Hai nhóm ransomware – Akira và Lynx – đang đẩy mạnh các cuộc tấn công ở quy mô đáng báo động, thu hút sự chú ý của cả doanh nghiệp và các nhà cung cấp dịch vụ quản lý (MSP). Theo ChannelPro, các nhóm này đã nhận trách nhiệm cho hàng trăm vụ tấn công trên nhiều lĩnh vực, khai thác thông tin đăng nhập quản trị bị đánh cắp và tận dụng mô hình Ransomware-as-a-Service (RaaS) để mở rộng phạm vi hoạt động.

Chiến thuật của chúng làm nổi bật một mối lo ngại ngày càng tăng đối với các MSP: khi bạn kinh doanh dựa trên sự tin tưởng, cơ sở hạ tầng của bạn không chỉ là mục tiêu mà còn là bàn đạp tiềm năng cho những kẻ tấn công.

Bộ mặt mới của Ransomware

Cả Akira và Lynx đều đã tinh chỉnh hoạt động của mình để ưu tiên tính bí mật, sự bền bỉ và lợi nhuận:

• Tống tiền kép: Đánh cắp dữ liệu trước khi mã hóa, tạo cho nạn nhân hai lý do để trả tiền.
• Khai thác thông tin đăng nhập: Sử dụng các tài khoản quản trị bị xâm phạm để nhanh chóng giành được các đặc quyền cao hơn.
• Khả năng mở rộng RaaS: Cho phép các nhà khai thác liên kết trên toàn thế giới thuê và triển khai ransomware, tạo ra một mô hình mở rộng gần giống như nhượng quyền.

Đối với các MSP và MSSP quản lý môi trường đa người thuê, điều này làm cho việc chủ động phát hiện và kiểm soát quyền truy cập trở thành yếu tố bắt buộc.

Tại sao MSP là mục tiêu hàng đầu

Kẻ tấn công ngày càng bị thu hút vào môi trường MSP vì ba lý do:

1. Quyền truy cập giá trị cao – Một xâm phạm MSP duy nhất có thể cung cấp quyền truy cập vào hàng chục hoặc hàng trăm mạng khách hàng.
2. Thông tin đăng nhập đặc quyền – Tài khoản quản trị có chìa khóa cho nhiều môi trường, khiến chúng trở thành điểm tựa mạnh mẽ.
3. Sự tin tưởng của bên thứ ba – Khách hàng thường ngầm tin tưởng các kết nối do MSP khởi tạo, khiến hoạt động độc hại khó bị phát hiện hơn.

Khi Akira hoặc Lynx có được mức độ truy cập này, con đường dẫn đến thỏa hiệp lan rộng sẽ rút ngắn đáng kể.

Ưu tiên phòng thủ cho MSP và Doanh nghiệp

Các chiến thuật được thấy trong các chiến dịch này ánh xạ chặt chẽ đến các chiến lược phòng chống ransomware rộng hơn, bao gồm:

• Phát hiện và ngăn chặn xâm nhập để bắt các hành động đăng nhập đáng ngờ, leo thang đặc quyền hoặc các hành động quản trị bất thường.
• Bảo mật DNS để chặn các liên lạc chỉ huy và kiểm soát ransomware.
• Các chính sách thông tin đăng nhập mạnh mẽ, bao gồm MFA và luân chuyển cho tài khoản quản trị.
• Bảo mật mạng đám mây giám sát khối lượng công việc kết hợp và đa đám mây, nơi thường không nhận thấy sự di chuyển ngang.
• Kiểm tra sao lưu thường xuyên và phân đoạn mạng để giảm bán kính vụ nổ của một cuộc tấn công.

Yếu tố RaaS

Mô hình Ransomware-as-a-Service đằng sau các chiến dịch này là chìa khóa để hiểu quy mô của chúng. Nó làm giảm rào cản gia nhập đối với những tác nhân ít kỹ năng kỹ thuật hơn đồng thời cung cấp các bộ công cụ mạnh mẽ, được duy trì chuyên nghiệp. Đối với các hậu vệ, điều này có nghĩa là:

• Mong đợi nhiều tác nhân hơn tham gia vào không gian ransomware.
• Nhìn thấy khối lượng tấn công tăng lên ngay cả khi các nhóm riêng lẻ bị gián đoạn.
• Cần phát hiện và ngăn chặn nhanh hơn để theo kịp mô hình tội phạm mạng công nghiệp hóa này.

Góc nhìn của Seceon

Tại Seceon, chúng tôi coi Akira và Lynx là một phần của sự phát triển rộng lớn hơn trong hệ sinh thái ransomware — một hệ sinh thái mà tốc độ, khả năng mở rộng và tàng hình là tiêu chuẩn. Nền tảng do AI điều khiển của chúng tôi được thiết kế để phát hiện và ngăn chặn các mối đe dọa này trước khi mã hóa hoặc đánh cắp dữ liệu xảy ra bằng cách:

• Liên tục theo dõi việc sử dụng sai mục đích thông tin đăng nhập và leo thang đặc quyền.
• Tận dụng khả năng phát hiện và ngăn chặn xâm nhập để ngăn chặn hoạt động độc hại sớm.
• Áp dụng bảo mật DNS và phân tích hành vi để phá vỡ giao tiếp C2.
• Cung cấp khả năng hiển thị thống nhất trên các lớp đám mây, mạng, điểm cuối và danh tính.

Với ransomware công nghiệp hóa đang gia tăng, MSP và doanh nghiệp cần khả năng phát hiện và ứng phó cấp công nghiệp — được cung cấp với tốc độ và tự động hóa mà các mối đe dọa hiện đại yêu cầu.

Giải thích thuật ngữ:

• Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu một khoản tiền chuộc để khôi phục nó.
• MSP (Managed Service Provider): Nhà cung cấp dịch vụ quản lý, một công ty cung cấp các dịch vụ CNTT cho các doanh nghiệp khác.
• MSSP (Managed Security Service Provider): Tương tự như MSP, nhưng tập trung vào các dịch vụ an ninh mạng.
• RaaS (Ransomware-as-a-Service): Một mô hình kinh doanh nơi tội phạm mạng cho thuê ransomware cho các chi nhánh khác.
• Tống tiền kép: Một kỹ thuật tấn công ransomware trong đó dữ liệu bị đánh cắp trước khi mã hóa, và nạn nhân bị đe dọa công khai dữ liệu nếu không trả tiền chuộc.
• MFA (Multi-Factor Authentication): Xác thực đa yếu tố, một phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác minh để truy cập vào tài khoản hoặc hệ thống.
• DNS Security: Bảo mật DNS, các biện pháp bảo vệ chống lại các cuộc tấn công khai thác hệ thống tên miền (DNS).
• C2 Communication: Giao tiếp Command and Control, liên lạc giữa phần mềm độc hại và máy chủ điều khiển của kẻ tấn công.