.
• Đánh giá hiệu quả chính sách: Đánh giá và cập nhật chính sách bảo mật dựa trên các thay đổi trong môi trường công nghệ và các mối đe dọa mới.

Quản lý truy cập

Cấp quyền truy cập dựa trên vai trò:

• Phân quyền rõ ràng: Chỉ cấp quyền truy cập cần thiết cho từng vai trò cụ thể trong tổ chức.
• Giám sát và quản lý truy cập: Theo dõi và ghi lại các hoạt động truy cập để phát hiện các hành vi bất thường.

Sử dụng xác thực đa yếu tố (MFA):

• Áp dụng MFA cho tất cả các tài khoản: Bắt buộc sử dụng xác thực đa yếu tố cho tất cả các tài khoản truy cập vào hệ thống quan trọng.
• Lựa chọn phương thức MFA phù hợp: Sử dụng các phương thức MFA như SMS, ứng dụng xác thực hoặc khóa bảo mật.

3. Phản ứng khi bị ransomware LockBit tấn công 

Bước 1: Phát hiện và cô lập

Cách nhận diện một cuộc tấn công ransomware:

• Dấu hiệu nhận biết: Các tệp tin bị mã hóa, xuất hiện thông báo đòi tiền chuộc, hệ thống hoạt động chậm bất thường.

Xử lý khi bị ransomware LockBit tấn công 

• Công cụ giám sát: Sử dụng các công cụ giám sát mạng và hệ thống để phát hiện sớm các hoạt động đáng ngờ.

Các bước cô lập hệ thống bị nhiễm:

• Ngắt kết nối: Ngay lập tức ngắt kết nối hệ thống bị nhiễm khỏi mạng để ngăn chặn sự lây lan.
• Thông báo cho bộ phận IT: Báo cáo ngay lập tức cho bộ phận IT hoặc đội ngũ an ninh mạng để xử lý.

Bước 2: Thông báo và hỗ trợ

Quy trình thông báo sự cố cho cơ quan chức năng:

• Liên hệ cơ quan chức năng: Thông báo sự cố cho cơ quan chức năng như CERT (Computer Emergency Response Team) hoặc các tổ chức an ninh mạng quốc gia.
• Báo cáo chi tiết: Cung cấp báo cáo chi tiết về sự cố, bao gồm thời gian, phương thức tấn công, và hậu quả.

Tìm kiếm hỗ trợ từ chuyên gia:

• Liên hệ với chuyên gia an ninh: Tìm kiếm sự hỗ trợ từ các chuyên gia an ninh mạng để đánh giá và khắc phục sự cố.
• Hợp tác với các tổ chức bảo mật: Tham gia vào các tổ chức bảo mật để nhận được các khuyến nghị và hỗ trợ trong việc khắc phục và phòng ngừa các mối đe dọa.

Bước 3. Khôi phục dữ liệu

Các phương pháp khôi phục từ bản sao lưu:

• Sử dụng bản sao lưu sạch: Khôi phục hệ thống từ các bản sao lưu không bị nhiễm để đảm bảo tính toàn vẹn của dữ liệu.
• Kiểm tra và xác minh: Sau khi khôi phục, kiểm tra và xác minh rằng hệ thống đã an toàn và không còn dấu vết của ransomware.

Cân nhắc về việc trả tiền chuộc:

• Rủi ro khi trả tiền chuộc: Không nên trả tiền chuộc vì không đảm bảo sẽ nhận được công cụ giải mã, và có thể khuyến khích tội phạm.
• Tìm giải pháp thay thế: Tìm kiếm các công cụ giải mã miễn phí từ các tổ chức an ninh mạng hoặc tham vấn chuyên gia để có các giải pháp khôi phục khác.

IV. Kết luận

Sự quay trở lại của ransomware LockBit cảnh báo về mối nguy hiểm tiềm ẩn đối với cả cá nhân và tổ chức.Để bảo vệ mình trước các cuộc tấn công này, việc áp dụng các biện pháp phòng tránh như cập nhật phần mềm, sử dụng phần mềm chống virus, sao lưu dữ liệu, đào tạo nhân viên và quản lý truy cập là vô cùng cần thiết.