Chiến thuật ngăn chặn và giảm thiểu tổn thất do ransomware VanHelsing

21/03/2025
2 mins read
Nội dung
Tổng quan về Ransomware VanHelsing
Phương thức lây nhiễm
Chiến thuật né tránh
Tính bền vững và kiểm soát
Giảm thiểu và Bảo vệ
Khuyến nghị bổ sung

Tổng quan về Ransomware VanHelsing

  • Loại Malware: VanHelsing là một chương trình loại ransomware mã hóa tệp và yêu cầu thanh toán để giải mã.
  • Mã hóa và Phần mở rộng tệp: Nó thêm phần mở rộng .vanhelsing vào các tệp đã mã hóa, ví dụ, 1.jpg.vanhelsing thay vì 1.jpg. Nó cũng thay đổi hình nền máy tính và tạo một lưu ý chuộc tiền có tiêu đề README.txt.
  • Chiến thuật Đòi tiền đôi: VanHelsing sử dụng các chiến thuật đòi tiền đôi, đe dọa rò rỉ dữ liệu bị đánh cắp nếu không thanh toán tiền chuộc.

Phương thức lây nhiễm

  • Kỹ thuật phân phối: Ransomware thường được phân phối qua các kỹ thuật lừa đảo và kỹ thuật xã hội. Nó có thể được ngụy trang hoặc gói cùng với phần mềm/truyền thông thông thường như lưu trữ (RAR, ZIP), tệp thực thi (.exe, .run), tài liệu (Microsoft Office, PDF) và tệp JavaScript.
  • Chuỗi lây nhiễm: Việc mở các tệp độc hại hoặc nhấp vào các liên kết đáng ngờ có thể kích hoạt chuỗi lây nhiễm. Thêm vào đó, nó có thể tự sinh sôi qua các mạng nội bộ và các thiết bị lưu trữ di động.

Chiến thuật né tránh

  • Phát hiện môi trường gỡ lỗi: Ransomware sử dụng các môi trường gỡ lỗi để xác định xem nó có đang hoạt động trong một môi trường gỡ lỗi hay không, giúp nó tránh phân tích và phát hiện.
  • Khai thác khung WMI: Nó thực hiện các cuộc gọi đến khung Windows Management Instrumentation (WMI), một công cụ mạnh mẽ có thể bị khai thác bởi malware để thực hiện các lệnh, thu thập thông tin hoặc thực hiện các thay đổi hệ thống.

Tính bền vững và kiểm soát

  • Thao tác khóa registry: Ransomware đặt chính nó vào một cách mà thao tác hành vi thực thi của hình ảnh, cho phép nó đạt được tính bền bỉ và duy trì kiểm soát đối với các hệ thống bị xâm phạm, né tránh phát hiện.

Giảm thiểu và Bảo vệ

  • Giao thức bảo mật: Để bảo vệ chống lại ransomware VanHelsing, các tổ chức nên triển khai các giao thức bảo mật hiệu quả, bao gồm mã hóa, xác thực và cấu hình quyền truy cập. Cập nhật thường xuyên các ứng dụng và phần mềm với các phiên bản mới nhất và bản vá bảo mật cũng là điều quan trọng.
  • Phát hiện mối đe dọa: Thêm các quy tắc Sigma cho việc phát hiện và giám sát mối đe dọa có thể giúp nhận diện và giám sát các hoạt động đáng ngờ. Giám sát và chặn các IOC (Indicators of Compromise) dựa trên thông tin tình báo về chiến thuật cũng là cần thiết.

Khuyến nghị bổ sung

  • Bảo trì sao lưu: Đảm bảo rằng các bản sao lưu của các hệ thống quan trọng được duy trì có thể được sử dụng để khôi phục dữ liệu trong trường hợp bị tấn công.
  • Kiến trúc Zero-Trust: Kích hoạt kiến trúc zero-trust và xác thực nhiều yếu tố (MFA) có thể giảm thiểu việc xâm phạm danh tính và thúc đẩy văn hóa an ninh mạng.
  • Đào tạo nhân viên: Khuyến khích và đầu tư vào việc đào tạo nhân viên để giúp an ninh trở thành một phần không thể thiếu của tổ chức.

Bằng cách hiểu các chiến thuật này và thực hiện các biện pháp bảo mật hiệu quả, các tổ chức có thể bảo vệ tốt hơn trước ransomware VanHelsing và các mối đe dọa tương tự khác.

Tags