Ireland truy lùng người tải dữ liệu bị đánh cắp từ tấn công mã độc

Trận chiến 'từng mili giây' chống mã độc tống tiền

Các nhà khoa học máy tính đang nỗ lực đẩy giới hạn thời gian của phần mềm để tìm ra cách ngăn chặn gần như tức thời các cuộc tấn công phá hủy mạng máy tính.

Một loạt cuộc tấn công ransomware gần đây đã khiến những người có chức trách phải tập trung chú ý vào vấn đề thời gian

115 mili giây. Nhanh như một tia chớp, đó là khoảng thời gian mà một công nghệ mới có thể phát hiện ra ransomware (mã độc tống tiền) đã bùng phát trên máy tính và ngăn nó gây ra thêm nhiều thiệt hại. Theo Bloomberg, công nghệ mới này được phát triển bởi các nhà nghiên cứu từ cơ quan khoa học quốc gia của Úc và một trường đại học ở Hàn Quốc, nhằm giải quyết thách thức gây khó chịu đã cản trở nỗ lực quốc tế ngăn chặn các cuộc tấn công mã độc ngày càng có xu hướng trở nên táo bạo hơn.

Một loạt cuộc tấn công ransomware gần đây đã khiến những người có chức trách phải tập trung chú ý vào vấn đề thời gian và thúc đẩy sự phát triển bùng nổ cho một phần của ngành công nghiệp an ninh mạng. Theo dữ liệu từ hãng nghiên cứu Gartner Inc, kể từ năm 2016, chi tiêu cho phần mềm "bảo vệ điểm cuối" ở Mỹ đã tăng hơn gấp đôi, lên 9,11 tỉ USD vào năm ngoái. Tháng trước, Tổng thống Mỹ Joe Biden ban hành lệnh hành pháp yêu cầu các cơ quan liên bang dân sự triển khai một loại công nghệ cụ thể, được gọi là "phần mềm phản hồi và phát hiện điểm cuối", trong mạng lưới hoạt động của cơ quan.

Sự tiến bộ của các phần mềm mới là nó không chỉ chặn được các tệp được xem là độc hại, mà còn có thể tự động hóa việc truy tìm hành vi đáng ngờ trên máy tính của người dùng, nhằm xác định các mã bị nhiễm độc trước khi chúng gây ra thiệt hại. Tuy nhiên, ông Oliver Spence, đồng sáng lập của North Star Cyber Security có trụ sở tại Vương quốc Anh, cho rằng thách thức kỹ thuật của các phần mềm chống mã độc mới vẫn còn nhiều khó khăn.

"Giải quyết ransomware khó hơn gấp nhiều lần so với việc giải quyết thư rác, một vấn đề mà đến bây giờ vẫn chưa được giải quyết triệt để. Làm cách nào để bạn biết email nào là hợp pháp? Làm cách nào để biết một quy trình có hợp pháp hay không?", ông Spence nói.

Ransomware là một loại tấn công mạng mã hóa các tệp trên máy tính của nạn nhân, khiến chúng trở nên vô dụng cho đến khi người dùng trả tiền chuộc. Có thể chỉ mất vài phút để ransomware làm tê liệt toàn bộ mạng. Ví dụ, cuộc tấn công nhắm vào Colonial Pipeline mới đây đã buộc đường ống dẫn xăng dầu lớn nhất nước Mỹ ngay lập tức ngưng hoạt động. Nhà sản xuất thịt lớn nhất toàn cầu JBS SA cũng phải tạm thời đóng cửa tất cả nhà máy sản xuất thịt bò ở Mỹ sau khi trở thành mục tiêu của tin tặc. Những sự việc như vậy cho thấy lỗ hổng đáng báo động trong việc bảo vệ các ngành công nghiệp quan trọng.

Một trong số ít cách để giải quyết vấn đề là sử dụng phần mềm bảo mật chạy sâu bên trong hệ điều hành của máy tính. Ở đó, phần mềm bảo mật có thể thấy từng chương trình, hoặc quy trình, đang chạy trên máy và có cách phân biệt tốt nhất giữa chương trình hợp pháp và bất hợp pháp. Tuy nhiên, theo ông Lawrence Pingree, Phó chủ tịch điều hành tại Gartner, "điều khó khăn là ransomware, vốn xuất hiện như một danh mục, có thể sử dụng hàng trăm kỹ thuật bao gồm sửa đổi hoặc chèn vào các quy trình được ủy quyền".

Jared Phipps, Phó chủ tịch cấp cao về kỹ thuật bán hàng của SentinelOne, cho biết tin tặc thường kích hoạt cảnh báo khi chúng di chuyển xung quanh mạng của nạn nhân, thực hiện do thám và thao túng tài khoản trong khi dàn dựng các cuộc tấn công ransomware. "Phần mềm phản hồi và phát hiện điểm cuối" sẽ tự động phân tích các hành vi đó để thử và ngăn chặn tin tặc trước khi chúng tấn công sâu hơn.

"Thực hiện ransomware là điều cuối cùng tin tặc sẽ làm. Có nhiều tuần hoặc thậm chí nhiều tháng chuẩn bị trước thời gian xảy ra cuộc tấn công. Sẽ có nhiều hệ thống khác nhau bị đụng chạm, và trong hầu hết các trường hợp cũng sẽ có rất nhiều cảnh báo bảo mật. Chúng ta có thời gian để ngăn chặn các cuộc tấn công đó", Andrew Howard, Giám đốc điều hành Kudelski Security có trụ sở tại Thụy Sĩ, cho hay.

Ông Howard nói thêm rằng thách thức ở đây là các tin tặc lành nghề thường xuyên kiểm tra mã và kỹ thuật của họ đối với phần mềm bảo mật mới nhất, để tăng thích ứng khi cần thiết và tránh bị phát hiện. "Các cuộc tấn công ransomware ngày nay thường do con người vận hành, có nghĩa là con người đang tích cực hướng dẫn cuộc tấn công. Khi khả năng phòng thủ tốt hơn ra đời, các kỹ thuật tấn công mới sẽ được thúc đẩy. Điều này tiếp tục thúc đẩy khả năng phòng thủ tốt hơn, sau đó kỹ thuật tấn công mới lại được sinh ra. Mọi thứ cứ nối tiếp nhau, không có giải pháp kỹ thuật hiệu quả 100% cho vấn đề này".

Theo Bloomberg, một giám đốc điều hành tại công ty ứng phó sự cố mạng hàng đầu, người đề nghị giấu tên, cho biết công ty ông luôn khuyến nghị các nạn nhân của ransomware mua một số dạng "phần mềm phản hồi và phát hiện điểm cuối". Công ty của ông đã phân tích các hoạt động triển khai của phần mềm từ một trong những nhà cung cấp hàng đầu và nhận thấy nó đã chặn hầu hết các cuộc tấn công. "Ba lần thất bại mà chúng tôi thấy trong ba năm qua là do khách hàng thực hiện kém". Điều đáng lưu ý là phần mềm như vậy không hề rẻ. Nó có giá bắt đầu khoảng 12 USD cho mỗi "điểm cuối", hoặc thiết bị, mỗi tháng. Điều đó có nghĩa là các tổ chức, công ty lớn có thể phải chi hàng triệu USD mỗi năm.

Theo dự đoán của hãng nghiên cứu Gartner, trong vòng 5 năm sẽ có hơn 60% các tổ chức lớn thay thế phần mềm chống virus bằng "phần mềm phản hồi và phát hiện điểm cuối", cũng như các phần mềm tương tự. Ở một diễn biến khác, các nhà khoa học máy tính vẫn đang chạy đua để cải thiện tốc độ và độ chính xác của mã xử lý phần "phản hồi" của phương trình, cố gắng cắt giảm phần nghìn giây thời gian nhằm ngăn chặn các hành động tấn công độc hại.