Trong thời gian qua đã xảy ra rất nhiều vụ tấn công mạng bằng mã độc tống tiền (ransomware). Như công ty đường ống dẫn nhiên liệu hàng đầu của Mỹ Colonial hay ngay cả công ty công nghệ hàng đầu thế giới Kaseya cũng là nạn nhân của tấn công ransomware. Và thời gian gần đây, cộng đồng an ninh mạng thế giới đã phải xôn xao với một loại mã độc mới có tên là HelloKitty. Vậy ransomware HelloKitty là gì và cách phòng chống tấn công DDoS ransomware HelloKitty như thế nào?
Vì sao các doanh nghiệp cần phải ngăn chặn tấn công DDoS Ransomware HelloKitty?
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã lên tiếng cảnh báo về một loại ransomware nguy hiểm mới. Đó là mã độc tống tiền HelloKitty hay còn gọi là DeathRansom, FiveHands. Trước kia, loại ransomware này chỉ mã hoá file và đòi tiền chuộc. Nhưng giờ đây, HelloKitty còn sẵn sàng dùng tấn công từ chối dịch vụ phân tán (DDoS) để buộc nạn nhân trả tiền chuộc.
Vào tuần trước, FBI phối hợp với Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đưa ra thông báo mới. Họ cho biết HelloKitty sẽ đánh sập hệ thống web nếu nạn nhân không tuân thủ các yêu cầu đòi tiền chuộc.
HelloKitty chuyên đánh cắp các tài liệu nhạy cảm từ máy chủ của nạn nhân và mã hoá chúng. Những kẻ tấn công dùng dữ liệu nhạy cảm đó làm “con tin”, buộc nạn nhân phải trả tiền chuộc. Nếu không, hậu quả là những kẻ đứng đằng sau HelloKitty sẽ làm rò rỉ những thông tin đó trên các trang chuyên về rò rỉ dữ liệu.
FBI còn cho biết thêm: “Trong một số trường hợp, nếu nạn nhân không phản hồi sớm hoặc không trả tiền chuộc, tội phạm mạng sẽ tấn công DDoS vào website của nạn nhân.”
“HelloKitty/FiveHands thường yêu cầu các khoản tiền chuộc bằng Bitcoin tương xứng với quy mô và tiềm lực của nạn nhân. Nếu không trả tiền chuộc, kẻ tấn công đe doạ sẽ đăng dữ liệu lên trang Babuk.bin). Hoặc bán nó cho một bên thứ ba, thường là các nhà môi giới dữ liệu.” Vì vậy, nếu doanh nghiệp không có các biện pháp chống DDoS Ransomware HelloKitty attack , hậu quả sẽ rất nghiêm trọng.
Ransomware HelloKitty tấn công website doanh nghiệp như thế nào?
HelloKitty tấn công nạn nhân từ các thông tin đăng nhập bị rò rỉ. Hoặc chúng lợi dụng lỗ hổng bảo mật của website để xâm nhập vào hệ thống mạng của họ. Các lỗi bảo mật này có thể là các bản vá trong các sản phẩm SonicWall như CVE-2021-20016, CVE-2021-20021, CVE-2021-20022, CVE-2021 -2002.
Ransomware này bắt đầu hoạt động vào cuối năm ngoái, tháng 11/2020. Và bị FBI để mắt tới từ đầu năm 2021. Nhưng đến tháng 2 năm nay, HelloKitty mới được nhiều người biết đến. Chúng là thủ phạm đứng sau vụ xâm phạm và mã hoá hệ thống của studio game CD Projekt Red. Tại thời điểm đó, băng nhóm này tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent và các trò chơi khác.
Không lâu sau đó, HelloKitty lên tiếng thông báo đã bán các tệp đánh cắp từ CD Projekt Red. Tuy nhiên, thông tin này vẫn chưa được xác minh rõ ràng.
Vào tháng 7 vừa qua, nhóm ransomware này đã có dấu hiệu hoạt động trở lại. Lần này, chúng sử dụng một biến thể Linux nhắm mục tiêu vào nền tảng máy ảo ESXi của VMware. HelloKitty chỉ là một trong số nhiều nhóm ransomware tấn công vào các máy chủ Linux.
Vậy tại sao mục tiêu của Ransomware HelloKitty lại là hệ thống máy chủ ảo?
Máy chủ ảo giúp sử dụng tài nguyên hiệu quả hơn và quản lý các thiết bị dễ dàng hơn. Vì vậy, không có gì ngạc nhiên khi ngày càng có nhiều doanh nghiệp sử dụng chúng. Bằng cách tấn công vào các máy chủ ảo, những kẻ tấn công có thể mã hoá đồng thời nhiều máy chủ chỉ với một lệnh duy nhất. Hiển nhiên, điều này giúp chúng tiết kiệm được rất nhiều thời gian và công sức. Do đó, các doanh nghiệp sử dụng máy chủ ảo trở thành mục tiêu tấn công là một điều dễ hiểu.
Đệ trình ransomware HelloKitty (ID Ransomware)
Theo ghi nhận từ ID Ransomware, HelloKitty đã gia tăng đáng kể vào tháng 7 và tháng 8 năm nay. Chúng đã hoạt động mạnh mẽ hơn kể từ khi sử dụng biến thể Linux trong các cuộc tấn công.
Ngoài ra, FBI cũng đã chia sẻ về các chỉ số xâm phạm (IOC) trong cảnh báo của họ. Nhờ vậy, các chuyên gia an ninh mạng và quản trị viên hệ thống có thể sớm nhận biết. Từ đó đưa ra các biện pháp thích hợp để chống tấn công ransomware HelloKitty.
Làm thế nào để ngăn chặn tấn công DDoS Ransomware HelloKitty?
Các cơ quan chức năng như FBI cũng đã lên tiếng cảnh báo về mức độ nguy hiểm của chúng cũng như việc_ngăn chặn tấn công DDoS Ransomware HelloKitty_. Vì vậy, các doanh nghiệp cần phải hết sức cảnh giác. Đồng thời thực hiện các biện pháp chống tấn công DDoS Ransomware HelloKitty như sau:
-
Không mở các tệp đính kèm email, các liên kết từ người gửi không xác định.
-
Tránh mở các bản tải xuống bằng trình tải xuống của bên thứ ba hoặc các website không chính thức.
-
Chỉ sử dụng các công cụ được phát hành từ các nhà phát triển chính thức.
-
Luôn cập nhật các phần mềm chống vi-rút và chống phần mềm gián điệp.
Nếu doanh nghiệp của bạn đã nhiễm mã độc tống tiền HelloKitty, cần thực hiện các bước sau đây đểngăn chặn DDoS Ransomware HelloKitty attack trở nên nghiêm trọng hơn:
Bước 1: Báo cáo ransomware cho các cơ quan chức năng ngay lập tức
Bước 2: Cách ly thiết bị đang nghi ngờ bị nhiễm ransomware
Bước 3: Xác định nguồn lây nhiễm ransomware
Bước 4: Tìm kiếm các công cụ giải mã ransomware
Bước 5: Khôi phục các tệp bằng các công cụ khôi phục dữ liệu
Bước 6: Tạo bản sao lưu dữ liệu
VNIS – Giải pháp chống tấn công DDoS Web/App do Ransomware
Những kẻ tấn công ransomware HelloKitty có rất nhiều thủ đoạn để xâm nhập vào hệ thống của doanh nghiệp. Chúng còn kết hợp cả tấn công DDoS để tăng mức độ uy hiếp đối với nạn nhân.
Các phương pháp phòng chống trên chỉ giảm được phần nào nguy cơ bị nhiễm mã độc của doanh nghiệp. Và các công cụ khôi phục dữ liệu cũng không thể đảm bảo phục hồi được tất cả dữ liệu. Vì vậy, doanh nghiệp nên sớm trang bị giải pháp bảo mật chuyên nghiệp để chống tấn công DDoS Ransomware HelloKitty hiệu quả.
VNIS là giải pháp bảo mật website toàn diện cho doanh nghiệp. Với công nghệ Cloud WAF tiên tiến kết hợp cùng trí tuệ nhân tạo AI và máy học, VNIS sẽ kiểm soát và ngăn chặn các lỗ hổng bảo mật, các trình thu thập dữ liệu độc hại, đặc biệt là các lỗ hổng top 10 OWASP. Ngoài ra, nhờ tích hợp công nghệ Multi CDN với băng thông global lên đến 2.600Tbps, VNIS giúp ngăn chặn các cuộc tấn công DDoS layer 3/4/7 lớn nhất.
Nếu bạn cần hỗ trợ hoặc hướng dẫn các giải pháp bảo vệ website toàn diện cho doanh nghiệp, đừng ngần ngại liên hệ với chúng tôi ngay, hoặc gọi về hotline: (028) 7306 8789.