Trong những năm gần đây, mã độc tống tiền cl0p đã trở thành mối đe dọa bảo mật mạng lớn, gây thiệt hại đáng kể cho nhiều tổ chức và ngành nghề trên toàn thế giới. Mặc dù các cuộc tấn công của virus cl0p thường hoạt động theo cách tương tự như các cuộc tấn công bằng mã độc tống tiền khác, vẫn có một số khác biệt cụ thể.
Nhưng chính xác thì mã độc tống tiền cl0p là gì và những cuộc tấn công này diễn ra như thế nào? Và có lẽ quan trọng hơn, các tổ chức có thể làm gì để giảm thiểu nguy cơ trở thành nạn nhân của những cuộc tấn công có thể gây ra hậu quả tài chính đáng kể này?
Lịch sử ngắn gọn của mã độc tống tiền CL0P
Cl0p – đôi khi được viết là cl0p, với số không – là một loại mã độc tống tiền hoặc phần mềm độc hại tống tiền. Mặc dù không hoàn toàn giống như CryptoMix, mã độc tống tiền cl0p được cho là mô phỏng theo phần mềm độc hại này xuất hiện trước nó. Tuy nhiên, hiện nay trojan đã trải qua nhiều lần biến đổi và các phiên bản mới nhanh chóng thay thế các phiên bản trước đó.
Cl0p được các nhà nghiên cứu bảo mật phát hiện vào tháng 2 năm 2019 sau một cuộc tấn công giả mạo có chủ đích lớn. Đó là – và tiếp tục là – một mối đe dọa bảo mật mạng lớn đối với tất cả các loại hình doanh nghiệp và tổ chức vì cách nó phá hỏng các tập tin trên thiết bị của nạn nhân và tống tiền các thanh toán tài chính. Trên thực tế, người ta tin rằng bằng cách sử dụng phần mềm độc hại chuyên dụng, nhóm mã độc tống tiền cl0p đã tống tiền các tập đoàn năng lượng toàn cầu, một số trường đại học lớn, BBC, Hãng hàng không Anh và nhiều cơ quan chính phủ khác.
Năm 2020, nhóm mã độc tống tiền cl0p đã thực hiện một cuộc tấn công nhằm khai thác lỗ hổng bảo mật trong mạng nội dung riêng tư của Kiteworks (trước đây là Accellion) để nhắm mục tiêu vào các máy khách của nền tảng này và xâm nhập vào mạng của họ – mặc dù bản thân phần mềm độc hại cl0p không được triển khai trong cuộc tấn công này. Cùng thời gian đó, những kẻ tạo ra trojan cl0p đã phát động một chương trình tống tiền kép, làm rò rỉ dữ liệu bị đánh cắp từ một công ty dược phẩm trong một cuộc tấn công có sức tàn phá lớn.
Tiếp theo là các cuộc tấn công năm 2021 vào SolarWinds, một công ty phần mềm cung cấp dịch vụ quản lý CNTT cho nhiều doanh nghiệp và Swire Pacific Offshore, một nhà cung cấp dịch vụ hàng hải có trụ sở tại Singapore.
Năm 2023, hoạt động của Clop tăng đột biến so với những năm trước. Từ tháng 1 đến tháng 6 năm 2023, trojan đã được sử dụng để tấn công các nạn nhân ở nhiều ngành nghề khác nhau, dẫn đầu là dịch vụ kinh doanh, tiếp theo là phần mềm và tài chính. Nhiều nạn nhân đến từ Bắc Mỹ và Châu Âu, trong đó Hoa Kỳ là nơi có số vụ tấn công cao nhất với biên độ đáng kể.
Quy mô của cuộc tấn công rất lớn, với hơn 2.000 tổ chức báo cáo sự cố, ảnh hưởng đến hơn 62 triệu cá nhân bị rò rỉ dữ liệu, chủ yếu ở Hoa Kỳ.
Chuỗi các cuộc tấn công bằng mã độc tống tiền của nhóm Cl0p thông qua lỗ hổng bảo mật phần mềm truyền tập tin MOVEit (CVE-2023-34362) đã đạt đến đỉnh điểm: những kẻ tấn công tuyên bố đã xâm nhập vào hàng trăm công ty và đưa ra tối hậu thư cho đến ngày 14 tháng 6. Zero-day cho phép tải xuống hàng loạt dữ liệu của các tổ chức, bao gồm nhiều thông tin bí mật. Cơ quan thực thi pháp luật Hoa Kỳ đã quyết định treo thưởng 10 triệu đô la cho thông tin liên quan đến Cl0p.
Cl0p là gì?
Vậy, cl0p là gì? Phân tích mã độc tống tiền cl0p cho thấy đây là một biến thể của mã độc tống tiền CryptoMix. Giống như phần mềm độc hại mà nó dựa theo, virus cl0p lây nhiễm vào thiết bị mục tiêu. Tuy nhiên, trong trường hợp này, mã độc tống tiền đổi tên tất cả các tập tin bằng phần mở rộng .cl0p, mã hóa chúng và khiến chúng không thể sử dụng được.
Portable ExecutableĐể thực hiện hiệu quả các cuộc tấn công, mã độc tống tiền cl0p tuân theo định dạng tập tin thực thi Win32 PE (Portable Executable). Điều quan trọng, các nhà nghiên cứu đã phát hiện ra các tập tin thực thi virus cl0p có chữ ký được xác minh, giúp nó có vẻ ngoài hợp pháp và giúp phần mềm độc hại này tránh bị phần mềm bảo mật phát hiện. Sau đó, cl0p mã hóa các tập tin bằng bộ mã hóa luồng RS4 và sử dụng RSA 1024 để mã hóa khóa RC4. Tất cả các tập tin trên thiết bị đều có nguy cơ bị lây nhiễm loại mã độc tống tiền này, bao gồm các hình ảnh, video, nhạc và tài liệu.
Sau khi mã hóa các tập tin, virus cl0p sẽ đưa ra một khoản tiền chuộc từ kẻ tấn công đến nạn nhân. Nếu nạn nhân không trả khoản tiền chuộc này, kẻ tấn công đe dọa làm rò rỉ dữ liệu từ các tập tin này. Đây là cái được gọi là “tống tiền kép” vì sử dụng chiến thuật hai lớp là hiển thị các tập tin của nạn nhân và đe dọa rò rỉ dữ liệu công khai. Nạn nhân thường được yêu cầu trả khoản tiền chuộc bằng Bitcoin hoặc một loại tiền điện tử khác.
Ai là người đứng sau mã độc tống tiền cl0p?
Nhưng mã độc tống tiền cl0p là ai? Người ta tin rằng mã độc tống tiền cl0p được phát triển bởi một nhóm tội phạm mạng nói tiếng Nga chuyên cung cấp mã độc tống tiền dưới dạng dịch vụ, chủ yếu nhằm mục đích kiếm lợi nhuận. Nhóm này thường được biết đến là TA505, mặc dù tên này thường được sử dụng thay thế cho tên FIN11. Tuy nhiên, vẫn chưa hoàn toàn rõ ràng liệu chúng có phải là cùng một nhóm hay FIN11 có phải là tập hợp con của TA505 hay không.
Bất kể gọi bằng tên nào thì băng đảng mã độc tống tiền cl0p này vận hành sản phẩm của chúng theo mô hình mã độc tống tiền dưới dạng dịch vụ. Do đó, virus cl0p có thể được bán trên web tối và về mặt kỹ thuật, bất kỳ tội phạm mạng nào sẵn sàng trả tiền cho mã độc tống tiền này đều có thể sử dụng chúng.
Mã độc tống tiền cl0p: Cách thức hoạt động của nó
Về cơ bản, nhóm mã độc tống tiền cl0p thực hiện các cuộc tấn công của chúng theo một quy trình gồm nhiều bước. Đó là:
- Kẻ tấn công sử dụng phần mềm độc hại để giành quyền truy cập vào thiết bị mục tiêu bằng các phương thức khác nhau.
- Sau đó, chúng tiến hành do thám thiết bị theo cách thủ công và đánh cắp dữ liệu mà chúng muốn.
- Lúc này, chúng khởi chạy trình mã hóa để khóa các tập tin trên thiết bị mục tiêu bằng cách thay đổi phần mở rộng của tập tin, khiến nó không thể sử dụng được. Gần đây hơn, giống như trường hợp các vụ tấn công năm 2023 thông qua phần mềm truyền tập tin MOVEit, dữ liệu đã bị đánh cắp mà không cần mã hóa tập tin.
- Khi nạn nhân cố gắng mở một trong những tập tin được mã hóa, họ sẽ nhận được một thông báo đòi tiền chuộc kèm hướng dẫn về cách thực hiện thanh toán.
- Kẻ tấn công sử dụng “tống tiền kép”, đe dọa sẽ làm rò rỉ dữ liệu được đánh cắp từ thiết bị của nạn nhân nếu họ không trả tiền chuộc.
- Nếu nạn nhân trả tiền chuộc, họ sẽ nhận được khóa giải mã để khôi phục các tập tin trên thiết bị của họ.
Kẻ tấn công sử dụng nhiều phương thức khác nhau để phát tán mã độc tống tiền cl0p vào các thiết bị mục tiêu. Những điều này có thể bao gồm:
- Giả mạo (sử dụng các kỹ thuật công nghệ xã hội)
- Khai thác các lỗ hổng bảo mật của phần mềm
- Các tập tin đính kèm email và các đường liên kết bị lây nhiễm
- Các trang web bị nhiễm
- Xâm phạm các dịch vụ từ xa bên ngoài
Bất kể chúng chọn phương pháp nào để đưa trojan cl0p vào thiết bị mục tiêu thì về cơ bản, cuộc tấn công sau đó diễn ra theo cách giống nhau. Mục đích luôn là nhận được tiền chuộc từ nạn nhân. Tuy nhiên, trong nhiều trường hợp, kẻ tấn công nhận thanh toán và không phản hồi. Trong những trường hợp này, nạn nhân không nhận được khóa giải mã và không thể lấy lại quyền truy cập vào tập tin của họ.
Ngăn chặn mã độc tống tiền CL0P
Điều quan trọng là tất cả người dùng thiết bị phải tuân thủ các quy định về an toàn máy tính cơ bản để tránh bị lây nhiễm cl0p. Nhìn chung, đây là những nguyên tắc tương tự được áp dụng để ngăn chặn tất cả các loại tấn công mạng, chẳng hạn như:
- Đưa các mối đe dọa của phần mềm độc hại vào chương trình đào tạo nhận thức về bảo mật của tổ chức để đảm bảo rằng nhân viên luôn cập nhật về các mối đe dọa mới nhất và các biện pháp phòng ngừa – Kaspersky Automated Security Awareness Platform (Nền tảng nhận thức bảo mật tự động của Kaspersky) có thể là một công cụ hữu ích.
- Bảo vệ dữ liệu của công ty, bao gồm hạn chế quyền kiểm soát truy cập.
- Không truy cập các dịch vụ máy tính để bàn từ xa bằng các mạng công cộng – nếu cần, hãy sử dụng các mật khẩu mạnh cho những dịch vụ này.
- Luôn sao lưu dữ liệu và lưu trữ nó ở một vị trí riêng biệt, chẳng hạn như trên bộ nhớ đám mây hoặc các ổ đĩa ngoài ở các văn phòng hỗ trợ.
- Luôn cập nhật tất cả phần mềm và ứng dụng, bao gồm hệ điều hành và phần mềm máy chủ, để đảm bảo các bản vá bảo mật mới nhất được cài đặt – điều đặc biệt quan trọng là phải cài đặt ngay các bản vá cho các giải pháp VPN thương mại cho phép nhân viên truy cập từ xa vào mạng của tổ chức; việc lên lịch cập nhật và cài đặt tự động ngoài giờ làm việc có thể hữu ích ở đây.
- Luôn cập nhật các báo cáo tình báo về mối đe dọa mới nhất.
- Sử dụng các giải pháp phần mềm như Kaspersky Endpoint Detection hoặc Kaspersky Managed Detection and Response Service để phát hiện sớm mối đe dọa nhằm xác định và ngăn chặn các cuộc tấn công ở giai đoạn sớm.
- Sử dụng các giải pháp bảo mật điểm cuối đáng tin cậy – Kaspersky Endpoint Security for Business kết hợp tính năng ngăn chặn khai thác, phát hiện hành vi bằng AI và thông tin về mối đe dọa của chuyên gia, giảm bề mặt tấn công và công cụ khắc phục có thể hoàn tác các hành động độc hại.
Đối phó với virus mã độc tống tiền CL0P
Khi một thiết bị đã bị lây nhiễm virus cl0p, rất tiếc, khó có cách nào có thể lấy lại quyền truy cập vào các tập tin trên thiết bị. Giống như bất cứ loại tấn công bằng mã độc tống tiền nào, lời khuyên chung là không trả tiền chuộc mà kẻ xấu yêu cầu. Đó là vì những kẻ tấn công thường không cung cấp khóa giải mã sau khi nhận được khoản tiền chuộc. Kể cả khi chúng làm điều đó, sự thành công của cuộc tấn công sẽ khiến chúng tự tin và khuyến khích chúng tiếp tục các cuộc tấn công này vào những nạn nhân thiếu cảnh giác khác.
Thay vì trả tiền chuộc, thường cách tốt nhất là liên hệ với nhà chức trách để báo cáo về vụ tấn công và bắt đầu một cuộc điều tra. Bạn cũng có thể sử dụng một trong nhiều phần mềm có sẵn phổ biến để quét thiết bị và loại bỏ mã độc tống tiền CL0P. Tuy nhiên, việc này không khôi phục các tập tin đã bị mã hóa trong cuộc tấn công. Do đó, điều quan trọng là phải thường xuyên tạo các bản sao lưu và lưu trữ chúng ở một vị trí riêng biệt – chẳng hạn như ổ đĩa ngoài hoặc trên đám mây – để chúng vẫn khả dụng trong trường hợp bị tấn công.
Sự thận trọng luôn là điều cần thiết khi nói đến sự an toàn của máy tính. Điều quan trọng là bạn cần chú ý khi duyệt internet và tải xuống, cài đặt và cập nhật phần mềm.
Mối đe dọa của Cl0p
Mã độc tống tiền cl0p, giống như các loại virus và phần mềm độc hại khác, là mối đe dọa bảo mật mạng dai dẳng trong một xã hội chủ yếu là kỹ thuật số hiện nay. Virus cl0p là một mối đe dọa rất cụ thể trong vô số các phần mềm độc hại tống tiền, nhưng lại là mối lo ngại đặc biệt đối với các doanh nghiệp và tổ chức. Mặc dù nó có thể gây hậu quả nghiêm trọng cho nạn nhân, vẫn có một số biện pháp phòng ngừa và bảo vệ có thể thực hiện để cố gắng giảm thiểu nguy cơ bị cl0p tấn công hoặc giảm thiểu tác động trong trường hợp bị tấn công.
Các sản phẩm và dịch vụ liên quan:
