Một nhóm ransomware có tên Silent đang bị cáo buộc thực hiện các cuộc tấn công nhằm vào nhiều hãng luật bằng thủ đoạn giả danh nhân viên hỗ trợ kỹ thuật IT để lừa nạn nhân cấp quyền truy cập hệ thống.
Chiến dịch này được xác định chủ yếu nhắm vào các công ty luật và tổ chức xử lý dữ liệu nhạy cảm, nơi lưu trữ nhiều tài liệu pháp lý, thông tin khách hàng và hồ sơ nội bộ có giá trị cao.
Chiến dịch này được xác định chủ yếu nhắm vào các công ty luật và tổ chức xử lý dữ liệu nhạy cảm, nơi lưu trữ nhiều tài liệu pháp lý, thông tin khách hàng và hồ sơ nội bộ có giá trị cao.
Tin tặc gọi điện trực tiếp giả làm bộ phận IT
Khác với nhiều chiến dịch ransomware truyền thống dựa vào email phishing, nhóm Silent được cho là sử dụng hình thức gọi điện trực tiếp cho nhân viên trong công ty.
Kẻ tấn công giả danh bộ phận IT hoặc nhân viên hỗ trợ kỹ thuật, sau đó hướng dẫn nạn nhân cài phần mềm điều khiển từ xa hoặc cấp quyền truy cập vào thiết bị. Trong nhiều trường hợp, các cuộc gọi được thực hiện rất chuyên nghiệp khiến nhân viên tin rằng đây là yêu cầu nội bộ hợp lệ.
Các nhà nghiên cứu cho biết sau khi có quyền truy cập, nhóm này triển khai ransomware để mã hóa hệ thống và đánh cắp dữ liệu.
Kẻ tấn công giả danh bộ phận IT hoặc nhân viên hỗ trợ kỹ thuật, sau đó hướng dẫn nạn nhân cài phần mềm điều khiển từ xa hoặc cấp quyền truy cập vào thiết bị. Trong nhiều trường hợp, các cuộc gọi được thực hiện rất chuyên nghiệp khiến nhân viên tin rằng đây là yêu cầu nội bộ hợp lệ.
Các nhà nghiên cứu cho biết sau khi có quyền truy cập, nhóm này triển khai ransomware để mã hóa hệ thống và đánh cắp dữ liệu.
Hãng luật trở thành mục tiêu hấp dẫn của ransomware
Giới an ninh mạng cho rằng các hãng luật đang trở thành “mỏ vàng dữ liệu” mới đối với tội phạm mạng.
Ngoài thông tin khách hàng, các công ty luật còn lưu trữ hợp đồng, hồ sơ tranh chấp, tài liệu doanh nghiệp và nhiều dữ liệu mật có giá trị lớn trong hoạt động tống tiền.
Ngoài thông tin khách hàng, các công ty luật còn lưu trữ hợp đồng, hồ sơ tranh chấp, tài liệu doanh nghiệp và nhiều dữ liệu mật có giá trị lớn trong hoạt động tống tiền.
Ảnh Internet
Trên mạng xã hội, nhiều ý kiến cho rằng chiến thuật giả danh hỗ trợ IT đang đặc biệt nguy hiểm vì đánh trực tiếp vào yếu tố tâm lý và sự tin tưởng trong môi trường doanh nghiệp.
Một số chuyên gia nhận định đây là dấu hiệu cho thấy ransomware hiện đại không còn chỉ dựa vào kỹ thuật khai thác lỗ hổng mà ngày càng kết hợp mạnh với social engineering.
Social engineering tiếp tục là “vũ khí” hiệu quả nhất
Các cuộc tấn công kiểu này cho thấy con người vẫn là mắt xích dễ bị khai thác nhất trong chuỗi bảo mật doanh nghiệp.
Ngay cả khi hệ thống có nhiều lớp phòng thủ kỹ thuật, chỉ cần một nhân viên tin tưởng và cấp quyền truy cập từ xa, toàn bộ mạng nội bộ vẫn có thể bị xâm nhập.
Nhiều chuyên gia cảnh báo xu hướng giả danh bộ phận IT, helpdesk hoặc nhân viên nội bộ sẽ tiếp tục gia tăng vì tỷ lệ thành công cao hơn email lừa đảo thông thường.
Ngay cả khi hệ thống có nhiều lớp phòng thủ kỹ thuật, chỉ cần một nhân viên tin tưởng và cấp quyền truy cập từ xa, toàn bộ mạng nội bộ vẫn có thể bị xâm nhập.
Nhiều chuyên gia cảnh báo xu hướng giả danh bộ phận IT, helpdesk hoặc nhân viên nội bộ sẽ tiếp tục gia tăng vì tỷ lệ thành công cao hơn email lừa đảo thông thường.
Doanh nghiệp được khuyến nghị siết quy trình xác minh nội bộ
Các chuyên gia bảo mật khuyến nghị doanh nghiệp cần đào tạo nhân viên về các hình thức social engineering, đặc biệt là các cuộc gọi giả mạo hỗ trợ kỹ thuật. Ngoài ra, mọi yêu cầu cài phần mềm điều khiển từ xa hoặc cấp quyền truy cập cần được xác minh qua kênh nội bộ chính thức.
- Không cài phần mềm theo hướng dẫn từ cuộc gọi không xác minh được
- Xác nhận lại với bộ phận IT nội bộ trước khi cấp quyền truy cập
- Giới hạn quyền điều khiển từ xa trên thiết bị công ty
- Bật xác thực đa yếu tố cho tài khoản nội bộ
- Tổ chức đào tạo nhận diện social engineering cho nhân viên
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
