Trong thế giới tội phạm mạng đen tối, mã độc tống tiền BlackCat đã nổi lên như một mối đe dọa đáng gờm và tinh vi. Đọc tiếp để tìm hiểu thêm về hoạt động bên trong của mã độc tống tiền BlackCat và cách bảo vệ chống lại nó.
Mã độc tống tiền BlackCat là gì?
Kể từ khi xuất hiện vào tháng 11 năm 2021, BlackCat, còn gọi là ALPHV hay ALPHV-ng, đã trở thành mối đe dọa đáng kể trong lĩnh vực mã độc tống tiền. Loại mã độc tống tiền này hoạt động theo hình thức mã độc tống tiền dưới dạng dịch vụ (RaaS) và được coi là một trong những hoạt động RaaS tinh vi nhất. BlackCat nổi bật với việc nó sử dụng ngôn ngữ lập trình Rust và chiến lược "tống tiền ba lần" đáng sợ.
Mã độc tống tiền BlackCat hoạt động như thế nào?
Mã độc tống tiền BlackCat hoạt động như một phần mềm độc hại, điểm khác biệt là nó sử dụng ngôn ngữ lập trình Rust một cách không chính thống. Khả năng thích ứng của nó mở rộng đến nhiều thiết bị mục tiêu và lỗ hổng bảo mật tiềm ẩn, thường phù hợp với các nhóm hoạt động đe dọa đã được thiết lập. BlackCat ác ở chỗ nó tiếp cận không ngừng – mã hóa dữ liệu của nạn nhân, đánh cắp dữ liệu và sử dụng chiến thuật "tống tiền ba lần" tàn nhẫn. Tống tiền ba lần không chỉ liên quan đến mối đe dọa làm lộ dữ liệu bị đánh cắp nếu tiền chuộc vẫn chưa được trả mà còn bao gồm khả năng đáng ngại là một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nếu không đáp ứng yêu cầu tiền chuộc.
Là một hoạt động mã độc tống tiền dưới dạng dịch vụ (RaaS), mô hình kinh doanh của BlackCat xoay quanh việc cho phép tội phạm mạng khác sử dụng mã độc tống tiền của chúng, tiến hành các chiến dịch riêng và bỏ túi một phần lợi nhuận đáng kể, vượt qua tiêu chuẩn của ngành là 70%. Sức hấp dẫn của BlackCat còn được tăng thêm nhờ các tùy chọn tùy chỉnh mở rộng, khiến kể cả các liên kết ít kinh nghiệm hơn cũng có khả năng thực hiện các cuộc tấn công tinh vi vào các tổ chức doanh nghiệp. Trong khi số tiền chuộc mà BlackCat yêu cầu thường lên tới hàng triệu đô la, việc thanh toán sớm có thể đảm bảo được giảm giá. Tuy nhiên, các tổ chức phải thận trọng khi cân nhắc việc thanh toán, vì thanh toán có thể vô tình tài trợ cho hoạt động tội phạm mà không có gì đảm bảo việc phục hồi tập tin.
Thông thường, thủ phạm BlackCat yêu cầu thanh toán bằng tiền điện tử như Bitcoin để đổi lấy khóa giải mã khó nắm bắt. Ngoài ra, nạn nhân còn phải đối mặt với các tin nhắn trên màn hình hướng dẫn họ cách gửi tiền chuộc và lấy khóa giải mã, tăng thêm áp lực của chiến dịch tống tiền.
Mã độc tống tiền BlackCat lây lan như thế nào?
Các phương thức tấn công chính của BlackCat bao gồm email bị lây nhiễm và các đường liên kết đến trang web độc hại, dụ người dùng thiếu cảnh giác vào bẫy. Một khi đã vào bên trong, độc lực của BlackCat khiến nó phát tán nhanh và rộng khắp trong toàn hệ thống.
Điểm khác biệt giữa BlackCat với các biến thể mã độc tống tiền khác là nó sử dụng ngôn ngữ lập trình Rust. Rust nổi bật nhờ có các thuộc tính đặc biệt, bao gồm tốc độ, tính ổn định, khả năng quản lý bộ nhớ vượt trội và khả năng vượt qua các phương thức phát hiện đã được thiết lập. Những đặc điểm này khiến nó trở thành công cụ hữu hiệu trong tay tội phạm mạng. Đáng chú ý, khả năng thích ứng của BlackCat còn mở rộng sang các nền tảng không phải Windows như Linux, vốn thường ít phải đối mặt với các mối đe dọa phần mềm độc hại hơn. Điều này đặt ra những thách thức đặc biệt cho các quản trị viên Linux có nhiệm vụ chống lại mối đe dọa đang phát triển này.
Tính linh hoạt của BlackCat được nhấn mạnh bởi tập tin cấu hình JSON, cho phép người dùng lựa chọn trong số bốn thuật toán mã hóa khác nhau, tùy chỉnh ghi chú tiền chuộc, chỉ định loại trừ cho tập tin, thư mục và tiện ích mở rộng, đồng thời xác định các dịch vụ và quy trình để chấm dứt, đảm bảo quá trình mã hóa liền mạch. Ngoài ra, khả năng cấu hình của BlackCat còn mở rộng sang việc sử dụng thông tin xác thực miền, tăng khả năng lan truyền sang các hệ thống khác.
BlackCat cũng đã mạo hiểm vượt ra khỏi ranh giới của web tối, thiết lập một trang web rò rỉ dữ liệu trên internet công cộng. Trong khi các nhóm khác thường vận hành các trang web này trên web tối để chứng minh các vi phạm dữ liệu và ép nạn nhân trả tiền chuộc, thì trang web công khai của BlackCat thay đổi trò chơi bằng cách cung cấp khả năng hiển thị cho nhiều đối tượng hơn, bao gồm khách hàng hiện tại và tiềm năng, cổ đông và phóng viên.
Nạn nhân điển hình của mã độc tống tiền BlackCat
Tương ứng với phương thức hoạt động của các mối đe dọa bằng mã độc tống tiền săn mồi lớn, nạn nhân điển hình của mã độc tống tiền BlackCat là các tổ chức lớn, được lựa chọn theo chiến lược nhằm tăng tối đa khoản tiền chuộc tiềm năng. Các báo cáo cho thấy số tiền chuộc được yêu cầu có sự thay đổi đáng kể, từ hàng trăm nghìn đến nhiều triệu đô la, được thanh toán bằng tiền điện tử.
Trong khi vẫn chưa chắc chắn số lượng nạn nhân chính xác, sự hiện diện đáng sợ của BlackCat được thể hiện rõ qua việc tiết lộ hơn hai mươi tổ chức bị nhắm mục tiêu trên trang web rò rỉ Tor của nhóm này. Những nạn nhân này đến từ nhiều ngành và quốc gia khác nhau, bao gồm Australia, Bahamas, Pháp, Đức, Ý, Hà Lan, Philippines, Tây Ban Nha, Vương quốc Anh và Hoa Kỳ. Các lĩnh vực bị ảnh hưởng bao gồm một phạm vi rộng, từ dịch vụ kinh doanh, xây dựng và năng lượng đến thời trang, tài chính, hậu cần, sản xuất, dược phẩm, bán lẻ và công nghệ.
Ví dụ về các cuộc tấn công bằng mã độc tống tiền BlackCat
Tháng 11 năm 2023 – Henry Schein
Vào tháng 11 năm 2023, mã độc tống tiền BlackCat đã nhắm vào tổ chức chăm sóc sức khỏe Henry Schein trong danh sách Fortune 500. Theo báo cáo, băng nhóm mã độc tống tiền, còn được gọi là ALPHV, tuyên bố đã đánh cắp 35TB dữ liệu và khởi động đàm phán với Henry Schein. Ban đầu, công ty đã nhận được khóa giải mã và bắt đầu khôi phục hệ thống, nhưng băng nhóm này đã mã hóa lại mọi thứ khi các cuộc đàm phán đổ vỡ. Tình hình leo thang khi băng nhóm này đe dọa sẽ công bố dữ liệu nội bộ, nhưng sau đó, chúng đã xóa dữ liệu khỏi trang web của mình, gợi ý về khả năng thỏa thuận. Cuộc tấn công xảy ra trước khi dữ liệu được đăng trực tuyến hai tuần, gây gián đoạn tạm thời cho hoạt động của Henry Schein. Công ty đã thực hiện các biện pháp phòng ngừa, báo cáo sự việc với cảnh sát và thuê các chuyên gia giám định để điều tra.
Tháng 8 năm 2023 – Tập đoàn Seiko
Tập đoàn Seiko xác nhận băng nhóm mã độc tống tiền BlackCat đã xâm phạm dữ liệu vào tháng 8 năm 2023, liên quan đến 60.000 hồ sơ bị lộ. Dữ liệu bị ảnh hưởng bao gồm hồ sơ khách hàng, các liên hệ giao dịch kinh doanh, chi tiết về ứng viên xin việc và thông tin nhân sự. Quan trọng là dữ liệu thẻ tín dụng vẫn an toàn. Để ứng phó, Seiko đã thực hiện một loạt các biện pháp bảo mật, chẳng hạn như chặn liên lạc với máy chủ bên ngoài, triển khai các hệ thống EDR và thực hiện xác thực đa yếu tố. Seiko xác nhận kế hoạch hợp tác với các chuyên gia bảo mật mạng để tăng cường bảo mật và ngăn ngừa các sự cố trong tương lai.
Cách bảo vệ chống lại các cuộc tấn công bằng mã độc tống tiền BlackCat
Việc bảo vệ hệ thống và dữ liệu của bạn khỏi mã độc tống tiền BlackCat cũng tương tự như các biện pháp bảo vệ được sử dụng để ngăn chặn các biến thể khác của mã độc tống tiền. Các biện pháp bảo vệ này bao gồm:
Đào tạo nhân viên:
Việc đào tạo nhân viên về chống mã độc tống tiền BlackCat và các mối đe dọa của phần mềm độc hại khác liên quan đến một số điểm chính sau:
- Nội dung đào tạo phải bao gồm xác định email giả mạo, một phương thức phát tán mã độc tống tiền phổ biến.
- Email giả mạo thường mạo danh các nguồn uy tín như ngân hàng hoặc công ty vận chuyển. Chúng có thể chứa các tập tin đính kèm hoặc các đường liên kết độc hại có thể cài đặt mã độc tống tiền.
- Thận trọng khi xử lý email từ những người gửi không xác định và tránh các bản tải xuống trái phép là điều rất quan trọng.
- Các nhân viên phải cập nhật phần mềm và các chương trình diệt virus và biết cách báo cáo các hoạt động đáng ngờ cho nhân viên CNTT hoặc nhân viên bảo mật.
- Thường xuyên đào tạo nhận thức về bảo mật giúp nhân viên nắm rõ các mối đe dọa của mã độc tống tiền mới nhất và các thực hành tốt nhất về phòng ngừa. Điều này giúp giảm nguy cơ xảy ra sự cố mã độc tống tiền BlackCat và các mối nguy hiểm bảo mật mạng khác.
Mã hóa dữ liệu và kiểm soát truy cập:
Bảo vệ dữ liệu nhạy cảm là biện pháp phòng thủ mạnh chống lại mã độc tống tiền BlackCat và các mối đe dọa tương tự. Bằng cách triển khai mã hóa và kiểm soát truy cập, các tổ chức có thể giảm thiểu đáng kể nguy cơ lây nhiễm mã độc tống tiền BlackCat và hậu quả tiềm ẩn của một cuộc tấn công thành công:
- Mã hóa liên quan đến việc chuyển đổi dữ liệu thành một mã gần như không thể giải mã nếu không có khóa giải mã tương ứng.
- Tính năng này bảo vệ dữ liệu kể cả khi mã độc tống tiền xâm nhập vào hệ thống và truy cập thông tin được mã hóa.
- Các dữ liệu quan trọng, bao gồm hồ sơ tài chính, thông tin cá nhân và các tập tin kinh doanh thiết yếu, phải được mã hóa nhất quán.
- Có thể sử dụng nhiều công cụ mã hóa khác nhau, chẳng hạn như BitLocker cho Windows hoặc FileVault cho Mac hoặc phần mềm mã hóa của bên thứ ba.
- Việc thực hiện kiểm soát truy cập cũng quan trọng không kém để hạn chế quyền truy cập dữ liệu, sử dụng quy trình xác thực và ủy quyền người dùng dựa trên trách nhiệm công việc và yêu cầu về mật khẩu mạnh.
- Kể cả khi kẻ tấn công giành được quyền truy cập vào dữ liệu được mã hóa, nó vẫn không thể truy cập được nếu không có khóa giải mã, khóa này phải được lưu trữ an tách biệt khỏi dữ liệu được mã hóa.
Sao lưu dữ liệu:
Sao lưu dữ liệu thường xuyên là một trong những biện pháp phòng thủ hiệu quả nhất chống lại mã độc tống tiền BlackCat và phần mềm độc hại tương tự:
- Nó bao gồm tạo bản sao của các tập tin quan trọng và lưu trữ chúng ở một vị trí riêng biệt, chẳng hạn như ổ cứng ngoài, bộ nhớ đám mây hoặc một máy tính riêng biệt.
- Trong trường hợp bị lây nhiễm mã độc tống tiền BlackCat, các tập tin bị ảnh hưởng có thể bị xóa và dữ liệu có thể được khôi phục từ bản sao lưu, loại bỏ nhu cầu trả tiền chuộc hoặc nguy cơ mất tập tin vĩnh viễn.
- Điều quan trọng là các bản sao lưu phải được lưu trữ ở một vị trí riêng biệt, tách khỏi máy tính hoặc mạng chính để tránh bị xâm phạm. Các tùy chọn lưu trữ được đề xuất bao gồm các vị trí tách biệt thực tế hoặc các dịch vụ lưu trữ đám mây uy tín với các giao thức bảo mật và mã hóa mạnh.
Các cập nhật phần mềm:
Việc cập nhật phần mềm thường xuyên giúp bạn phòng thủ trước mã độc tống tiền BlackCat và phần mềm độc hại liên quan:
- Các bản cập nhật thường bao gồm các bản vá bảo mật giúp giải quyết các lỗ hổng bảo mật có thể bị kẻ tấn công bằng mã độc tống tiền khai thác. Các nhà cung cấp phần mềm phát hành bản cập nhật khi phát hiện ra các lỗ hổng bảo mật để ngăn chặn việc khai thác.
- Các bản cập nhật này bao gồm các bản vá bảo mật, sửa lỗi và các tính năng mới. Việc bỏ qua các bản cập nhật này có thể khiến hệ thống dễ bị tấn công.
- Kẻ tấn công thường nhắm vào phần mềm lỗi thời như hệ điều hành, trình duyệt web và các bổ trợ. Việc cài đặt các bản cập nhật liên tục giúp tăng cường bảo mật và khiến kẻ tấn công khó khai thác lỗ hổng bảo mật hơn.
- Sử dụng phần mềm quản lý bản vá tự động sẽ đơn giản hóa hơn nữa quy trình cập nhật, tự động hóa việc cài đặt, lên lịch cập nhật ngoài giờ làm việc và cung cấp báo cáo trạng thái chi tiết về các bản cập nhật hệ thống. Sự kết hợp giữa các bản cập nhật thường xuyên và quản lý bản vá tự động giúp giảm nguy cơ lây nhiễm mã độc tống tiền BlackCat và các mối đe dọa mạng khác.
Sử dụng các công cụ bảo mật mạng:
Mặc dù việc thực hiện các biện pháp trên có thể tăng cường đáng kể khả năng phòng thủ của bạn trước mã độc tống tiền BlackCat, điều quan trọng là phải bổ sung các chiến lược này bằng cách sử dụng các sản phẩm bảo mật mạng chuyên dụng. Ví dụ:
- Kaspersky Premium cung cấp khả năng bảo vệ toàn diện chống lại nhiều mối đe dọa mạng, bao gồm mã độc tống tiền, với khả năng phát hiện mối đe dọa theo thời gian thực, tường lửa tiên tiến và các bản cập nhật tự động để đảm bảo việc bảo mật liên tục.
- Kaspersky VPN tăng cường bảo mật trực tuyến bằng cách mã hóa kết nối internet của bạn và định tuyến nó qua các máy chủ an toàn, giúp bảo vệ dữ liệu của bạn một cách lý tưởng, đặc biệt trên các mạng Wi-Fi công cộng.
- Để tăng cường phòng thủ trước mã độc tống tiền, Kaspersky Password Manager lưu trữ an toàn và tạo các mật khẩu mạnh và duy nhất cho các tài khoản trực tuyến của bạn, giảm nguy cơ vi phạm thông qua các mật khẩu yếu hoặc được sử dụng lại.
Tóm lại, khi bối cảnh mối đe dọa tiếp tục phát triển, việc kết hợp các biện pháp bảo mật mạng mạnh với các công cụ hiện đại là vô cùng quan trọng. Việc triển khai một phương pháp toàn diện bao gồm đào tạo nhân viên, mã hóa dữ liệu, kiểm soát truy cập, sao lưu dữ liệu thường xuyên, cập nhật phần mềm, cùng với việc sử dụng các sản phẩm bảo mật mạng sẽ tăng tối đa sự an toàn trực tuyến của bạn và giúp bạn phòng thủ chống lại mã độc tống tiền BlackCat và các mối đe dọa độc hại khác.
Câu hỏi thường gặp về mã độc tống tiền BlackCat
Mã độc tống tiền BlackCat là gì?
BlackCat, còn được gọi là ALPHV hay ALPHV-ng, xuất hiện vào tháng 11 năm 2021 và kể từ đó đã trở thành một mối đe dọa lớn trong bối cảnh mã độc tống tiền. BlackCat hoạt động như một mã độc tống tiền dưới dạng dịch vụ (RaaS) và được coi là một trong những hoạt động RaaS tiên tiến nhất cho đến nay. BlackCat đáng chú ý vì sử dụng ngôn ngữ lập trình Rust và phương pháp "tống tiền ba lần" đáng gờm.
Một số ví dụ về nạn nhân của mã độc tống tiền BlackCat là gì?
BlackCat có chiến lược nhắm mục tiêu vào các tổ chức lớn để đòi tiền chuộc, yêu cầu số tiền khác nhau, thường từ hàng trăm nghìn đến hàng triệu đô la tiền điện tử. Đã xác định được hơn hai mươi tổ chức nạn nhân trên trang web rò rỉ Tor của nhóm này, đến từ nhiều quốc gia khắp thế giới. Các ngành bị nhắm mục tiêu bao gồm dịch vụ kinh doanh, xây dựng, năng lượng, thời trang, tài chính, hậu cần, sản xuất, dược phẩm, bán lẻ và công nghệ.
Các sản phẩm liên quan:
