9 dấu hiệu cảnh báo sớm ransomware

1150
13-07-2022
9 dấu hiệu cảnh báo sớm ransomware

Tội phạm mạng bắt đầu bằng cách tìm kiếm lỗ hổng trong hệ thống của bạn và sau đó họ sẽ thử các chiến thuật khác nhau để tìm hiểu cách khai thác tốt nhất. Tin tặc sẽ dành hàng tuần hoặc hàng tháng để kiểm tra hệ thống của bạn. Một khi đòn tấn công toàn diện đã được tung ra, rất khó để phát hiện và ngăn chặn nó đủ nhanh. Vì vậy, việc giám sát các dấu hiệu cảnh báo sớm ransomware là rất quan trọng.

Không có giải pháp an ninh mạng nào được đảm bảo 100% để ngăn chặn bất kỳ hình thức tấn công nào. Bạn cần giải quyết các vấn đề như bảo mật zero trust, an ninh mạng nhiều lớp, khả năng hiển thị và kiểm soát. Bạn cũng cần có khả năng phản ứng nhanh với các dấu hiệu cảnh báo sớm ransomware này vì bạn không bao giờ biết khi nào cuộc tấn công thực sự sẽ diễn ra.

9 dấu hiệu cảnh báo sớm ransomware

Tội phạm mạng thường kiểm tra hệ thống của bạn theo nhiều cách khác nhau trước khi chúng khởi động một cuộc tấn công toàn diện ransomware. Dưới đây là những điều chính bạn cần tìm kiếm và phản hồi nhanh chóng.

1. Email spam và lừa đảo

Có vẻ như cho dù có bao nhiêu thông tin được công bố về sự nguy hiểm của email rác thì vẫn luôn có những người có thể bị lừa khi nhấp vào một liên kết độc hại trong email. Email lừa đảo có thể đến từ một nguồn đáng tin cậy như ngân hàng, công ty phát hành thẻ tín dụng hoặc một dịch vụ trực tuyến như PayPal.

9 dấu hiệu cảnh báo sớm ransomware - Ảnh 1.

2. Các hoạt động đăng nhập đáng ngờ lặp lại

Ví dụ, một vài lần đăng nhập không thành công thường xảy ra khi ai đó quên mật khẩu của họ. Tuy nhiên, nếu bạn thấy số lần đăng nhập không thành công tăng đột biến, đặc biệt nếu chúng từ các tài khoản khác nhau, thì có khả năng ai đó đang cố gắng xâm nhập vào hệ thống của bạn.

Điều khác cần tìm là những lần đăng nhập thành công đáng ngờ. Ví dụ về các đăng nhập đáng ngờ sẽ là ai đó đăng nhập từ một vị trí bất thường hay địa chỉ IP khác. Hoặc ai đó đăng nhập từ Mỹ và sau đó từ Trung Quốc trong vòng vài giờ cách nhau, điều này là không thể thực hiện được.

3. Máy quét mạng bất hợp pháp

Ai đó trong nhóm của bạn có thể sử dụng máy quét mạng như Angry IP hoặc Advanced Port Scanner cho mục đích hợp pháp. Tuy nhiên, hãy đảm bảo rằng bạn biết ai đang chạy máy quét. Một tin tặc có được quyền truy cập vào một máy thường sẽ cố gắng xác định những gì họ có thể truy cập khác trên mạng của bạn bằng cách sử dụng máy quét mạng. Một máy quét mạng mà bạn không thể tìm thấy cũng có thể là một tin tặc đang chuẩn bị cho một cuộc tấn công bằng ransomware.

9 dấu hiệu cảnh báo sớm ransomware - Ảnh 2.

5. Dấu hiệu của các cuộc tấn công thử nghiệm

Trước một cuộc tấn công bằng ransomware, tin tặc sẽ tìm kiếm các lỗ hổng và sau đó kiểm tra phát hiện của chúng bằng cách khởi động một cuộc tấn công quy mô nhỏ trên một vài máy để xem bạn phản ứng như thế nào và nhanh như thế nào (nếu có).

Cách tiếp cận này giúp họ có cơ hội xem họ có thể vượt qua hàng phòng thủ của bạn dễ dàng như thế nào và họ nên sửa đổi đòn tấn công toàn diện của mình như thế nào. Các cuộc tấn công quy mô nhỏ này thường trông giống như chúng xảy ra một lần hoặc không liên quan, nhưng chúng thường là một phần của kế hoạch lớn hơn có thể kéo dài hàng tuần hoặc hàng tháng.

6. Sự hiện diện của các công cụ tin tặc

MimiKatz và Microsoft Process Explorer là hai công cụ thường được tin tặc sử dụng khi muốn đánh cắp thông tin đăng nhập. Họ cũng sử dụng các ứng dụng như GMER, PC Hunter, Process Hacker và IOBit Uninstaller để vô hiệu hóa bảo mật. Bất kỳ dấu hiệu nào của các công cụ này trên hệ thống của bạn sẽ kích hoạt một cuộc điều tra ngay lập tức.

7. Truy cập trái phép vào Active Directory

Cùng lúc với việc tin tặc cài đặt phần mềm quét mạng, chúng cũng có thể sẽ cố gắng xâm nhập vào Active Directory (AD) của công ty bạn và giành quyền truy cập miền thông qua các công cụ như BloodHound và AD Find.

Ví dụ: BloodHound sử dụng một trình nhập có tên SharpHound, có dạng dòng lệnh .exe hoặc tập lệnh PowerShell . Mục tiêu của nó là thu thập thông tin về người dùng, nhóm và máy tính AD, đồng thời lập bản đồ đường dẫn để chuyển đặc quyền lên quản trị viên miền.

8. Cố gắng sao lưu bị hỏng hoặc vô hiệu hóa phần mềm bảo mật

Trong nhiều trường hợp, tội phạm mạng mã hóa dữ liệu trực tiếp và yêu cầu tiền để học khu lấy lại quyền truy cập. Một số đang bắt đầu tìm cách làm hỏng các bản sao lưu hoặc vô hiệu hóa phần mềm bảo mật. Một bản sao lưu bị hỏng khiến khu học chánh không thể khôi phục dữ liệu của mình trong khi việc vô hiệu hóa phần mềm bảo mật sẽ cho phép tin tặc toàn quyền truy cập.

9 dấu hiệu cảnh báo sớm ransomware - Ảnh 3.

9. Mã hóa một số lượng nhỏ thiết bị

Tội phạm mạng biết rằng chúng hoạt động càng chậm trong hệ thống của bạn thì càng khó tìm thấy chúng. Tuy nhiên, họ có thể di chuyển nhanh khi có lợi cho họ. Ngay trước khi thực hiện một cuộc tấn công đầy đủ, họ thường chỉ mã hóa một vài thiết bị để kiểm tra xem kế hoạch của họ đang hoạt động như thế nào. Đây là một tín hiệu rõ ràng cho thấy một cuộc tấn công ransomware quy mô lớn sắp xảy ra.

Các cuộc tấn công ransomware chắc chắn là vấn đề đau đầu nhất về an ninh mạng đối với các nhóm CNTT. Hậu quả có thể rất lớn dù những cuộc tấn công đó không chỉ xảy ra đột ngột. Thiết lập các quy trình và công cụ để theo dõi các dấu hiệu cảnh báo sớm ransomware này và thực hiện hành động khi cờ đỏ được kích hoạt. Khả năng phát hiện và xử lý các nỗ lực sớm cũng như các cuộc tấn công nhỏ hơn của bạn sẽ giúp khiến khu vực của bạn trở thành mục tiêu kém hấp dẫn hơn.

SHARE