Phần mềm tống tiền Mortar

Phần mềm độc hại vẫn là một trong những mối đe dọa an ninh mạng nghiêm trọng nhất đối với cả các tổ chức và cá nhân. Các cuộc tấn công ransomware hiện đại có thể làm gián đoạn hoạt động kinh doanh, gây thiệt hại tài chính nghiêm trọng và làm lộ thông tin nhạy cảm chỉ trong vài giờ. Khi các nhóm ransomware ngày càng tinh vi hơn, việc duy trì các biện pháp kiểm soát an ninh mạnh mẽ và phòng thủ chủ động là điều cần thiết để bảo vệ dữ liệu quý giá và đảm bảo tính liên tục của hoạt động.

Tổng quan về phần mềm tống tiền Mortar

Mortar Ransomware là một biến thể phần mềm độc hại mã hóa tập tin được các nhà nghiên cứu an ninh mạng xác định. Mối đe dọa này được thiết kế chủ yếu để nhắm mục tiêu vào môi trường doanh nghiệp, nơi kẻ tấn công tìm cách tối đa hóa sự gián đoạn hoạt động và gia tăng áp lực buộc nạn nhân phải trả tiền chuộc. Sau khi được triển khai trong mạng bị xâm nhập, Mortar mã hóa các tập tin và để lại một ghi chú đòi tiền chuộc được đặt tên theo mã định danh duy nhất của nạn nhân, theo định dạng 'README-[ID của nạn nhân].txt'.

Một đặc điểm nổi bật của loại mã độc tống tiền này là khả năng đổi tên tập tin. Trong quá trình mã hóa, Mortar sẽ thêm một mã định danh duy nhất của nạn nhân vào mỗi tập tin bị ảnh hưởng. Ví dụ, một tập tin ban đầu có tên '1.png' có thể trở thành '1.png.4RcrXfvVksS5ACA', trong khi một tài liệu như '2.pdf' có thể được chuyển đổi thành '2.pdf.4RcrXfvVksS5ACA'. Mã định danh này sau đó được sử dụng trong tên tập tin thông báo đòi tiền chuộc, tạo ra mối liên hệ trực tiếp giữa nạn nhân và kẻ tấn công.

Quy trình mã hóa và yêu cầu tiền chuộc

Sau khi xâm nhập mạng, Mortar mã hóa một lượng lớn dữ liệu, bao gồm tài liệu, cơ sở dữ liệu, ảnh và các tệp kinh doanh quan trọng khác. Thông báo đòi tiền chuộc tuyên bố rằng những kẻ tấn công đã sử dụng thuật toán mã hóa AES-256 và RSA-2048 để khóa thông tin của nạn nhân. Mặc dù những tuyên bố như vậy khá phổ biến trong giới tội phạm mã độc tống tiền, mục tiêu tổng thể vẫn giống nhau: làm cho dữ liệu không thể truy cập được nếu không có khóa giải mã tương ứng.

Thư đòi tiền chuộc thông báo cho nạn nhân rằng cách duy nhất để khôi phục tệp tin của họ là mua công cụ giải mã từ kẻ tấn công. Thay vì nêu rõ số tiền chuộc cố định, bọn tội phạm hướng nạn nhân đến một cổng thông tin dựa trên Tor và cung cấp thông tin đăng nhập bao gồm tên người dùng và mật khẩu. Cách tiếp cận này cho phép kẻ tấn công thương lượng các khoản thanh toán riêng lẻ và có thể điều chỉnh yêu cầu tiền chuộc dựa trên giá trị mà chúng đánh giá đối với tổ chức của nạn nhân.

Liệu các tập tin đã mã hóa có thể được khôi phục không?

Việc khôi phục các tập tin bị mã hóa bởi phần mềm tống tiền thường cực kỳ khó khăn nếu không có quyền truy cập vào cơ chế giải mã của kẻ tấn công. Trong những trường hợp hiếm hoi, các nhà nghiên cứu an ninh mạng phát hiện ra những lỗi trong quá trình triển khai hoặc những điểm yếu về mật mã cho phép tạo ra các công cụ giải mã miễn phí. Tuy nhiên, những trường hợp như vậy rất không phổ biến, và các nạn nhân bị ảnh hưởng bởi phần mềm tống tiền được thiết kế tốt thường phải đối mặt với các lựa chọn khôi phục hạn chế.

Việc trả tiền chuộc thường được coi là một quyết định rủi ro cao. Tội phạm mạng không có nghĩa vụ phải cung cấp công cụ giải mã hoạt động được sau khi nhận tiền. Nhiều nạn nhân đã gặp phải trường hợp tiền được chuyển nhưng công cụ khôi phục không bao giờ được cung cấp, hoặc các công cụ được cung cấp không thể khôi phục dữ liệu thành công. Do đó, việc trả tiền có thể dẫn đến tổn thất tài chính thêm mà không đảm bảo khôi phục được tập tin.

Các tác nhân lây nhiễm và kỹ thuật tấn công

Mã độc tống tiền Mortar có thể lây nhiễm cho nạn nhân thông qua nhiều phương pháp tấn công thường được sử dụng trong các chiến dịch ransomware. Tấn công lừa đảo (phishing) vẫn là một trong những phương thức lây nhiễm phổ biến nhất. Kẻ tấn công phát tán email chứa các tệp đính kèm độc hại như các tệp lưu trữ nén, tệp thực thi hoặc tài liệu Microsoft Office có chứa macro độc hại. Sau khi được mở, các tệp này có thể khởi động quá trình triển khai ransomware.

Các con đường lây nhiễm khác bao gồm phần mềm bị nhiễm mã độc Trojan, cơ chế cập nhật giả mạo, chiến dịch quảng cáo độc hại, cổng tải xuống không đáng tin cậy và ứng dụng lậu được phân phối qua các kênh không chính thức. Những phương pháp này lợi dụng lòng tin của người dùng và các biện pháp kiểm soát an ninh không đầy đủ để xâm nhập vào hệ thống.

Trong các vụ xâm nhập có chủ đích vào doanh nghiệp, tin tặc có thể áp dụng các kỹ thuật tiên tiến hơn. Kẻ tấn công thường cố gắng xâm nhập các dịch vụ Giao thức Máy tính Từ xa (RDP) thông qua các cuộc tấn công vét cạn (brute-force) vào các thông tin đăng nhập yếu. Chúng cũng có thể khai thác các lỗ hổng chưa được vá trong các hệ thống kết nối internet để giành được chỗ đứng ban đầu trước khi di chuyển ngang qua mạng và triển khai phần mềm tống tiền (ransomware) trên nhiều thiết bị cùng lúc.

Ứng phó với nhiễm trùng do vữa xây

Khi phát hiện Mortar, việc ngăn chặn ngay lập tức là rất quan trọng. Loại bỏ phần mềm tống tiền khỏi các hệ thống bị ảnh hưởng giúp ngăn chặn hoạt động mã hóa tiếp theo và giảm nguy cơ gây thêm thiệt hại trên toàn hệ thống. Tuy nhiên, việc loại bỏ phần mềm độc hại không nên bị nhầm lẫn với việc khôi phục dữ liệu. Loại bỏ chương trình độc hại không tự động khôi phục các tệp đã mã hóa.

Phương pháp phục hồi đáng tin cậy nhất vẫn là khôi phục các bản sao lưu sạch được tạo trước khi cuộc tấn công xảy ra. Các bản sao lưu nên được lưu trữ riêng biệt với hệ thống sản xuất để ngăn chặn phần mềm tống tiền mã hóa kho lưu trữ bản sao lưu trong quá trình xảy ra sự cố. Các tổ chức duy trì các bản sao lưu an toàn, được cách ly thường có vị thế mạnh hơn nhiều để phục hồi sau các cuộc tấn công bằng phần mềm tống tiền mà không cần phải tiếp xúc với tội phạm mạng.

Xây dựng hệ thống phòng thủ vững chắc chống lại phần mềm tống tiền

Bảo vệ hiệu quả khỏi mã độc tống tiền đòi hỏi chiến lược bảo mật nhiều lớp, kết hợp công nghệ, nhận thức của người dùng và bảo trì chủ động. Các tổ chức nên thường xuyên cập nhật hệ điều hành, ứng dụng và thiết bị mạng để loại bỏ các lỗ hổng mà kẻ tấn công thường khai thác. Chính sách xác thực mạnh mẽ, đặc biệt đối với các dịch vụ truy cập từ xa, có thể giảm đáng kể nguy cơ truy cập trái phép.

Việc phát triển một chiến lược sao lưu mạnh mẽ cũng quan trọng không kém. Dữ liệu quan trọng cần được sao chép đến nhiều địa điểm, bao gồm cả các thiết bị lưu trữ ngoại tuyến hoặc không kết nối mà các hệ thống bị xâm nhập không thể truy cập được. Việc kiểm tra sao lưu thường xuyên đảm bảo rằng các quy trình khôi phục hoạt động chính xác trong trường hợp khẩn cấp.

Các biện pháp bảo mật chính bao gồm:

• Thường xuyên sao lưu dữ liệu và lưu trữ ở các địa điểm riêng biệt, được bảo vệ an toàn.
• Áp dụng các bản cập nhật và vá lỗi bảo mật ngay khi chúng có sẵn.
• Sử dụng mật khẩu mạnh, độc đáo và bật xác thực đa yếu tố.
• Hạn chế các dịch vụ truy cập từ xa không cần thiết và giám sát các lần đăng nhập.
• Đào tạo nhân viên nhận biết email lừa đảo và tệp đính kèm đáng ngờ.
• Triển khai các giải pháp bảo vệ điểm cuối và giám sát mạng đáng tin cậy.

Các tổ chức cũng nên áp dụng nguyên tắc quyền hạn tối thiểu, chỉ cấp cho người dùng quyền truy cập cần thiết cho vai trò của họ. Giám sát liên tục, kiểm tra an ninh và lập kế hoạch ứng phó sự cố sẽ tăng cường khả năng chống chịu trước các chiến dịch mã độc tống tiền như Mortar. Sự kết hợp giữa các biện pháp kiểm soát phòng ngừa, khả năng phát hiện nhanh chóng và hệ thống sao lưu đáng tin cậy vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các mối đe dọa mã hóa tập tin hiện đại.

Phần kết luận

Mã độc tống tiền Mortar Ransomware là mối đe dọa nghiêm trọng đối với mạng lưới doanh nghiệp do khả năng mã hóa dữ liệu quan trọng, làm gián đoạn hoạt động và gây áp lực buộc nạn nhân phải trả tiền để giải mã. Bằng cách thêm các mã định danh duy nhất vào các tệp đã mã hóa và hướng nạn nhân đến một cổng đòi tiền chuộc chuyên dụng, những kẻ tấn công thể hiện một phương pháp có cấu trúc và nhắm mục tiêu rõ ràng. Mặc dù việc khôi phục các tệp đã mã hóa có thể khó khăn, nhưng các tổ chức ưu tiên các biện pháp an ninh mạng mạnh mẽ, duy trì các bản sao lưu riêng biệt và chủ động giải quyết các lỗ hổng có thể giảm đáng kể tác động của các sự cố mã độc tống tiền và cải thiện tư thế an ninh tổng thể của họ.