Cảnh báo: Các dòng ransomware đa nền tảng hiện đang nhắm mục tiêu vào các máy trạm Linux, máy chủ và trình quản lý siêu giám sát VMware ESXi. Các công cụ che giấu đang ngày càng phát triển. Các bản sao lưu đang bị nhắm mục tiêu. Các cuộc tấn công có thể làm tê liệt cơ sở hạ tầng chỉ trong vài phút.
Mối đe dọa này ảnh hưởng đến các công ty trong mọi lĩnh vực. Một phòng khám y tế giả tưởng, Santex, minh họa kịch bản này: các máy trạm Windows bị chặn, máy ảo ESXi được mã hóa và các bản sao lưu bị hỏng. Các nhà quản lý nhanh chóng nhận ra rằng phản ứng phải bao gồm cả kỹ thuật và tổ chức.
Ransomware đa nền tảng: các khả năng mới và tác động đến Windows, Linux và ESXi
Các nhóm ransomware hiện có các biến thể được thiết kế để tấn công Windows, Linux và VMware ESXi đồng thời. Chỉ một chiến dịch duy nhất có thể vô hiệu hóa máy trạm, máy chủ và trình quản lý siêu giám sát trong thời gian ngắn. Các kỹ thuật đã được quan sát
Một số dòng ransomware tích hợp các thủ thuật làm rối mã nâng cao, chẳng hạn như
DLL-Reflection trên Windows và gói phần mềm độc hại đánh lừa phần mềm diệt vi-rút. Trên Linux, công cụ này chấp nhận các lệnh cụ thể để nhắm mục tiêu vào các thư mục và tiện ích mở rộng thông qua dòng lệnh. Trên ESXi, việc mã hóa ổ đĩa máy ảo khiến các dịch vụ quan trọng ngừng hoạt động. Việc thêm phần mở rộng 16 ký tự ngẫu nhiên làm phức tạp thêm các nỗ lực khôi phục và tương quan biến thể.
Nghiên cứu điển hình: Santex
Santex phát hiện ra các triệu chứng trong nửa ngày: các máy trạm không thể truy cập, sau đó cảnh báo cụm ESXi. Các bản sao lưu cục bộ đã bị hỏng. Kế hoạch khôi phục bị trục trặc do các bản sao ngoại tuyến không thường xuyên.
Kịch bản này cho thấy phạm vi tấn công vượt ra ngoài máy trạm. Chỉ nghĩ đến phần mềm diệt vi-rút là chưa đủ.
Trend Micro và các phòng thí nghiệm khác cũng báo cáo tình trạng leo thang tương tự: mối đe dọa là có thật và đa chiều. Thông tin chi tiết: Hệ thống phòng thủ phải được thiết kế cho toàn bộ môi trường, chứ không chỉ cho một hệ điều hành. Một nguồn video để hiểu cơ chế chung của ransomware:
Bỏ qua Phòng thủ: Tại sao các phần mềm diệt virus truyền thống không còn đủ hiệu quả
Sự kết hợp giữa đóng gói mạnh mẽ và các kỹ thuật trong bộ nhớ như DLL Reflection làm giảm khả năng hiển thị của các giải pháp truyền thống. Các tệp đôi khi chỉ xuất hiện tạm thời trên đĩa.
Né tránh và Nhắm mục tiêu
Các biến thể Linux chấp nhận các tham số chi tiết: loại trừ một số thư mục nhất định, chọn tiện ích mở rộng để mã hóa và xóa ảnh chụp nhanh có mục tiêu. Các tùy chọn này làm cho cuộc tấn công trở nên phức tạp hơn. Các phòng thí nghiệm như Kaspersky, Bitdefender và ESET khuyến nghị nên thêm các lớp EDR và phân tích hành vi thay vì chỉ dựa vào chữ ký. Ví dụ thực tế được điều chỉnh Tại Santex, một máy ảo quan trọng đã bị xâm nhập trong khi máy trạm bị nhiễm không được phần mềm diệt virus phát hiện. Cuộc tấn công đã sử dụng một mô-đun chỉ mã hóa cơ sở dữ liệu và thư mục xuất, do đó tránh được việc phát hiện hàng loạt. Các nhóm bảo mật phải bao gồm việc săn tìm mối đe dọa và phát hiện bất thường mạng. Các giải pháp từ
Trend Micro
và các nhà cung cấp khác trình bày cách kết hợp chữ ký và phương pháp heuristic.
Thông tin chi tiết: Giám sát hành vi và củng cố quyền truy cập quan trọng hơn việc tin tưởng mù quáng vào một sản phẩm duy nhất. Các biện pháp tức thời và vận hành: Sao lưu, phân đoạn và củng cố ESXiNguyên tắc đầu tiên là phân tách vai trò và bản sao lưu. Các bản sao ngoại tuyến và bất biến sẽ hạn chế khả năng tấn công của kẻ tấn công. Bản sao lưu phải được kiểm tra thường xuyên. Củng cố kỹ thuật Đối với VMware ESXi , việc cô lập bảng điều khiển quản lý, hạn chế truy cập SSH và áp dụng các bản vá là điều cần thiết. Ảnh chụp nhanh sẽ vô giá trị nếu kẻ tấn công có thể xóa chúng.
Tường lửa, phân đoạn và danh sách trắng cho phép quản trị viên truy cập sẽ làm giảm sự lây lan. Thiết bị mạng phải được cập nhật và giám sát; trong trường hợp này, các công cụ của Cisco hoặc các dịch vụ Orange Cyberdefense và Sopra Steria có thể giúp thiết kế một kiến trúc phục hồi.
Các khía cạnh tổ chức
Đào tạo nhóm, xác định giao thức cô lập và kiểm tra khôi phục phải được thực hiện thường xuyên. Làm việc với các đối tác như Stormshield, Thales hoặc các nhà tích hợp cục bộ sẽ củng cố thế trận phòng thủ của bạn. Thông tin chi tiết: Sao lưu mà không kiểm tra và cô lập không thực sự bảo vệ. Video hữu ích: Trình diễn tăng cường bảo mật ESXi và các phương pháp hay nhất.
Ứng phó sự cố: Các bước rõ ràng để hạn chế thiệt hại
Ngay khi có dấu hiệu đầu tiên của sự lây nhiễm, hãy cô lập các phân đoạn bị ảnh hưởng. Việc lưu trữ nhật ký và bản sao lưu bộ nhớ là điều cần thiết cho quá trình điều tra. Liên hệ ngay với các nhóm nội bộ và CERT nếu cần. Truyền thông và Biện pháp Khắc phục
Đừng hoảng sợ: ghi lại tài liệu, bảo vệ bằng chứng và kích hoạt kế hoạch ứng phó. Các nhà cung cấp chuyên biệt như Panda Security hoặc các MSSP khác có thể hỗ trợ việc ngăn chặn và loại bỏ.
Những người ra quyết định phải chuẩn bị thông tin liên lạc rõ ràng cho khách hàng và các cơ quan chức năng. Tính minh bạch giúp giảm thiểu thiệt hại về uy tín và tạo điều kiện thuận lợi cho việc hợp tác với các nhà điều tra.
Thông tin chuyên sâu: Phản ứng nhanh chóng và có cấu trúc sẽ hạn chế tác động về tài chính và vận hành. Chuẩn bị cho năm 2025 và hơn thế nữa: hợp tác, thông tin tình báo và đào tạoPhần mềm tống tiền đang phát triển. Việc chia sẻ thông tin tình báo giữa các công ty và nhà cung cấp đang trở nên mang tính chiến lược. Các công ty hàng đầu trong lĩnh vực này đang xuất bản các hướng dẫn và công cụ phân tích để hỗ trợ các nhóm CNTT.
Hệ sinh thái và Quan hệ Đối tác Các nhà cung cấp như Trend Micro, Kaspersky, Bitdefender và ESET , cũng như các đơn vị tích hợp và dịch vụ được quản lý, đóng vai trò bổ sung. Quan hệ đối tác công tư giúp đẩy nhanh việc phát hiện các chiến dịch quy mô lớn. Đầu tư vào đào tạo, thông tin tình báo về mối đe dọa và khả năng phục hồi hoạt động là giải pháp bảo hiểm tốt nhất. Tư vấn và kiểm toán nhà cung cấp của Sopra Steria hoặc Orange Cyberdefense giúp cân bằng bảo mật và tính liên tục. Thông tin chi tiết: Việc dự đoán và chia sẻ thông tin sẽ biến mối đe dọa không thể tránh khỏi thành rủi ro có thể quản lý được.
Comments
Leave a comment