Phòng thủ Ransomware bằng nền tảng mã nguồn mở Wazuh

Ransomware là phần mềm độc hại được thiết kế để chặn quyền truy cập vào hệ thống máy tính hoặc mã hóa dữ liệu cho đến khi tiền chuộc được thanh toán. Cuộc tấn công mạng này là một trong những mối đe dọa phổ biến và gây thiệt hại lớn nhất trong không gian kỹ thuật số, ảnh hưởng đến cá nhân, doanh nghiệp và cơ sở hạ tầng quan trọng trên toàn cầu. Một cuộc tấn công ransomware thường bắt đầu khi phần mềm độc hại xâm nhập vào hệ thống thông qua nhiều con đường khác nhau như
Minh họa Wazuh
Nền tảng Wazuh bảo vệ chống lại Ransomware

Ransomware là phần mềm độc hại được thiết kế để chặn quyền truy cập vào hệ thống máy tính hoặc mã hóa dữ liệu cho đến khi tiền chuộc được thanh toán. Cuộc tấn công mạng này là một trong những mối đe dọa phổ biến và gây thiệt hại lớn nhất trong không gian kỹ thuật số, ảnh hưởng đến cá nhân, doanh nghiệp và cơ sở hạ tầng quan trọng trên toàn cầu.

Một cuộc tấn công ransomware thường bắt đầu khi malware xâm nhập vào hệ thống thông qua nhiều vector khác nhau như email lừa đảo (phishing emails), các bản tải xuống độc hại hoặc khai thác lỗ hổng phần mềm (software vulnerabilities). Sau khi kích hoạt, malware sẽ mã hóa các tệp bằng các thuật toán mã hóa mạnh mẽ, khiến chúng không thể truy cập được đối với chủ sở hữu hợp pháp. Những kẻ tấn công sau đó yêu cầu thanh toán, thường bằng tiền điện tử như Bitcoin, để đổi lấy khóa giải mã.

Các biến thể ransomware hiện đại đã phát triển vượt ra ngoài việc mã hóa tệp đơn giản. Một số sử dụng chiến thuật tống tiền kép (double extortion tactics), trong đó kẻ tấn công mã hóa dữ liệu, exfiltrate thông tin nhạy cảm và đe dọa công bố công khai nếu tiền chuộc không được thanh toán. Điều này gây áp lực lên các nạn nhân, đặc biệt là các tổ chức xử lý dữ liệu khách hàng bảo mật hoặc thông tin kinh doanh độc quyền.

Phát triển và lây lan của Ransomware

Hiểu về việc tạo và phân phối ransomware là điều cần thiết để phát triển các chiến lược phòng thủ hiệu quả. Vòng đời của ransomware bao gồm các quy trình phát triển tinh vi và các phương pháp lây lan đa dạng, khai thác các lỗ hổng kỹ thuật (technical vulnerabilities) và hành vi của con người.

Phát triển Ransomware

Ransomware thường được phát triển bởi các tổ chức tội phạm mạng (cybercriminal organizations) hoặc các tác nhân đe dọa cá nhân (individual threat actors) có chuyên môn lập trình. Quá trình tạo ra bao gồm:

  • Mã hóa malware: Các nhà phát triển viết mã độc bằng nhiều ngôn ngữ lập trình khác nhau, tích hợp các thuật toán mã hóa và giao thức liên lạc command-and-control.
  • Ransomware-as-a-Service (RaaS): Một số nhóm tội phạm vận hành các mô hình dựa trên đăng ký, cung cấp công cụ ransomware cho các đối tác để đổi lấy một tỷ lệ phần trăm tiền chuộc.
  • Tùy chỉnh và thử nghiệm: Kẻ tấn công thử nghiệm malware của chúng chống lại các giải pháp bảo mật để đảm bảo nó có thể trốn tránh sự phát hiện.

Phương pháp lây lan

Ransomware lây lan thông qua nhiều vector tấn công:

  • Phishing emails: Các tệp đính kèm hoặc liên kết độc hại có vẻ hợp pháp lừa người dùng tải xuống ransomware.
  • Exploit kits: Các công cụ tự động quét và khai thác các lỗ hổng đã biết trong ứng dụng và hệ điều hành.
  • Remote Desktop Protocol (RDP) attacks: Kẻ tấn công có được quyền truy cập trái phép thông qua thông tin đăng nhập RDP yếu hoặc bị xâm phạm.
  • Các trang web và lượt tải xuống độc hại: Tải xuống từ các trang web bị xâm phạm hoặc độc hại cài đặt ransomware có hoặc không có sự hiểu biết của người dùng.
  • Supply chain attacks: Các nhà cung cấp phần mềm hoặc dịch vụ đáng tin cậy bị xâm phạm có thể phân phối ransomware cho khách hàng.
  • Removable media: Ổ USB bị nhiễm và thiết bị lưu trữ ngoài có thể lây lan ransomware khi kết nối với hệ thống máy tính.

Hậu quả của một cuộc tấn công ransomware

Tác động của ransomware vượt xa việc mã hóa tệp ngay lập tức. Các tổ chức và cá nhân bị ảnh hưởng bởi ransomware phải chịu nhiều hậu quả có thể gây ra những ảnh hưởng lâu dài đến hoạt động, tài chính và danh tiếng.

Hậu quả tài chính

Các cuộc tấn công ransomware gây ra thiệt hại tài chính ngoài việc mã hóa tệp. Nạn nhân có thể phải đối mặt với các yêu cầu tiền chuộc từ hàng trăm đến hàng triệu đô la, mà không có đảm bảo khôi phục dữ liệu ngay cả sau khi thanh toán. Các chi phí bổ sung phát sinh từ phản ứng sự cố (incident response), điều tra pháp y (forensic investigations), khôi phục hệ thống và tăng cường bảo mật, trong khi việc không tuân thủ quy định có thể dẫn đến các khoản tiền phạt pháp lý đáng kể và hình phạt cho các vi phạm dữ liệu.

Hậu quả về hoạt động

Các cuộc tấn công ransomware gây ra gián đoạn hoạt động đáng kể bằng cách làm tê liệt quyền truy cập vào các tài nguyên quan trọng. Dữ liệu kinh doanh quan trọng, thông tin khách hàng và sở hữu trí tuệ có thể bị mất hoặc bị xâm phạm, trong khi các dịch vụ thiết yếu trở nên không khả dụng, ảnh hưởng đến khách hàng, đối tác và quy trình làm việc nội bộ. Thời gian ngừng hoạt động thường vượt quá chi phí tiền chuộc, vì doanh nghiệp có thể trải qua hàng tuần hoặc hàng tháng hoạt động bị đình trệ.

Thiệt hại về danh tiếng

Các sự cố ransomware thường dẫn đến thiệt hại danh tiếng lâu dài khi các vi phạm dữ liệu (data breaches) làm suy yếu lòng tin của khách hàng và niềm tin vào khả năng bảo vệ thông tin nhạy cảm của một tổ chức. Việc công khai các cuộc tấn công như vậy có thể làm suy yếu vị thế thị trường, gây căng thẳng các mối quan hệ kinh doanh và tạo ra bất lợi cạnh tranh.

Ngăn chặn các cuộc tấn công ransomware

Ngăn chặn các cuộc tấn công ransomware đòi hỏi một chiến lược phòng thủ đa lớp kết hợp các kiểm soát kỹ thuật, chính sách tổ chức và nhận thức của người dùng. Hiểu và thực hiện các biện pháp bảo vệ này làm giảm nguy cơ lây nhiễm ransomware thành công.

Các biện pháp phòng thủ kỹ thuật

  • Security Information and Event Management (SIEM) và Extended Detection and Response (XDR): Thực hiện giám sát liên tục để phát hiện và phản ứng với các hoạt động đáng ngờ và hành vi bất thường.
  • Giám sát tính toàn vẹn của tệp (File integrity monitoring): Theo dõi các thay đổi đối với tệp, thư mục và cấu hình hệ thống. Điều này giúp bạn xác định hành vi của malware trong môi trường của mình.
  • Phân tích lưu lượng mạng (Network traffic analysis): Giám sát các mẫu exfiltration dữ liệu bất thường hoặc giao tiếp command-and-control.
  • Sao lưu thường xuyên: Để đảm bảo khôi phục mà không cần tiền chuộc, hãy duy trì các bản sao lưu tự động, thường xuyên các dữ liệu quan trọng được lưu trữ ngoại tuyến hoặc trong bộ nhớ bất biến (immutable storage).
  • Quản lý bản vá (Patch management): Giữ cho hệ điều hành, ứng dụng và firmware được cập nhật để khắc phục các lỗ hổng đã biết mà ransomware khai thác.
  • Phân đoạn mạng (Network segmentation): Cô lập các hệ thống quan trọng và giới hạn cơ hội di chuyển ngang (lateral movement) cho kẻ tấn công.
  • Lọc email: Triển khai các giải pháp bảo mật email mạnh mẽ để chặn các cuộc tấn công phishing và tệp đính kèm độc hại.
  • Kiểm soát truy cập (Access controls): Thực thi nguyên tắc đặc quyền tối thiểu (least privilege) và triển khai các cơ chế xác thực mạnh mẽ, bao gồm xác thực đa yếu tố (multi-factor authentication).
  • Danh sách trắng ứng dụng (Application whitelisting): Chỉ cho phép các ứng dụng được phê duyệt thực thi trong môi trường của bạn, ngăn chặn malware trái phép chạy.

Các thực hành tổ chức

  • Đào tạo nhận thức bảo mật: Giáo dục nhân viên về các chiến thuật phishing, social engineering và các thực hành điện toán an toàn.
  • Lập kế hoạch ứng phó sự cố (Incident response planning): Phát triển và thường xuyên kiểm tra các quy trình ứng phó sự cố toàn diện cho các kịch bản ransomware.
  • Kiểm toán bảo mật: Thực hiện đánh giá lỗ hổng (vulnerability assessments) và kiểm tra thâm nhập (penetration testing) thường xuyên để xác định các điểm yếu bảo mật.
  • Quản lý rủi ro nhà cung cấp (Vendor risk management): Đánh giá và giám sát tình hình bảo mật của các nhà cung cấp dịch vụ bên thứ ba.

Wazuh cung cấp gì để bảo vệ chống lại ransomware

Wazuh là một nền tảng bảo mật mã nguồn mở và miễn phí cung cấp các khả năng toàn diện để phát hiện, ngăn chặn và ứng phó với các mối đe dọa ransomware. Đây là một nền tảng XDR (Extended Detection and Response) và SIEM (Security Information and Event Management) thống nhất. Wazuh giúp các tổ chức xây dựng khả năng phục hồi chống lại các cuộc tấn công ransomware thông qua các tính năng có sẵn và khả năng tích hợp với các nền tảng bảo mật khác.

Phát hiện và ngăn chặn mối đe dọa

  • Phát hiện Malware: Wazuh tích hợp với các nguồn cấp dữ liệu threat intelligence và sử dụng các phương pháp phát hiện dựa trên chữ ký (signature-based) và dựa trên bất thường (anomaly-based) để xác định các biến thể ransomware đã biết.
  • Phát hiện lỗ hổng (Vulnerability detection): Khả năng này của Wazuh quét các hệ thống để tìm các lỗ hổng đã biết mà ransomware thường khai thác, cho phép vá lỗi chủ động (proactive patching) và giảm khả năng bị xâm phạm thành công.
  • Phân tích dữ liệu nhật ký (Log data analysis): Khả năng này của Wazuh phân tích các sự kiện bảo mật thu thập từ các endpoint của người dùng, máy chủ, khối lượng công việc đám mây và thiết bị mạng để phát hiện các chỉ số của ransomware.
  • Giám sát cấu hình bảo mật (Security configuration monitoring - SCA): SCA của Wazuh đánh giá cấu hình hệ thống dựa trên các thực tiễn tốt nhất về bảo mật và các khung tuân thủ.
  • Giám sát tính toàn vẹn của tệp (File integrity monitoring - FIM): Khả năng này của Wazuh giám sát các tệp và thư mục quan trọng, phát hiện các sửa đổi trái phép có thể cho thấy hoạt động mã hóa của ransomware.
  • Giám sát tuân thủ quy định (Regulatory compliance monitoring): Khả năng này của Wazuh giúp các tổ chức duy trì các tiêu chuẩn bảo mật và các yêu cầu tuân thủ quy định để ngăn chặn các cuộc tấn công ransomware.

Khả năng ứng phó sự cố

  • Phản ứng chủ động (Active response): Khả năng Active Response của Wazuh tự động thực hiện các hành động được xác định trước khi các mối đe dọa được phát hiện, chẳng hạn như cô lập các hệ thống bị nhiễm, chặn các tiến trình độc hại hoặc cách ly các tệp.
  • Tích hợp với các giải pháp bên ngoài: Wazuh tích hợp với các công cụ và nền tảng bảo mật khác để cải thiện tình hình bảo mật của các tổ chức.

Các trường hợp sử dụng

Các phần sau đây trình bày một số trường hợp sử dụng Wazuh để phát hiện và ứng phó với ransomware.

Phát hiện và ứng phó với ransomware DOGE Big Balls bằng Wazuh

Ransomware DOGE Big Balls, một phiên bản sửa đổi của ransomware FOG, kết hợp các exploit kỹ thuật với thao túng tâm lý nhắm vào môi trường doanh nghiệp. Biến thể malware này phân phối payload của nó thông qua các chiến dịch phishing hoặc các lỗ hổng chưa được vá. Sau đó, nó thực hiện privilege escalation, reconnaissance, mã hóa tệp và tạo ghi chú trên endpoint của nạn nhân.

Phát hiện

Wazuh phát hiện ransomware DOGE Big Balls bằng cách sử dụng các quy tắc phát hiện mối đe dọa và danh sách Wazuh Custom Database (CBD) để khớp với mẫu cụ thể của nó.

  • Danh sách CBD chứa các lệnh reconnaissance của DOGE Big Balls. 
net  config Workstation:
systeminfo:
hostname:
net  users:
ipconfig  /all:
route  print:
arp  -A:
netstat  -ano:
netsh firewall show state:
netsh firewall show config:
schtasks  /query /fo LIST /v:
tasklist  /SVC:
net  start:
DRIVERQUERY:
  • Các quy tắc phát hiện mối đe dọa
<group name="doge_big_ball,ransomware,">

  <rule id="100020" level="10">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*.\\\\DbgLog.sys</field>
    <description>A log file $(win.eventdata.targetFilename) was created to log the output of the reconnaissance activities of the DOGE Big Balls ransomware. Suspicious activity detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  <rule id="100021" level="8" timeframe="300" frequency="2">  
    <if_sid>61603</if_sid>  
    <list field="win.eventdata.commandLine" lookup="match_key">etc/lists/doge-big-balls-ransomware</list>  
    <description>The command $(win.eventdata.commandLine) is executed for reconnaissance activities. Suspicious activity detected.</description>  
    <options>no_full_log</options>  
  </rule>

<!-- Ransom note file creation -->
  <rule id="100022" level="15" timeframe="300" frequency="2">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*.\\\\readme.txt</field>
    <description>DOGE Big Balls ransom note $(win.eventdata.targetFilename) has been created in multiple directories. Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  
  <rule id="100023" level="15" timeframe="300" frequency="2" ignore="100">
    <if_matched_sid>100020</if_matched_sid>
    <if_sid>100021</if_sid>
    <description>Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule> 

</group>

Các quy tắc này đánh dấu việc thực thi các lệnh reconnaissance đã biết và phát hiện khi nhiều ghi chú tiền chuộc xuất hiện trên các thư mục. Đây là các IOCs của ransomware DOGE Big Balls cho thấy việc mã hóa tệp và các hoạt động ransomware khác.

Phát hiện DOGE Big Balls ransomware với Wazuh
Phát hiện DOGE Big Balls ransomware với Wazuh

Phản ứng tự động

Wazuh cho phép phát hiện và loại bỏ ransomware bằng khả năng File Integrity Monitoring (FIM) và tích hợp với YARA. Trong trường hợp sử dụng này, Wazuh giám sát thư mục Downloads theo thời gian thực. Khi một tệp mới hoặc sửa đổi xuất hiện, nó sẽ kích hoạt khả năng active response để thực hiện quét YARA. Nếu một tệp khớp với các chữ ký ransomware YARA đã biết như DOGE Big Balls, tập lệnh active response tùy chỉnh sẽ tự động xóa nó và ghi lại hành động. Các bộ giải mã và quy tắc tùy chỉnh trên máy chủ Wazuh phân tích các nhật ký đó để tạo cảnh báo cho thấy liệu tệp có được phát hiện và xóa thành công hay không.

Phản ứng tự động với DOGE Big Balls ransomware
Phản ứng tự động với DOGE Big Balls ransomware

Phát hiện ransomware Gunra bằng Wazuh

Ransomware Gunra thường được các tội phạm mạng cá nhân sử dụng để tống tiền nạn nhân. Nó sử dụng mô hình tống tiền kép (double-extortion) mã hóa tệp và exfiltrate dữ liệu để công bố nếu nạn nhân không trả tiền chuộc. Ransomware Gunra lây lan qua các hệ thống Windows bằng cách mã hóa tệp, thêm phần mở rộng .ENCRT và để lại các ghi chú tiền chuộc có tên R3ADM3.txt. Nó xóa các shadow copy, vô hiệu hóa các dịch vụ sao lưu và antivirus để chặn khôi phục, đồng thời sử dụng mạng Tor để che giấu danh tính của kẻ điều hành. Những hành động này làm cho việc khôi phục dữ liệu trở nên khó khăn và giúp kẻ tấn công duy trì ẩn danh trong các cuộc đàm phán tiền chuộc.

Phát hiện

Các quy tắc Wazuh sau đây cảnh báo khi các ghi chú tiền chuộc có tên R3ADM3.txt xuất hiện, các thành phần hệ thống như VSS hoặc amsi.dll bị giả mạo, hoặc các module đáng ngờ như urlmon.dll được tải để hoạt động mạng. Các quy tắc cũng theo dõi các nỗ lực xóa shadow copy hoặc vô hiệu hóa các chức năng sao lưu và quản trị, cho thấy hành vi điển hình của ransomware đang chuẩn bị mã hóa tệp.

  • Các quy tắc phát hiện mối đe dọa
<group name="gunra,ransomware,">

  <!--Ransom note file creation-->
  <rule frequency="2" id="100601" ignore="100" level="15" timeframe="100">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.Image" type="pcre2">[^"]+\.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">[^"]*R3ADM3\.txt</field>
    <description>Possible Gunra ransomware activity detected: Multiple ransom notes dropped in $(win.eventdata.targetFilename)</description>
    <mitre>
      <id>T1543.003</id>
      <id>T1486</id> 
    </mitre>
  </rule>

  <!--Antimalware Scan Interface Access Modification-->
  <rule id="100602" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\Windows\\\\System32\\\\amsi\.dll</field>
    <description>Possible ransomware activity detected: Suspicious Volume Shadow copy Service (VSS) loaded amsi.dll for tampering and evasion attempt.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <rule id="100603" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">(C:\\\\Windows\\\\SystemApps\\\\Microsoft\.Windows\.AppRep\.ChxApp_cw5n1h2txyewy\\\\CHXSmartScreen\.exe)</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\Windows\\\\System32\\\\urlmon\.dll</field>
    <description>Possible ransomware activity detected: Urlmon.dll was loaded, indicating network reconnaissance.</description>
    <mitre>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <!--Volume Shadow copy Service (VSS) deletion-->
  <rule id="100604" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Backup Operators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-551</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion attempts, gearing up to disable backups.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

  <rule id="100605" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Administrators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-544</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\Windows\\\\System32\\\\VSSVC\.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion shadow attempts, gearing to disable local admin accounts</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

</group>
Phát hiện Gunra ransomware với Wazuh
Phát hiện Gunra ransomware với Wazuh

Phản ứng tự động

Wazuh thực hiện các phản ứng tự động đối với các hoạt động tệp độc hại của ransomware Gunra bằng khả năng FIM và tích hợp với VirusTotal. Trong trường hợp sử dụng này, module File Integrity Monitoring (FIM) của Wazuh giám sát thư mục Downloads theo thời gian thực, kích hoạt quét bất cứ khi nào tệp được thêm hoặc thay đổi. Một executable active response tùy chỉnh sau đó sẽ xóa an toàn bất kỳ tệp nào mà VirusTotal gắn cờ là mối đe dọa.

Phản ứng tự động với Gunra ransomware
Phản ứng tự động với Gunra ransomware

Bảo vệ ransomware trên Windows với Wazuh

Wazuh cung cấp bảo vệ ransomware và khôi phục tệp trên các endpoint Windows được giám sát bằng cách sử dụng module command và Windows Volume Shadow Copy Service (VSS). Sự tích hợp này cho phép quản trị viên tự động chụp nhanh các endpoint được giám sát để khôi phục tệp về trạng thái trước khi chúng bị mã hóa bởi malware.

Wazuh bảo vệ ransomware trên Windows
Wazuh bảo vệ ransomware trên Windows

Hình ảnh sau đây cho thấy các cảnh báo khôi phục tệp thành công của Wazuh Active Response.

Cảnh báo khôi phục tệp thành công của Wazuh Active Response
Cảnh báo khôi phục tệp thành công của Wazuh Active Response

Kết luận

Các cuộc tấn công ransomware gây ra thiệt hại đáng kể về tài chính, hoạt động và danh tiếng. Chúng đòi hỏi các biện pháp phòng thủ đa lớp kết hợp phát hiện sớm với ứng phó sự cố. Các tổ chức đầu tư vào các thực hành này sẽ được trang bị tốt hơn để chịu đựng và phục hồi sau các cuộc tấn công như vậy.

Wazuh cung cấp các khả năng cho phép phát hiện sớm và phản ứng nhanh chóng để ngăn chặn các cuộc tấn công ransomware. Nó cung cấp các khả năng có sẵn để phát hiện lỗ hổng (vulnerability detection), giám sát tính toàn vẹn của tệp (file integrity monitoring), phân tích dữ liệu nhật ký (log data analysis) và các phản ứng tự động để ngăn ngừa mất dữ liệu và thời gian ngừng hoạt động do ransomware gây ra.

Thẻ liên quan
#Ransomware #Wazuh #An ninh mạng #Phát hiện mối đe dọa #Ứng phó sự cố