Các loại hình tấn công Ransomware bạn CẦN TRÁNH

1.Ryuk

Ryuk là một loại ransomware đặc biệt, chuyên nhắm vào các tổ chức lớn với mục tiêu giá trị cao (HVT – High Value Target). Được nâng cấp với các cơ chế phức tạp, Ryuk có khả năng vô hiệu hóa các dịch vụ sao lưu tự động và chống vi-rút, đồng thời xóa các bản sao lưu hiện có. Quy trình tấn công thường bao gồm lây nhiễm máy tính, xác định giá trị của tổ chức bị tấn công, đánh cắp dữ liệu và cuối cùng là yêu cầu tiền chuộc sau khi đã phá hủy các bản sao lưu. Điều này khiến Ryuk trở thành một mối đe dọa đặc biệt nghiêm trọng, khi nạn nhân thường không còn cách nào khác ngoài việc trả tiền chuộc để khôi phục dữ liệu.

Ryuk đã mang lại lợi nhuận khổng lồ cho tội phạm mạng, với các cuộc tấn công đầu tiên thu về 705 BTC (khoảng 125 tỷ đồng), khiến nó trở thành một trong những loại ransomware nguy hiểm nhất hiện nay.

2. Sodinokibi (REvil)

Sodinokibi, còn được gọi là REvil, là một loại ransomware nguy hiểm, chuyên nhắm vào các người dùng nói tiếng Anh và khai thác lỗ hổng trong các dịch vụ từ xa như Oracle WebLogic. Sodinokibi được cho là có liên quan đến GandCrab và sử dụng mã từ các phần mềm độc hại khác như Pony và RedOctober.

Các cuộc tấn công nổi bật của Sodinokibi bao gồm việc mã hóa tệp tại 22 cơ sở hành chính ở Texas vào năm 2019 và yêu cầu khoản tiền chuộc 2,5 triệu đô la. Ngoài ra, nó còn tấn công vào các nhà cung cấp dịch vụ quản lý (MSP) và các cơ sở nha khoa, sử dụng các công cụ truy cập từ xa để phát tán phần mềm độc hại. Sodinokibi thường sử dụng dữ liệu bị đánh cắp làm đòn bẩy để ép nạn nhân trả tiền chuộc, khiến nó trở thành một mối đe dọa lớn với khả năng xâm phạm hàng loạt hệ thống.

XEM THÊM: Mã độc Ransomware là gì? Hiểu rõ mối đe dọa và cách phòng tránh an toàn

3. Phobos

Phobos là một loại ransomware nguy hiểm, chuyên mã hóa các tệp dữ liệu và yêu cầu tiền chuộc để khôi phục. Khi nhiễm vào hệ thống, nó đổi tên các tệp bằng cách thêm phần mở rộng “.phobos” cùng với ID nạn nhân và địa chỉ email của kẻ tấn công, chẳng hạn như “a.jpg” sẽ được đổi thành “a.jpg.ID-63855656.[email] .phobos”.

Phobos sử dụng mã hóa AES để khóa tệp và sau khi mã hóa, nó tạo ra một ứng dụng HTML để hiển thị thông báo đòi tiền chuộc qua cửa sổ bật lên. Loại ransomware này nhắm mục tiêu vào các doanh nghiệp nhỏ và cá nhân, gây ra tổn thất dữ liệu nghiêm trọng.

4. Globelmposter

GlobeImposter là một loại ransomware lần đầu xuất hiện vào tháng 5 năm 2017, lây lan chủ yếu qua các email lừa đảo. Đáng chú ý, vào tháng 2 năm 2018, biến thể GlobeImposter 2.0 đã tấn công nhiều bệnh viện lớn tại Trung Quốc.

Ransomware này sử dụng kỹ thuật tấn công brute-force RDP và mạng xã hội để xâm nhập vào hệ thống. Khi đã nhiễm, GlobeImposter mã hóa các tệp trên máy chủ, tạo ra thông báo tiền chuộc và yêu cầu nạn nhân trả tiền để khôi phục dữ liệu. Điều này khiến nó trở thành mối đe dọa nghiêm trọng với các tổ chức lớn.

5. DoppePaymer

DoppelPaymer là một loại ransomware sử dụng mã hóa AES kết hợp RSA-2048 để khóa các tệp dữ liệu, sau đó yêu cầu tiền chuộc để mở khóa thông qua một cổng thanh toán đặc biệt. Được xem là bản nâng cấp từ BitPaymer, nó đã có ít nhất tám cuộc tấn công lớn vào hạ tầng mạng trên toàn cầu, với những cải tiến liên tục.

DoppelPaymer nổi bật nhờ khả năng mã hóa đa luồng, cho phép nó khóa tệp nhanh hơn và mạnh mẽ hơn. Đây là mối đe dọa nghiêm trọng với các tổ chức, khi nó liên tục cập nhật và tăng cường phương thức tấn công.

XEM THÊM: 

+ Cách kiểm tra website bị DDoS: Hướng dẫn chi tiết & Khắc phục

+ Các loại tấn công & Cách chống Backdoor hiệu quả

6. Mamba

Mamba, còn được gọi là HDD Cryptor, là một ransomware khét tiếng, sử dụng phần mềm mã hóa ổ đĩa DiskCryptor để mã hóa toàn bộ hệ thống của nạn nhân. Sau khi thực hiện mã hóa, máy tính của nạn nhân sẽ khởi động lại, và trên màn hình sẽ xuất hiện thông báo yêu cầu mật khẩu để khôi phục dữ liệu. Tuy nhiên, để lấy được mật khẩu, nạn nhân phải trả tiền chuộc, thường là 1 bitcoin cho mỗi máy tính.

Mamba trở nên nổi tiếng khi tấn công hệ thống tàu điện ngầm San Francisco, gây rối loạn lớn và yêu cầu khoản tiền chuộc 73.000 đô la.

7. Snatch

Snatch là một biến thể ransomware mới, có khả năng khởi động lại thiết bị Windows vào Safe Mode để vượt qua các biện pháp bảo vệ điểm cuối trước khi bắt đầu quá trình mã hóa. Phần mềm độc hại này sử dụng mã hóa AES tinh vi, khiến nạn nhân không thể truy cập tệp của họ.

Snatch không chỉ mã hóa dữ liệu mà còn kết hợp các tính năng đánh cắp dữ liệu và ransomware, nhắm vào các mục tiêu cấu hình cao. Nó sử dụng các công cụ mạnh mẽ như Cobalt Strike, thường được sử dụng bởi các tester và quản trị viên hệ thống để gia tăng mức độ phá hoại.

8. Dhama

Dharma là một biến thể mới của ransomware Crysis, nổi tiếng với việc mã hóa các tệp trên máy tính bằng mã hóa bất đối xứng. Sau khi xâm nhập thành công, Dharma sẽ gắn thêm phần mở rộng như “. [Bitcoin143@india.com] .dharma” vào tên các tệp bị mã hóa, chẳng hạn “sample.jpg” sẽ chuyển thành “sample.jpg. [Bitcoin143@india.com] .dharma”. Các biến thể khác có thể sử dụng phần mở rộng khác như “. [Worm01@india.com] .dharma”.

Không giống như nhiều ransomware khác, Dharma không thay đổi hình nền máy tính mà tạo ra một tệp văn bản “README.txt” chứa thông báo tiền chuộc và đặt nó vào các thư mục có tệp bị nhiễm.

9. Hidden Tear

Hidden Tear là một dự án ransomware mã nguồn mở được phát triển bởi nhà nghiên cứu Thổ Nhĩ Kỳ Utku Sen vào năm 2015 với mục đích giáo dục. Tuy nhiên, các nhóm tội phạm mạng đã lợi dụng mã nguồn này để thực hiện các cuộc tấn công tống tiền. Hidden Tear sử dụng mã hóa AES-256 để mã hóa các tệp người dùng, chặn quyền truy cập vào chúng.

Hidden Tear xâm nhập vào hệ thống bằng cách ngụy trang thành một ứng dụng hợp pháp, như một tệp Adobe PDF. Khi thực thi, ransomware tạo ra một chuỗi gồm 15 ký tự, được sử dụng làm khóa mã hóa. Khóa này sau đó được gửi đến máy chủ điều khiển (C&C) cùng với tên máy tính. Hidden Tear sẽ tìm kiếm các tệp trong thư mục thử nghiệm trên Desktop và mã hóa tất cả các tệp được tìm thấy.

10. Estemani

Estemani là một chương trình ransomware được thiết kế để ngăn chặn nạn nhân truy cập vào các tệp của họ bằng cách mã hóa chúng. Sau khi bị tấn công, nạn nhân sẽ nhận được một thông điệp đòi tiền chuộc trong tập tin “@READ_TO_RECOVER_FILES@.txt”, khuyến khích họ mua một công cụ giải mã duy nhất từ các kẻ tấn công.

Để mở khóa các tệp bị mã hóa, nạn nhân được yêu cầu trả 1,5 Bitcoin. Hướng dẫn cụ thể để thực hiện thanh toán sẽ được cung cấp khi nạn nhân liên hệ với các nhà phát triển Estemani qua email x280@protonmail.com. Tin nhắn liên lạc cần bao gồm ID HOST và LOCK, được cung cấp trong thông điệp tiền chuộc.

XEM THÊM: Hướng dẫn quét mã độc Website tự động: Bảo vệ trang web 24/7

11. Rapid

Rapid ransomware là một loại mã độc xuất hiện trên Internet từ tháng 1 năm 2018. Trong vòng bảy tháng hoạt động, nó đã trải qua bốn lần thay đổi đáng kể. Phần mềm độc hại này mã hóa các tệp bằng thuật toán mã hóa AES và thêm phần mở rộng .RPD vào tên tệp.

Sau khi mã hóa, Rapid để lại một tệp có tên How Recovery File.txt, trong đó hướng dẫn nạn nhân cách liên hệ với bọn tội phạm và thực hiện thanh toán để lấy lại quyền truy cập vào dữ liệu của họ.

Lời kết

Các loại hình tấn công Ransomware ngày càng tinh vi, gây thiệt hại lớn cho doanh nghiệp và cá nhân. Việc hiểu rõ về các loại tấn công này giúp bạn nâng cao khả năng phòng ngừa và bảo vệ dữ liệu. Hãy luôn cập nhật các biện pháp an ninh mạng và sao lưu dữ liệu thường xuyên để giảm thiểu rủi ro.

Nếu bạn còn bất kỳ thắc mắc nào, hãy liên hệ với Web4s để được hỗ trợ nhanh nhất qua các thông tin dưới đây:

+ Tổng đài hỗ trợ (24/7): 1900 6680 hoặc 0901191616

+ Email: contact@sm4s.vn

+ Website: https://web4s.vn/

+ Fanpage: https://www.facebook.com/web4s

+ Youtube: https://www.youtube.com/channel/UCr778Hq-QhCEBTGFc9n-Pcg