Mã độc tống tiền dưới dạng dịch vụ: Bộ mặt mới của tội phạm mạng công nghiệp hóa

Mô hình mã độc tống tiền dưới dạng dịch vụ đã giúp đẩy nhanh quá trình tinh chỉnh và công nghiệp hóa những gì mà tội phạm kém năng lực hơn có thể thực hiện được. Trước đây, những tên tội phạm không mấy tinh vi này có thể đã sử dụng phần mềm xấu thông thường mà chúng đã xây dựng hoặc mua để tấn công với phạm vi hạn chế, nhưng giờ đây, chúng có thể có được mọi thứ chúng cần từ các nhà vận hành RaaS, từ quyền truy nhập vào mạng đến tải trọng mã độc tống tiền, (tất nhiên là phải trả tiền). Nhiều chương trình RaaS còn kết hợp thêm một bộ dịch vụ hỗ trợ tống tiền, gồm lưu trữ site rò rỉ và tích hợp vào thông báo đòi tiền chuộc, cũng như đàm phán giải mã, gây áp lực thanh toán và dịch vụ giao dịch tiền điện tử.

Điều này có nghĩa là nếu thành công thì cuộc tấn công tống tiền và mã độc tống tiền vẫn có tác động như cũ, cho dù kỹ năng của kẻ tấn công như thế nào.

Một cách mà các nhà vận hành RaaS mang lại giá trị cho các chi nhánh là cung cấp quyền truy nhập vào các mạng bị xâm phạm. Các thành phần trung gian truy nhập thường quét internet để tìm các hệ thống dễ bị tấn công mà họ có thể xâm phạm, rồi để dành nhằm kiếm lợi nhuận sau này.

Để thành công, kẻ tấn công cần có thông tin xác thực. Thông tin xác thực bị xâm phạm rất quan trọng đối với các cuộc tấn công này, đến nỗi khi những kẻ phạm tội trên mạng bán quyền truy nhập mạng, trong nhiều trường hợp, giá bao gồm cả tài khoản người quản trị.

Sau khi giành được quyền truy nhập, những gì bọn tội phạm làm có thể rất khác nhau tùy thuộc vào nhóm và khối lượng công việc hoặc động cơ của chúng. Do đó, khoảng thời gian từ lúc truy nhập ban đầu đến khi triển khai thao tác trên bàn phím có thể dao động từ vài phút đến vài ngày hoặc lâu hơn, nhưng khi tình huống cho phép, thiệt hại có thể xảy ra với tốc độ chóng mặt. Trên thực tế, quan sát cho thấy thời gian từ lần truy nhập đầu tiên đến khi nhận được toàn bộ tiền chuộc (bao gồm cả việc trung gian truy nhập chuyển giao cho một chi nhánh RaaS) chỉ mất chưa đầy một giờ.

Một khi những kẻ tấn công có được quyền truy nhập vào mạng, chúng sẽ không muốn rời đi, ngay cả sau khi đã nhận được tiền chuộc. Trên thực tế, trả tiền chuộc có thể không làm giảm rủi ro cho mạng bị ảnh hưởng và chỉ nhằm mục đích cung cấp tiền cho những kẻ phạm tội trên mạng. Chúng sẽ tiếp tục cố gắng kiếm tiền thông qua các cuộc tấn công bằng các tải trọng phần mềm xấu hoặc phần mềm tống tiền khác nhau cho đến khi chúng bị bật ra.

Trong nền kinh tế có những kẻ phạm tội trên mạng, những kẻ tấn công thường trao đổi với nhau, có nghĩa là nhiều nhóm hoạt động có thể tồn tại trong một môi trường bằng nhiều phương pháp, khác hẳn các công cụ được sử dụng trong cuộc tấn công bằng mã độc tống tiền. Ví dụ: Sau khi có quyền truy nhập ban đầu nhờ trojan ngân hàng, sẽ diễn ra việc triển khai công cụ Cobalt Strike, nhưng chi nhánh RaaS đã mua quyền truy nhập có thể chọn sử dụng công cụ truy nhập từ xa như TeamViewer để thực hiện chiến dịch.

So với công cụ cài cắm phần mềm xấu như Cobalt Strike, thì sử dụng các công cụ và cài đặt hợp pháp để duy trì tồn tại là một kỹ thuật phổ biến của những kẻ tấn công bằng mã độc tống tiền nhằm tránh bị phát hiện và ở trong mạng lâu hơn.

Một kỹ thuật tấn công phổ biến khác là tạo tài khoản người dùng cửa hậu mới, dù là cục bộ hay trong Active Directory, sau đó có thể thêm vào các công cụ truy nhập từ xa như mạng riêng ảo (VPN) hoặc Máy tính từ xa. Người ta cũng thấy những kẻ tấn công bằng mã độc tống tiền đang chỉnh sửa cài đặt trên hệ thống để bật Máy tính từ xa, giảm tính bảo mật của giao thức và thêm người dùng mới vào nhóm Người dùng Máy tính từ xa.

Một trong những đặc điểm của RaaS khiến mối đe dọa trở nên đáng lo ngại là mô hình này dựa vào những kẻ tấn công là con người, tức là những người có thể đưa ra quyết định đủ thông tin và có tính toán, đồng thời thay đổi mô hình tấn công dựa trên những gì chúng tìm thấy trong mạng nơi chúng tiếp cận, đảm bảo chúng đạt được mục tiêu.

Microsoft đặt ra thuật ngữmã độc tống tiền do con người vận hành để xác định loại tấn công này là một chuỗi hoạt động mà đỉnh điểm là tải trọng mã độc tống tiền chứ không phải là một bộ tải trọng phần mềm xấu cần bị chặn.

Mặc dù hầu hết các chiến dịch truy nhập ban đầu đều dựa vào do thám tự động, nhưng khi cuộc tấn công chuyển sang giai đoạn thao tác trên bàn phím, những kẻ tấn công sẽ sử dụng kiến thức và kỹ năng để tìm cách đánh bại các sản phẩm bảo mật trong môi trường đó.

Những kẻ tấn công bằng mã độc tống tiền có động cơ là lợi nhuận dễ kiếm, vì vậy khiến chúng phải tốn thêm chi phí bằng cách củng cố bảo mật chính là chìa khóa làm gián đoạn nền kinh tế có những kẻ phạm tội trên mạng. Khi những kẻ tấn công là con người, có khả năng ra quyết định thì ngay cả lúc các sản phẩm bảo mật phát hiện ra các giai đoạn tấn công cụ thể, bản thân những kẻ tấn công cũng không bị đẩy ra hoàn toàn. Chúng cố gắng tiếp tục nếu không bị biện pháp kiểm soát bảo mật ngăn chặn. Trong nhiều trường hợp, nếu một công cụ hoặc tải trọng bị sản phẩm chống vi-rút phát hiện và chặn, kẻ tấn công chỉ cần lấy một công cụ khác hoặc sửa đổi tải trọng.

Kẻ tấn công cũng nhận thức được số lần phản hồi của trung tâm hoạt động bảo mật (SOC) cũng như khả năng và hạn chế của các công cụ phát hiện. Vào thời điểm cuộc tấn công đạt đến giai đoạn xóa các bản sao lưu hoặc bản sao ẩn, sẽ chỉ còn vài phút nữa là có thể triển khai mã độc tống tiền. Kẻ thù có thể đã thực hiện các hành động gây hại như lấy cắp dữ liệu. Kiến thức này là chìa khóa để SOC ứng phó với mã độc tống tiền: điều quan trọng để ngăn chặn kẻ thù chính là điều tra khi phát hiện Cobalt Strike trước giai đoạn triển khai mã độc tống tiền và thực hiện các biện pháp khắc phục nhanh chóng cũng như quy trình ứng phó sự cố (IR).