Mối đe dọa từ phần mềm tống tiền Akira: Hướng dẫn cơ bản

Phần mềm tống tiền Akira đã nhanh chóng trở thành một trong những mối đe dọa mạng gây rối loạn nghiêm trọng nhất trong những năm gần đây, nhắm mục tiêu vào các tổ chức thuộc nhiều ngành nghề khác nhau. Theo nghiên cứu của CISA, từ tháng 3 năm 2023 đến tháng 1 năm 2024, nhóm phần mềm tống tiền Akira đã tấn công hơn 250 tổ chức, đòi tổng số tiền chuộc lên tới 42 triệu USD.

Các doanh nghiệp thuộc mọi quy mô cần hiểu rõ cách thức hoạt động của phần mềm tống tiền này để tăng cường hệ thống phòng thủ và giảm thiểu rủi ro. Hãy đọc bài viết này để tìm hiểu về mối đe dọa từ ransomware Akira, vòng đời của nó và các chiến lược thực tiễn để phòng thủ trước các cuộc tấn công trong tương lai.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

Hiểu rõ về mối đe dọa từ ransomware Akira

Ransomware Akira là một loại ransomware nguy hiểm sử dụng mô hình tống tiền kép. Nó đánh cắp dữ liệu nhạy cảm trước khi mã hóa và đe dọa sẽ rò rỉ dữ liệu nếu tiền chuộc không được thanh toán. Loại ransomware này xuất hiện vào tháng 3 năm 2023 và hỗ trợ phân phối thông qua mô hình Phần mềm tống tiền dưới dạng dịch vụ

Số lượng tổ chức được báo cáo là nạn nhân đang gia tăng, bao gồm các tổ chức nổi tiếng ở nhiều quốc gia khác nhau (đặc biệt là ở Bắc Mỹ, Châu Âu và Úc). Danh sách nạn nhân của ransomware Akira cũng bao gồm các doanh nghiệp hoạt động trong nhiều ngành khác nhau (giáo dục, tài chính, sản xuất, bất động sản, pháp lý, y tế, cơ sở hạ tầng quan trọng và dịch vụ chính quyền địa phương/chính phủ).

Các chiến dịch ransomware hiện đại điển hình của Akira có tính nhắm mục tiêu cao, kỹ thuật tinh vi và mang động cơ tài chính. Những yếu tố này kết hợp giữa việc xâm nhập bí mật với tác động tàn phá đối với hoạt động kinh doanh.

Ngoài các máy tính Windows, Akira đang tập trung mạnh vào việc tấn công các máy chủ ESXi để làm gián đoạn hoạt động của các máy ảo và phá hủy chúng bằng cách mã hóa dữ liệu. Chiến lược này khiến ransomware trở nên cực kỳ tàn phá và làm tê liệt các tổ chức sử dụng hạ tầng ảo cho hoạt động kinh doanh. Khoảng 50% các cuộc tấn công trong năm 2024 nhắm vào VMware ESXi bằng cách khai thác nhiều lỗ hổng bảo mật.

Ban đầu, Akira được phát triển bằng ngôn ngữ C++, đặc biệt là phiên bản dành cho Windows; IBM X-Force đã phát hiện một mẫu mã được biên dịch bằng C++ vào tháng 12 năm 2023. Phiên bản Akira_v2 được viết bằng Rust, giúp nâng cao chức năng và khả năng chống phân tích. Có cả biến thể Windows và Linux, được tối ưu hóa cho từng nền tảng tương ứng (CryptoAPI so với Crypto++).

Vòng đời tấn công của phần mềm tống tiền Akira: Từng bước một

Để bảo vệ khỏi các cuộc tấn công của phần mềm tống tiền Akira, bạn cần hiểu cách thức hoạt động của phần mềm tống tiền này ở các giai đoạn khác nhau của một cuộc tấn công mạng. Điều này cho phép bạn triển khai các biện pháp phòng ngừa nhằm bảo vệ dữ liệu.

Bước 1 – Truy cập ban đầu qua các điểm xâm nhập từ xa

Những kẻ tấn công bằng phần mềm tống tiền Akira thường giành được quyền truy cập ban đầu thông qua các điểm xâm nhập từ xa bằng cách lợi dụng các dịch vụ bị lộ hoặc bảo mật kém. Chiến lược này cho phép chúng truy cập vào mạng mục tiêu mà không cần tiếp xúc vật lý với mạng đó.

Khai thác các dịch vụ VPN và RDP có lỗ hổng

Kẻ tấn công thường xâm nhập vào mạng của nạn nhân bằng cách khai thác các lỗ hổng zero-day và các lỗ hổng chưa được vá trong các sản phẩm Mạng riêng ảo (VPN) phổ biến (cổng kết nối) và phần mềm truy cập từ xa sử dụng Giao thức Máy tính từ xa (RDP).

Ví dụ về các sản phẩm và lỗ hổng được Akira sử dụng:

  • Cisco ASA / FTD — chẳng hạn như CVE-2023-20269, một lỗ hổng leo thang đặc quyền trong quá trình xác thực VPN.
  • Thiết bị SonicWall Secure Mobile Access (SMA) — đặc biệt khi chưa được vá hoặc không có xác thực đa yếu tố (MFA).
  • Các lỗ hổng SSL VPN trên Fortinet FortiGate — bao gồm các lỗ hổng cũ như CVE-2018-13379, vẫn bị khai thác trên các thiết bị không được bảo trì.

Các chiến thuật để truy cập trái phép vào mạng của nạn nhân bao gồm các yếu tố sau:

  • Quét internet để tìm các thiết bị đang chạy firmware lỗi thời.
  • Khai thác lỗ hổng để vượt qua xác thực hoặc thực thi mã.
  • Sử dụng các token phiên bị đánh cắp hoặc thông tin đăng nhập dạng văn bản thuần túy được lưu trữ trong bộ nhớ. Những kẻ tấn công bằng ransomware Akira có thể thực hiện thao tác mini dump bộ nhớ của tiến trình LSASS (Dịch vụ Hệ thống Phụ trợ Bảo mật Địa phương) để thu thập thêm thông tin đăng nhập.
  • Tấn công dò mật khẩu trực tiếp vào các tài khoản có mật khẩu yếu.
  • Sử dụng thông tin đăng nhập bị rò rỉ từ các thị trường dark web.
  • Khai thác lỗ hổng của cổng RDP hoặc Dịch vụ Máy tính Từ xa Windows đã lỗi thời.

Trong một số vụ việc, nhóm ransomware Akira đã sử dụng:

  • AnyDesk, TeamViewer hoặc VNC với mật khẩu yếu hoặc đã được tái sử dụng.
  • Các công cụ RMM (Giám sát và Quản lý Từ xa) của nhà cung cấp dịch vụ quản lý (MSP) đã bị lợi dụng khi tài khoản MSP bị xâm phạm.
  • Các bảng điều khiển quản trị dựa trên đám mây (Microsoft 365, AWS) để triển khai các tập lệnh bên trong mạng.

Lưu ý: Microsoft đã triển khai xác thực đa yếu tố bắt buộc để giảm thiểu rủi ro này cho các quản trị viên Microsoft 365.

Thông tin đăng nhập bị xâm phạm

Kẻ tấn công thường sử dụng thông tin đăng nhập bị đánh cắp từ các cuộc tấn công trước đó. Đó là lý do tại sao việc sử dụng thông tin đăng nhập duy nhất và tuân thủ các nguyên tắc bảo mật là rất quan trọng. Phương pháp này cho phép những kẻ tấn công bằng ransomware Akira truy cập vào mạng của nạn nhân mà không cần khai thác các lỗ hổng bảo mật. Do đó, khi truy cập vào mạng, những kẻ tấn công trông giống như những người dùng hợp pháp mà không làm ảnh hưởng đến các biện pháp bảo mật khác.

Để lấy được thông tin đăng nhập, những kẻ tấn công cũng sử dụng các thủ đoạn truyền thống, bao gồm:

  • lừa đảo qua email (phishing) và email lừa đảo kiểu spear-phishing để đánh cắp tên người dùng và mật khẩu VPN.
  • Các phần mềm ghi lại phím bấm/đánh cắp thông tin (như RedLine Stealer) trên các thiết bị cá nhân của người dùng từ xa.

Các lỗ hổng bảo mật bị khai thác:

  • Không áp dụng xác thực đa yếu tố (MFA) cho đăng nhập VPN và email.
  • Mật khẩu yếu có thể bị bẻ khóa bằng phương pháp brute-force.
  • Các cuộc tấn công gây mệt mỏi do MFA (yêu cầu đăng nhập lặp đi lặp lại cho đến khi người dùng chấp nhận).

Tội phạm mạng có thể sử dụng tấn công dò mật khẩu nếu không tìm thấy thông tin đăng nhập phù hợp. Loại tấn công này thường nhắm vào các dịch vụ RDP và SSH, và có thể thành công nếu người dùng sử dụng mật khẩu phổ biến hoặc yếu.

Một chuỗi xâm nhập từ xa điển hình của ransomware Akira trông như sau:

Quét Internet → Xác định dịch vụ bị lộ → Khai thác VPN hoặc đánh cắp thông tin đăng nhập → Xác thực vào dịch vụ từ xa → Cài đặt các công cụ do thám và thu thập thông tin đăng nhập → Di chuyển ngang

Bước 2 – Duy trì quyền truy cập và leo thang đặc quyền

Sự kết hợp giữa các công cụ quản trị hợp pháp, cấu hình sai và các skript tùy chỉnh cho phép ransomware Akira duy trì quyền truy cập lâu dài và hoạt động với toàn quyền hệ thống. Tính bền vững có nghĩa là duy trì sự hiện diện trong môi trường của nạn nhân ngay cả sau khi bị phát hiện hoặc khởi động lại hệ thống. Sau khi xâm nhập vào mạng, các kẻ tấn công đảm bảo tính bền vững bằng các kỹ thuật giúp hành động của chúng không bị phát hiện, bao gồm tạo tài khoản mới và nâng cao đặc quyền.

Tạo tài khoản mới

Khi lây nhiễm vào các hệ thống Windows, ransomware Akira thêm người dùng quản trị Windows cục bộ hoặc quản trị viên miền để duy trì quyền truy cập liên tục. Đôi khi, nó ngụy trang bằng cách sử dụng các tên chung chung ( admin , helpdesk ). Trong môi trường Active Directory, Akira tạo các tài khoản ẩn với quyền được ủy quyền. Nếu MFA được bật, những kẻ tấn công đôi khi có thể đánh cắp mã thông báo phiên hoạt động hoặc giá trị cookie từ trình duyệt để vượt qua quá trình xác thực lại.

Cấu hình tác vụ và dịch vụ theo lịch trình

Phần mềm tống tiền Akira tạo các tác vụ theo lịch trình để chạy các tập lệnh độc hại hoặc reverse shell khi khởi động. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.

Installing remote access tools

Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

and

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

These techniques ensure payloads reload on reboot.

After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.

Privilege escalation

Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.

Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.

Step 3 – Lateral movement and reconnaissance

Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.

Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. Giai đoạn tiếp theo là mở rộng phạm vi truy cập trên toàn mạng trước khi triển khai mã hóa. Do đó, trước khi di chuyển ngang, Akira cần biết trong mạng có những gì và các mục tiêu có giá trị nằm ở đâu.

Quét mạng là bước đầu tiên của quá trình trinh sát. Việc lập bản đồ mạng cho phép phần mềm tống tiền xác định các mục tiêu cho đợt tấn công ban đầu. Các công cụ tích hợp sẵn như ping , arp -a , và netstat được sử dụng để tìm các máy chủ đang hoạt động. Các công cụ quét khác, như Advanced IP Scanner hoặc nmap , có thể lập bản đồ các mạng con. Các tập lệnh PowerShell truy vấn Active Directory để tìm cấu trúc miền, tư cách thành viên nhóm, hệ thống phân cấp đơn vị tổ chức (OU) và vị trí tài khoản quản trị.

Tiếp theo, ransomware Akira xác định các tài sản quan trọng. Các mục tiêu là máy chủ tệp, bộ điều khiển miền, thiết bị NAS và máy chủ cơ sở dữ liệu. Nó tìm kiếm cơ sở hạ tầng sao lưu để vô hiệu hóa hoặc mã hóa sau này và tìm kiếm các ổ đĩa dùng chung và thư mục đồng bộ hóa trên đám mây.

Akira cho phép truy cập từ xa vào các dịch vụ ngay cả khi chúng bị vô hiệu hóa:

  • RDP (Remote Desktop Protocol) – thường sau khi kích hoạt thông qua GPO (đối tượng chính sách nhóm) nếu dịch vụ này bị vô hiệu hóa.
  • SMB (Server Message Block) – để sao chép các công cụ và tải trọng giữa các máy chủ.
  • WMI (Windows Management Instrumentation) – để thực thi lệnh từ xa mà không kích hoạt nhật ký RDP.

Akira sử dụng các giá trị băm NTLM hoặc vé Kerberos bị đánh cắp để xác thực trên các hệ thống khác mà không cần biết mật khẩu. Việc trích xuất thông tin đăng nhập cho phép vô hiệu hóa các tác nhân AV/EDR thông qua quyền quản trị viên bị đánh cắp.

Phần mềm tống tiền này sử dụng các công cụ hợp pháp như:

  • PsExec (từ Sysinternals) để chạy lệnh trên các hệ thống từ xa.
  • PowerShell Remoting để thực thi các gói tải mà không ghi chúng vào đĩa.
  • Net use để gắn các chia sẻ từ xa và trích xuất tệp.

Akira có thể tận dụng các công cụ MSP RMM (ConnectWise, AnyDesk, v.v.) đã được triển khai trong môi trường để xâm nhập vào các máy tính khác mà không gây ra cảnh báo. Các nhà cung cấp dịch vụ quản lý (MSP) nên thận trọng và giải quyết Những thách thức về an ninh mạng của MSP để bảo vệ dữ liệu của chính họ và của khách hàng.

Các công cụ và payload ransomware được sao chép sang các máy tính khác để chuẩn bị cho giai đoạn tiếp theo của cuộc tấn công. 

Hoạt động trinh sát và di chuyển ngang cho phép ransomware tối đa hóa tác động của việc mã hóa bằng cách nhắm mục tiêu vào càng nhiều máy càng tốt cùng một lúc. Do đó, nó có thể truy cập vào dữ liệu nhạy cảm để thực hiện hành vi tống tiền kép (đánh cắp dữ liệu + mã hóa) và phá hủy các bản sao lưu nhằm ép buộc nạn nhân phải trả tiền chuộc.

Bước 4 – Rò rỉ dữ liệu

Phần mềm tống tiền Akira thường bắt đầu bằng việc thu thập và nén dữ liệu nhạy cảm để dễ dàng chuyển giao và che giấu dấu vết. Các công cụ thường được sử dụng bao gồm WinRAR để nén tệp thành các tệp lưu trữ (định dạng RAR). Kẻ tấn công cũng có thể sử dụng FileZilla , WinSCP rclone để đóng gói và chuyển dữ liệu bị đánh cắp. Các công cụ này là hợp pháp (đáng tin cậy và nằm trong danh sách trắng) và không gây nghi ngờ như các công cụ tự chế cụ thể. Trong một số cuộc tấn công, dữ liệu đã được tải trực tiếp lên các ổ đĩa chia sẻ đám mây MEGA do kẻ tấn công cấu hình.

Các tệp nén WinRAR đã bị rò rỉ thông qua trình duyệt web Chrome ( Chrome.exe ), gửi các tệp nén đến các dải địa chỉ IP bên ngoài, tạo ra lưu lượng truy cập trông giống như lưu lượng hợp pháp. Akira rò rỉ dữ liệu bằng cách sử dụng các công cụ khác nhau để đảm bảo quá trình này diễn ra nhanh chóng và hiệu quả. Trong một trong các cuộc tấn công ransomware Akira, những kẻ tấn công đã nén 34 GB dữ liệu bằng WinRAR và gửi nó đến một nguồn tài nguyên bên ngoài. Sau khi xâm nhập vào mạng của tổ chức, chúng mất khoảng hai giờ để hoàn tất cuộc tấn công.

Bước 5 – Mã hóa và gây gián đoạn hoạt động

Akira sử dụng mô hình mã hóa lai. Loại ransomware này trước tiên mã hóa dữ liệu bằng một thuật toán mã hóa đối xứng nhanh (ChaCha20 hoặc KCipher-2), sau đó bảo mật khóa đối xứng bằng khóa công khai RSA được cài đặt sẵn, thường là RSA-4096. Mỗi tệp bị ảnh hưởng đều có khóa đối xứng được thêm vào cuối và được mã hóa bằng khóa RSA nhúng sẵn. Akira có thể mã hóa một phần các tệp theo từng khối thay vì toàn bộ tệp để tăng tốc độ mã hóa đồng thời tối đa hóa thiệt hại. Ví dụ, các tệp nhỏ (< 2 MB) có thể chỉ được mã hóa 50%, trong khi các tệp lớn hơn được chia thành nhiều khối nén để mã hóa có chọn lọc.

Các tệp bị mã hóa sẽ có phần mở rộng “. akira ” (và các phần mở rộng khác như . powerranges hoặc . akiranew trong các biến thể mới hơn). Phần mềm tống tiền cố ý loại trừ các tệp và thư mục quan trọng đối với hệ thống, chẳng hạn như . exe , . dll , các thư mục hệ thống, Thùng rác Windows , để duy trì sự ổn định của hệ thống cho đến khi quá trình hoàn tất. Akira bắt đầu gây gián đoạn bằng cách xóa tất cả các bản sao lưu Volume Shadow Copy của Windows thông qua PowerShell (hoặc WMI), từ đó vô hiệu hóa hiệu quả các tùy chọn khôi phục cho nạn nhân.

Phần mềm tống tiền Akira đặc biệt hung hăng đối với VMware ESXi các trình ảo hóa. Nó có thể mã hóa toàn bộ máy chủ để làm gián đoạn nhiều máy ảo trong một đợt tấn công, vô hiệu hóa các dịch vụ bảo mật, ngừng hoạt động các máy ảo và can thiệp vào thông tin đăng nhập ESXi để chặn quyền truy cập của quản trị viên.

Sau khi quá trình mã hóa hoàn tất, phần mềm tống tiền Akira để lại các tệp thông báo đòi tiền chuộc trong từng thư mục bị ảnh hưởng, thường có tên là akira_readme.txt hoặc fn.txt . Các tệp này chứa mã nạn nhân duy nhất và liên kết đàm phán dựa trên TOR, đe dọa công khai dữ liệu và yêu cầu tiền chuộc bằng Bitcoin.

Tấn công các máy chủ ESXi

Mặc dù các hệ thống Windows là mục tiêu chính để khởi động cuộc tấn công và lan truyền qua mạng nhằm lây nhiễm các máy khác, các máy chủ ESXi cũng là mục tiêu phổ biến. Hãy cùng tìm hiểu cách phần mềm tống tiền Akira tấn công các máy chủ ESXi.

  • Sau khi xâm nhập vào mạng, những kẻ tấn công sẽ tìm các máy chủ ESXi được kết nối với vCenter hoặc có thể truy cập trực tiếp qua SSH.
  • Phần mềm tống tiền Akira có thể khai thác các phiên bản vCenter/ESXi có lỗ hổng. Nếu các bản vá chưa được cài đặt, các lỗ hổng đã biết như CVE-2021-21972, CVE-2021-21985 và CVE-2020-3992 có thể bị lợi dụng.
  • Khi kẻ tấn công truy cập vào máy chủ ESXi qua SSH (thường được kích hoạt trên các máy chủ cho mục đích quản trị), chúng sẽ tải lên và chạy trình mã hóa Akira Linux ELF trực tiếp trên máy chủ. Phần mềm tống tiền vô hiệu hóa các dịch vụ bảo mật của ESXi.
  • Phần mềm tống tiền này gắn các khối lượng datastore vào một hệ thống khác hoặc sử dụng các công cụ tích hợp sẵn ( vmkfstools , scp ) để sao chép các tệp . vmdk và . vmx nhằm đánh cắp dữ liệu của máy ảo.
  • Sau khi dữ liệu bị đánh cắp, Akira tắt các máy ảo bằng cách sử dụng:

vim-cmd vmsvc/getallvms

vim-cmd vmsvc/power.off

và mã hóa các tệp trên datastore bằng công cụ mã hóa, tương tự như trên hệ điều hành Linux.

Cách phát hiện và phòng thủ trước phần mềm tống tiền Akira

Các chiến lược phát hiện là những biện pháp phòng ngừa thiết yếu đòi hỏi một cách tiếp cận phức tạp và nên bao gồm nhiều hành động.

  • Giám sát hành vi trên thiết bị đầu cuối và mạng. Sử dụng các hệ thống EDR/XDR (Phát hiện và Ứng phó trên Thiết bị Đầu cuối/Phát hiện và Ứng phó Mở rộng) để phát hiện các hành vi đáng ngờ (vô hiệu hóa các công cụ bảo mật, xóa các bản sao bóng, di chuyển ngang bất thường, trích xuất LSASS, v.v.). Ngoài ra, hãy theo dõi các hoạt động bất thường liên quan đến các công cụ nén tệp.
  • Hãy tìm kiếm các công cụ quản lý từ xa (AnyDesk, RustDesk, Radmin), các tiện ích tạo đường hầm (Ngrok, Cloudflare Tunnel) hoặc các thủ đoạn đánh cắp thông tin đăng nhập (Mimikatz, LaZagne). Nếu bạn hoặc đồng nghiệp của bạn không cài đặt chúng, đây có thể là dấu hiệu ban đầu của một cuộc tấn công bằng ransomware.
  • Theo dõi việc triển khai các trình điều khiển được ký tên đáng ngờ, chẳng hạn như rwdrv.sys (ThrottleStop), mà Akira sử dụng để tải các trình điều khiển độc hại ( hlpdrv.sys ) và vô hiệu hóa phần mềm bảo vệ chống phần mềm độc hại. Akira có thể lạm dụng các trình điều khiển được ký tên và các cuộc tấn công này được gọi là tấn công BYOVD (Bring Your Own Vulnerable Driver).
  • Cảnh giác với việc tắt hàng loạt các máy ảo. Phần mềm tống tiền có thể tắt chúng để bắt đầu sao chép và mã hóa tệp.
  • Cảnh giác với các hoạt động tệp bất thường và các tệp được đổi tên với các phần mở rộng như . akira , . akiranew hoặc các phần mở rộng liên quan.
  • Cấu hình cảnh báo tài khoản và quyền truy cập. Đánh dấu các tài khoản “ma” mới hoặc được phát hiện lại do kẻ tấn công tạo ra, đặc biệt nếu chúng bị ẩn khỏi màn hình đăng nhập.
  • Phát hiện các bất thường trong truy cập VPN/RDP, chẳng hạn như các lần đăng nhập bất thường, các nỗ lực xác thực thất bại hoặc truy cập từ các vị trí địa lý lạ.

Cùng với các biện pháp phát hiện, bạn nên triển khai các chiến lược phòng thủ chống lại phần mềm tống tiền Akira.

  • Cấu hình xác thực đa yếu tố để truy cập VPN, RDP, công cụ quản trị web, email, v.v. Sử dụng mật khẩu mạnh và chính sách bảo mật chặt chẽ. Đặt giới hạn số lần nhập mật khẩu sai.
  • Hạn chế truy cập VPN/RDP từ bên ngoài; sử dụng tính năng geo-fencing và thường xuyên xóa các thông tin đăng nhập/tài khoản không hoạt động. Cấu hình tường lửa và lọc lưu lượng mạng. Vô hiệu hóa các cổng không sử dụng.
  • Cập nhật bản vá thường xuyên cho các thiết bị và hệ thống VPN, đặc biệt là những hệ thống đã biết là mục tiêu của Akira.
  • Áp dụng phân đoạn mạng và xem xét mô hình bảo mật zero-trust. Phân đoạn mạng để hạn chế sự di chuyển ngang của ransomware và ngăn chặn sự lây lan của nó. Áp dụng nguyên tắc quyền truy cập tối thiểu (least privilege) khi có thể để chỉ cấp quyền truy cập cho các tác vụ cần thiết.
  • Cài đặt phần mềm chống virus (AV) kết hợp với phần mềm EDR/XDR để bảo vệ các máy tính trong mạng. Áp dụng danh sách trắng cho trình điều khiển (driver whitelisting) để ngăn chặn việc thực thi các trình điều khiển đã ký có lỗ hổng. Thêm các biện pháp bảo vệ như “Moving Target Defense” để ngăn chặn việc trích xuất thông tin đăng nhập, các công cụ xâm nhập ngang và ransomware thông qua việc thay đổi hành vi hệ thống.

Áp dụng một chiến lược sao lưu đáng tin cậy – yếu tố cần thiết cho chiến lược bảo vệ dữ liệu tổng thể.

  • Cấu hình sao lưu định kỳ . Đảm bảo các bản sao lưu được đã được mã hóa, không thể thay đổi và thường xuyên kiểm tra khả năng phục hồi.
  • Tuân thủ Quy tắc sao lưu 3-2-1 . Phải có ít nhất 3 bản sao dữ liệu, trong đó 2 bản được lưu trữ trên các phương tiện lưu trữ khác nhau và 1 bản tại địa điểm khác. Bạn cũng nên có một bản sao lưu ngoại tuyến, cách ly hoàn toàn (air-gapped) mà ransomware không thể truy cập.
  • Tổ chức đào tạo người dùng định kỳ : Hướng dẫn người dùng cách phát hiện các hoạt động đáng ngờ và cách xử lý khi phát hiện hành vi bất thường. Người dùng phải ngắt kết nối máy tính ngay lập tức nếu phát hiện hoạt động đáng ngờ hoặc dấu hiệu nhiễm ransomware và báo cáo sự cố cho quản trị viên hệ thống.
  • Cấu hình giám sát hạ tầng . Theo dõi nhật ký, các hoạt động chuyển file bất thường, việc tạo tài khoản quản trị viên và hành vi mạng lạ thông qua SIEM hoặc các công cụ giám sát của bên thứ ba.
  • Xây dựng kế hoạch ứng phó với ransomware như một phần của các kế hoạch tổng thể phục hồi sau thảm họakế hoạch đảm bảo hoạt động liên tục . Phát triển và thử nghiệm một kế hoạch ứng phó cụ thể dành cho ransomware kế hoạch ứng phó sự cố, với các vai trò và quy trình rõ ràng.

Không trả tiền chuộc nếu xảy ra tấn công ransomware. Các cơ quan chức năng (FBI, CISA và các cơ quan khác) khuyến cáo không nên trả tiền chuộc vì không có đảm bảo rằng bạn sẽ lấy lại được dữ liệu. Quá trình khôi phục sau tấn công ransomware Akira bao gồm việc loại bỏ phần mềm tống tiền khỏi các máy tính bị nhiễm hoặc thậm chí cài đặt lại phần mềm, thực hiện kiểm tra hạ tầng, vá tất cả các lỗ hổng bảo mật có thể và khôi phục dữ liệu từ bản sao lưu.

Sử dụng NAKIVO Backup & Replication để sao lưu và khôi phục dữ liệu. Giải pháp NAKIVO hỗ trợ sao lưu máy vật lý, máy ảo, các phiên bản đám mây Amazon EC2, Microsoft 365 và cơ sở dữ liệu Oracle (thông qua RMAN). Với nhiều tùy chọn lưu trữ sao lưu đa dạng, bạn có thể triển khai một chiến lược sao lưu đáng tin cậy. Mã hóa dữ liệu và tính bất biến của bản sao lưu giúp bảo vệ dữ liệu khỏi việc truy cập và sửa đổi trái phép, cho phép bạn khôi phục các tệp của mình trong trường hợp xảy ra thảm họa hoặc tấn công ransomware.

Kết luận

Ransomware Akira vẫn là một mối đe dọa an ninh mạng lớn, sử dụng các chiến thuật tinh vi để xâm nhập mạng, mã hóa dữ liệu và tống tiền nạn nhân. Hiểu rõ vòng đời và các phương pháp phát hiện của nó là điều cần thiết để xây dựng hệ thống phòng thủ vững chắc và giảm thiểu thiệt hại tiềm ẩn. Các bản sao lưu đáng tin cậy, các công cụ như NAKIVO Backup & Replication và việc giám sát chủ động có thể giảm thiểu đáng kể tác động của một cuộc tấn công. Bằng cách luôn cập nhật thông tin và chuẩn bị sẵn sàng, các tổ chức có thể tăng cường khả năng chống chịu trước phần mềm tống tiền Akira.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Có thể bạn cũng quan tâm