Emotet 101: Ransomware hoạt động như thế nào – và tại sao nó lại hiệu quả đến vậy?
Trong những tuần gần đây, Emotet đã nổi lên như một dạng ransomware phổ biến nhất. Quản lý rủi ro bao gồm việc bắt đầu bằng việc hiểu cách thức hoạt động của nó.
Ransomware đã nổi lên như một mối đe dọa chính đối với các tổ chức thuộc mọi hình dạng và quy mô. Theo báo cáo “Tình trạng của Ransomware 2020” của công ty an ninh mạng Sophos, 51% tổ chức đã bị tấn công bởi ransomware trong năm qua và chi phí trung bình để khắc phục một cuộc tấn công đã lên tới 761.106 USD trên toàn cầu.
Trong khi có rất nhiều loại ransomware tồn tại, một trong những phiên bản nổi bật và nguy hiểm hơn cả là Emotet. Emotet là một “thành phần quan trọng” trong các chiến dịch ransomware, công ty bảo mật Mimecast lưu ý trong “Báo cáo tình báo về mối đe dọa” năm 2020. Và theo Proofpoint, các quốc gia phổ biến nhất được nhắm mục tiêu bao gồm Đức, Áo, Thụy Sĩ, Hoa Kỳ, Vương quốc Anh và Canada.
Emotet là gì?
Emotet là một Trojan có sẵn thông qua mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS). Điều này có nghĩa là tội phạm mạng có thể tải xuống một gói, thường với giá vài trăm đô la hoặc phí thuê bao hàng tháng và tấn công trực tiếp vào các doanh nghiệp và cá nhân.
Payload ban đầu – thường được gửi qua e-mail, tài liệu bị nhiễm hoặc trang web – giải phóng tập lệnh, macro hoặc mã hoạt động như một con sâu lây nhiễm các ứng dụng phần mềm và hệ thống khác nhau, chẳng hạn như sổ địa chỉ Outlook hoặc đám mây- thùng chứa dựa trên.
Keith Mularski, giám đốc điều hành mảng an ninh mạng tại công ty tư vấn EY, cho biết: “Trong nhiều trường hợp, Emotet thường không hoạt động trong 30 đến 45 ngày trước khi phát động một cuộc tấn công ransomware.
Mularski nói rằng Emotet có hiệu quả cao vì nó liên tục tải xuống các thành phần phần mềm độc hại khi nó vượt qua các hệ thống. Nhiều công cụ bảo mật thông thường, chẳng hạn như tường lửa, không hiệu quả để chống lại nó vì Emotet tạo ra các kênh được mã hóa mà hệ thống phòng thủ mạng không thể phát hiện.
Sau đó, khi Emotet đã chiếm được và mã hóa các tệp, những kẻ tấn công mạng yêu cầu một khoản tiền chuộc, thường được thanh toán thông qua tiền tệ mạng không thể theo dõi, chẳng hạn như Bitcoin. Đáng chú ý, “Tội phạm mạng vận hành Emotet rất giống một doanh nghiệp, bao gồm cả việc cung cấp dịch vụ hỗ trợ khách hàng”, John Shier, cố vấn bảo mật cấp cao tại Sophos cho biết.
Một cuộc tấn công trông như thế nào?
Thông thường, sự lây nhiễm xảy ra khi ai đó nhấp vào liên kết trong e-mail, thường là thông qua một cuộc tấn công lừa đảo. Điều này hướng người dùng đến một trang web hoặc dịch vụ tải xuống “ống nhỏ giọt” ban đầu. Khi macro hoặc mã này nằm trên máy tính, nó bắt đầu tìm kiếm các máy tính được kết nối khác và phát tán, phân phối thêm phần mềm độc hại. Thông thường, nó sử dụng Microsoft Outlook để tạo e-mail.
Khi Emotet lây nhiễm vào hệ thống, nó tiến hành các cuộc tấn công bạo lực vào các tài khoản, tìm cách bẻ khóa mật khẩu và giành quyền truy cập vào dữ liệu an toàn, Shier lưu ý. Tại một số điểm, nó chụp và mã hóa các tệp này. Một khi tội phạm mạng nắm giữ dữ liệu được mã hóa – và công việc kinh doanh bị khóa – chúng đòi tiền chuộc. Thẻ giá có thể từ vài nghìn đô la đến hàng triệu đô la. Theo báo cáo của Sophos, 94% tổ chức cuối cùng giành lại quyền kiểm soát dữ liệu của họ nhưng với chi phí trung bình là 732.520 USD cho mỗi sự cố.
Tại sao Emotet lại hiệu quả như vậy?
Emotet tồn tại trong một số phiên bản khác nhau và kết hợp một thiết kế mô-đun. Điều này làm cho việc xác định và chặn khó khăn hơn. Nó sử dụng các kỹ thuật xây dựng xã hội để xâm nhập vào các hệ thống và rất tốt trong việc tránh bị phát hiện. Hơn nữa, các chiến dịch Emotet không ngừng phát triển. Một số phiên bản đánh cắp thông tin xác thực ngân hàng và dữ liệu doanh nghiệp có độ nhạy cảm cao, mà các cybercrook có thể đe dọa phát hành công khai.
“Đây có thể là đòn bẩy bổ sung để trả tiền chuộc,” Shier giải thích.
Một e-mail ban đầu có thể trông giống như nó được bắt nguồn từ một nguồn đáng tin cậy, chẳng hạn như người quản lý hoặc giám đốc điều hành công ty hàng đầu, hoặc nó có thể cung cấp một liên kết đến những gì có vẻ là một trang web hoặc dịch vụ hợp pháp. Nó thường dựa vào các kỹ thuật nén tệp, chẳng hạn như ZIP, lây nhiễm qua các định dạng tệp khác nhau, bao gồm .doc, docx và .exe. Thao tác này ẩn tên tệp thực khi nó di chuyển trong mạng.
Các tài liệu này có thể chứa các cụm từ như “chi tiết thanh toán” hoặc “vui lòng cập nhật tệp nguồn nhân lực của bạn” để lừa người nhận kích hoạt tải trọng. Một số thông báo gần đây đã xoay quanh COVID-19. Chúng thường đến từ một địa chỉ e-mail hợp pháp trong công ty – và chúng có thể bao gồm cả tệp lành tính và bị nhiễm. Hơn nữa, Emotet có thể phát hiện môi trường mà nó đang chạy. Ví dụ: nó biết khi nào nó cư trú bên trong một máy ảo (VM) và ở trạng thái không hoạt động để tránh bị máy quét phần mềm độc hại phát hiện.
Emotet sử dụng máy chủ lệnh và kiểm soát (C2) để nhận các bản cập nhật một cách lén lút. Điều này cho phép những kẻ tấn công cập nhật mã phần mềm độc hại và trồng các Trojan khác. Cũng có thể làm sạch máy tính nhưng sau đó phần mềm độc hại xuất hiện lại.
Làm thế nào bạn có thể chống lại Emotet?
Có một số cách để giảm nguy cơ nhiễm trùng – và các vấn đề do Emotet gây ra, Shier nói. Đầu tiên, thật khôn ngoan khi triển khai phần mềm bảo mật xác định và chặn các thư điện tử nguy hiểm tiềm ẩn. Nó cũng rất quan trọng để bảo mật tất cả các thiết bị được quản lý và không được quản lý kết nối với mạng. Các biện pháp bảo vệ khác bao gồm mật khẩu mạnh và xác thực đa yếu tố, vá nhất quán và sử dụng phần mềm tình báo mối đe dọa. Cuối cùng, nhân viên phải học cách phát hiện những e-mail đáng ngờ.
Thật không may, ransomware – và Emotet – sẽ không sớm biến mất. Trong những tuần gần đây, nó nổi lên như một dạng ransomware phổ biến nhất. Mularski nói: “Các cuộc tấn công ngày càng trở nên tinh vi hơn. Chúng là một rủi ro rất thực tế đối với tất cả các doanh nghiệp.”