Ransomware Playbook Template: Chuẩn bị, phòng vệ và hành động cần thiết khi bị tấn công (Phần 1)

1. Giới thiệu

Ransomware là một mối đe dọa đặc biệt nghiêm trọng và cấp bách cho doanh nghiệp. Tài liệu này nhằm phác thảo một cách tiếp cận có hệ thống và cụ thể để ứng phó với cuộc tấn công bằng ransomware, cách tiếp cận này có thể được tuỳ chỉnh và tối ưu cho phù hợp với một tổ chức cụ thể. Tài liệu này không được thiết kế để trở thành một tài liệu độc lập. Thay vào đó, nó được tích hợp với các biện pháp đối phó an ninh tổ chức khác trong suốt quy trình ứng phó sự cố và các tài liệu liên quan bao gồm chính sách bảo mật thông tin, quy định và quy trình báo cáo vi phạm, quy trình vận hành an ninh bảo mật và tài liệu quản lý sự cố.

Viện Tiêu chuẩn và Công nghệ Quốc Gia (NIST) định nghĩa ransomware là một loại phần mềm độc hại cố gắng ngăn chặn quyền truy cập vào dữ liệu của người dùng, thường bằng cách mã hóa dữ liệu cho đến khi nạn nhân trả tiền chuộc.

Tài liệu này nêu ra một số ý tưởng về cách chuẩn bị và phòng vệ trước một cuộc tấn công bằng ransomware cũng như các hành động ứng phó cần thiết nếu xảy ra. 

2. Phương pháp

 Mục tiêu chính của tài liệu playbook này là giúp các tổ chức phát triển tài liệu playbook của riêng họ để có thể phát hiện, ngăn chặn và khôi phục hệ thống sau khi bị lây nhiễm mã độc nhanh nhất có thể. Cấu trúc của tài liệu playbook này dựa trên tài liệu SP 800-61 Computer Security Event Handling Guide (NIST). Tài liệu này phác thảo các khuyến nghị của NIST về chính sách, kế hoạch và quy trình xử lý sự cố bảo mật.

Theo United States Computer Emergency Readiness Team (US CERT), định nghĩa về sự cố an ninh mạng là "[…] hành vi vi phạm chính sách bảo mật rõ ràng hoặc ngầm định”. Định nghĩa này dựa trên sự tồn tại của chính sách bảo mật, mặc dù được hiểu một cách chung chung nhưng có sự khác nhau giữa các tổ chức.

Chúng bao gồm nhưng không giới hạn ở:

• Sự cố gắng (thất bại hoặc thành công) để có được quyền truy cập trái phép vào hệ thống hoặc dữ liệu của tổ chức

• Sự gián đoạn hoặc từ chối dịch vụ không mong muốn

• Việc sử dụng trái phép hệ thống để xử lý hoặc lưu trữ dữ liệu

• Thay đổi các đặc điểm phần cứng, firmware hoặc phần mềm của hệ thống mà chủ sở hữu không biết, hoặc đồng ý

Việc phát hiện ransomware sẽ đòi hỏi sự chăm chỉ của cả quản trị viên hệ thống và người dùng. Tài liệu Playbook này sẽ hướng dẫn cách sử dụng IoC để xác định các máy bị nhiễm hoặc hoạt động độc hại, cũng như các hành động ứng phó cần thực hiện để giảm thiểu tác động của cuộc tấn công bằng ransomware đối với doanh nghiệp. Hiểu cách thức lây nhiễm xảy ra và thông tin từ IoC giúp loại bỏ mối đe dọa hiện tại và ngăn chặn các sự cố trong tương lai. 

3. Khả năng phục hồi của tổ chức

 Khả năng phục hồi là khả năng của tổ chức để chuẩn bị, ứng phó và phục hồi nhanh chóng sau một sự kiện bất lợi. Khả năng phục hồi là khái niệm bao quát quan trọng khi nó không chỉ bảo vệ tổ chức khỏi các cuộc tấn công của ransomware mà còn đảm bảo xây dựng một quy trình kinh doanh mạnh mẽ và hiệu quả. Một cuộc tấn công bằng ransomware về cơ bản là một bài kiểm tra khả năng phục hồi của tổ chức hoặc nói cách khác là kiểm tra mức độ phụ thuộc của tổ chức vào các hệ thống máy tính cụ thể. Trong một tổ chức vừa và lớn, một máy trạm bị ảnh hưởng bởi ransomware có lẽ không phải là vấn đề lớn trừ khi máy trạm đó là máy trạm được sử dụng để trả lương hoặc kế toán. Tuy nhiên, nếu toàn bộ nhóm máy trạm và máy tính xách tay bị ảnh hưởng hoặc toàn bộ hệ thống như hậu cần vận chuyển hàng hóa, vận hành kho hàng, thông tin liên lạc của tài xế, hệ thống quét nhận/giao hàng, v.v. bị ngừng hoạt động, điều này có thể trở thành một sự kiện ảnh hưởng rất nhiều đến kinh doanh.

Dành thời gian để xem xét các hoạt động kinh doanh hàng ngày của tổ chức và xác định từng quy trình kinh doanh cũng như hệ thống mà chúng sử dụng để đánh giá tác động đến doanh nghiệp nếu hệ thống đó không khả dụng. Kế hoạch dự phòng là gì? Tổ chức có quy trình vận hành thay thế không? Làm thế nào để đáp ứng nhu cầu hoạt động kinh doanh nếu không có thiết bị hoặc hệ thống máy tính đó? Ví dụ: nếu toàn bộ cơ sở hạ tầng máy chủ của tổ chức thuộc về một nhà cung cấp điện toán đám mây (Cloud Service Provider - CSP) cụ thể, tổ chức sẽ làm gì nếu CSP đó bị ngừng hoạt động hoặc xảy ra sự cố gây mất dịch vụ? Điều gì sẽ xảy ra nếu máy tính bảng/máy quét được sử dụng để ghi lại việc nhận và giao hàng hóa không hoạt động? Nếu câu trả lời là bạn không có bất kỳ giải pháp thay thế hoặc kế hoạch dự phòng nào thì tổ chức đang có một hệ thống CNTT rất mong manh và rất dễ bị tổn thương, gián đoạn.

Một trong những khía cạnh quan trọng của khả năng phục hồi là công tác chuẩn bị trước khi có một sự kiện. Đối với ransomware, điều này có nghĩa là tăng cường bảo mật hệ thống và quy trình kinh doanh để dự đoán trước sự kiện. Đầu tiên, hãy củng cố môi trường CNTT của tổ chức. Phần sau đây sẽ trình bày chi tiết hơn về một số bước có thể thực hiện để nâng cao khả năng phòng vệ của tổ chức trước cuộc tấn công bằng ransomware. Sau đó, phát triển các công cụ, tài liệu, quy trình và chính sách ứng phó sự cố trước khi sự kiện diễn ra để mọi người biết ai chịu trách nhiệm làm gì và làm như thế nào. Điều này sẽ giúp giảm tác động tiêu cực của sự kiện.

Khả năng phục hồi là một lĩnh vực nghiên cứu rộng lớn và phong phú và việc đề cập đầy đủ nằm ngoài phạm vi của tài liệu này nhưng đây là một lĩnh vực rất đáng để khám phá. 

4. Phòng chống phần mềm độc hại

Khả năng phòng thủ tốt trước phần mềm độc hại sẽ giúp loại bỏ hoặc giảm thiểu tác động của sự kiện ransomware trên toàn bộ doanh nghiệp. Ta bắt đầu đầu với việc đảm bảo hệ thống mạng được quét và kiểm soát chặt chẽ. Để bảo vệ và phát hiện sự kiện phần mềm độc hại một cách hiệu quả hơn, chiến lược rủi ro nên là triển khai phòng thủ sâu theo đúng các tiêu chuẩn kiểm soát của Center for Internet Security (CIS) được chỉ định dưới đây, cũng như các đề xuất của các tổ chức khác uy tín trong ngành như FireEye về Ransomware.

Protection and Containment Strategies (Phụ lục A), và các khuyến nghị thiết kế mạng, cấu hình, các thủ tục vận hành và chính sách bảo mật:

Ngoài các biện pháp kiểm soát CIS, cần thực hiện các bước bổ sung để giúp giảm thiểu rủi ro và tác động của ransomware.

• Phân đoạn mạng (network segmentation) giữa các máy trạm (trong hầu hết các trường hợp các máy trạm không cần liên lạc hoặc kết nối với nhau)

• Phân đoạn mạng (network segmentation) giữa các máy trạm và hệ thống sản xuất

• Quét và vá lỗ hổng thường xuyên

• Lockdown và cấu hình máy trạm (Xem báo cáo FireEye ở Phụ lục A)

• Whitelist và khóa quyền truy cập máy chủ và máy trạm từ xa (RDP)

• Lập bản đồ và ghi lại các cơ chế cách ly mạng vật lý

• Duy trì danh sách động và cập nhật thường xuyên các Endpoint và Port đang hoạt động

• Đóng tất cả các port/service không cần thiết và hạn chế quyền quản trị cục bộ trên endpoint

• Đào tạo người dùng cuối để học cách nhận biết mối đe dọa

• Vui lòng xem Phụ lục B (US Gov - Ransomware Prevention and Responsedành cho CISO) để biết thêm các khuyến nghị và đề xuất về cách cải thiện khả năng phòng vệ. 

Chiến lược cũng nên bao gồm nhiều phương pháp sao lưu và lưu trữ dự phòng có thể được kết hợp để tăng khả năng giảm thiểu tác động đến mức tối đa có thể. Sau đây là một số phương pháp sao lưuvà lưu trữ:

• Sao lưu snapshot toàn bộ máy chủ dữ liệu chính mỗi vài giờ và các kho dữ liệu tĩnh (static data repositories) được sao lưu hàng ngày.

• Versioned replication các bộ dữ liệu quan trọng giữa các site khác nhau.

• Cold Backup được thay đổi hàng tuần được lấy từ các bộ sao lưu trực tuyến.

• SAN disk storage appliance snapshot bao gồm các snapshot mỗi hai giờ cho dữ liệu máy chủ quan trọng. Các snapshot này là riêng biệt so với các sao lưu khác và lưu trữ trực tiếp trên thiết bị SAN, làm cho chúng rất khó bị tấn công và nhiễm mã độc hay bị hủy hoại. 

Cyber Kill Chain

Trước khi một tổ chức có thể bảo vệ và phục hồi sau sự kiện phần mềm độc hại, điều quan trọng là phải hiểu cách thức các cuộc tấn công đó xảy ra. Cyber Kill Chain®, được phát triển bởi Lockheed Martin2, là một cấu trúc hữu ích để phân tích mô hình của một cuộc tấn công và xác định các thời điểm quan trọng để có thể ngăn chặn một cuộc tấn công. Ta ngăn chặn cuộc tấn công càng sớm thì thiệt hại sẽ càng ít. Nói chung, cyber kill chain được chia thành 7 bước:

Trinh sát (Reconaissance) – Thực hiện cả việc thu thập thông tin chủ động và thụ động về mục tiêu như mạng, kiến trúc, cách bố trí, hệ thống, nhân sự, nhà thầu, v.v. Mục đích của việc trinh sát là tìm ra các lỗ hổng và điểm yếu trong hệ thống phòng thủ của mục tiêu để vạch ra phương án tốt nhất vectơ tấn công.

Vũ khí hóa (Weaponization) – Phát triển vũ khí (Phần mềm độc hại, mã khai thác, v.v.) để khai thác các lỗ hổng và điểm yếu đã được xác định của mục tiêu.

Phân phối (Delivery) – Phân phối mã độc cho mục tiêu thông qua email, tệp tải xuống từ các trang web hoặc truy cập trực tiếp vào hệ thống mạng.

Khai thác (Exploitation) – Xâm nhập hệ thống hoặc thiết bị mục tiêu và giành quyền kiểm soát thiết bị. Khi chỗ đứng đã được thiết lập, kẻ tấn công có thể cố gắng leo thang đặc quyền, thu thập thông tin đăng nhập, v.v...

Cài đặt (Installation) – Kẻ tấn công cài đặt web shell, backdoor hoặc các công cụ khác để vượt qua các cơ chế bảo mật và có được quyền truy cập từ xa liên tục. Điều này cũng có thể bao gồm việc cài đặt phần mềm độc hại như ransomware sẽ được tung ra vào một thời điểm nào đó trong tương lai.Command and Control– Các công cụ truy cập từ xa thiết lập kết nối với các máy chủ ra lệnh và kiểm soát bên ngoài, cho phép kẻ tấn công thực hiện các hành động trên mạng bị xâm nhập, chẳng hạn như tải xuống khóa mã hóa trước khi mã hóa các tệp trong cuộc tấn công bằng ransomware. 

Hành động theo mục tiêu (Action on Object) – Kẻ tấn công đạt được mục tiêu cuối cùng như lấy cắp thông tin nhạy cảm hoặc, trong trường hợp tấn công ransomware có chủ đích, mã hóa máy tính và xóa sạch các bản sao lưu trực tuyến để tống tiền nạn nhân mục tiêu. Nó cũng có thể bao gồm việc tái lây nhiễm, trong đó kẻ tấn công kích hoạt các loại phần mềm độc hại khác được phân phối trong cuộc tấn công ban đầu để lây nhiễm lại các máy và/hoặc máy chủ. 

Các cuộc tấn công bằng ransomware không chỉ giới hạn mục tiêu là các người dùng cuối vô tình, chúng có thể là một phần của cuộc tấn công mạng có mục tiêu lớn hơn và phức tạp hơn.

Trong các cuộc tấn công có chủ đích, các kẻ tấn công có thể ẩn trong hệ thống một thời gian dài và thực hiện trinh sát để xác định và mã hóa/vô hiệu hóa các bản sao lưu trực tuyến cũng nhưnhắm mục tiêu vào các máy chủ quan trọng để gia tăng phạm vi tác động của cuộc tấn công.

Các cuộc tấn công bằng ransomware cũng có thể được sử dụng để che giấu các hoạt động độc hại khác như Business Email Compromise (BEC), lấy cắp dữ liệu Thông tin nhận dạng cá nhân (PII), sửa đổi dữ liệu, gian lận chuyển khoản ngân hàng, trộm cắp dữ liệu và hoạt động tội phạm khác. Trong một số trường hợp nhất định, chẳng hạn như NotPetya, phần mềm độc hại có chủ đích phá hoại có thể giả dạng phần mềm tống tiền để che giấu ý định thực sự của kẻ đe dọa.

Trong trường hợp xảy ra một cuộc tấn công “click and run” đơn giản, chúng ta có thể dự đoán rằng ransomware sẽ nhanh chóng (trong vòng vài giây) cố gắng thực hiện tất cả những điều sau:

• Mã hóa nội dung đĩa cứng cục bộ

• Mã hóa nội dung ổ đĩa chia sẻ được kết nối (chia sẻ và lưu trữ tệp của người dùng và công ty bao gồm mọi thứ được ánh xạ dưới dạng ổ đĩa mạng bao gồm SharePoint, hệ thống kế toán dựatrên cơ sở dữ liệu được chia sẻ, v.v.)

• Mã hóa nội dung ổ USB

• Xóa các điểm khôi phục (restore point) Windows

• Vô hiệu hóa Windows recovery

• Lây lan sang các máy trạm và máy chủ khác thông qua

  - Các lỗ hổng bảo mật (ví dụ: Eternal Blue)

  - Ổ USB

  - Thông tin xác thực được thu thập hoặc chia sẻ

Trong trường hợp những kẻ tấn công đã nằm trong hệ thống mạng trước cuộc tấn công, chúng sẽ nhắm mục tiêu vào các bản sao lưu trực tuyến và càng nhiều máy chủ và máy trạm càng tốt trước khi thực hiện cuộc tấn công mã hóa tệp.