Giải phẫu một cuộc điều tra Ransomware

Ransomware tiếp tục là mối đe dọa lớn đối với nhiều tổ chức, cá nhân, doanh nghiệp hiện nay. Những cuộc tấn công diễn ra ngày càng phổ biến và gây ra những hậu quả nặng nề đối với các tổ chức, doanh nghiệp nếu không được giải quyết tận gốc. Vậy các tổ chức cần làm gì khi bị tấn công Ransomware? Trước hết việc nhanh chóng chuẩn bị thực hiện phân tích pháp y để tìm ra các lỗ hổng của chúng là hết sức khẩn thiết và quan trọng.

Trong bài đăng này, chúng tôi đang theo dõi một cuộc điều tra về ransomware ở thực tế nhưng vẫn mang tính giả thiết về nơi mà phòng thí nghiệm pháp y sẽ bắt đầu điều tra ransomware và giải quyết nó. Nếu bạn đã từng tham gia vào một cuộc điều tra hoặc giải phẫu ransomware thì với bài viết này của chúng tôi bạn sẽ nhận ra rằng không phải mọi thứ đều diễn ra theo đúng trình tự của nó. Chúng tôi sẽ cung cấp cho bạn trình tự các sự kiện theo một cách đầy đủ và chính xác nhất.

Tuy nhiên, để điều tra một cuộc tấn công ransomware đạt hiệu quả nhất – đặc biệt là khi nó diễn ra với quy mô rộng và những áp lực gia tăng thì bắt buộc bạn phải nắm được quy trình điều tra và cách các công cụ pháp y kỹ thuật số có thể giúp hỗ trợ các nỗ lực ứng phó sự cố của bạn.

Các số liệu thống kê đáng báo động khi nói đến ransomware:

• Các chuyên gia ước tính rằng một cuộc tấn công ransomware sẽ xảy ra cứ sau 11 giây vào năm 2021
• Kể từ năm 2016, hơn 4000 cuộc tấn công ransomware đã xảy ra hàng ngày ở Hoa Kỳ.
• Phí đòi tiền chuộc trung bình được yêu cầu đã tăng từ 5000$ vào năm 2018 lên khoảng 200.000$ vào năm 2020.
• Chi phí trung bình để khôi phục sau một cuộc tấn công bằng ransomware là 1,85 triệu đô la.
• Chỉ riêng trong tháng 9 năm 2020, tội phạm mạng đã xâm nhập và lấy cắp 9,7 triệu hồ sơ bệnh án.
• 90% các tổ chức tài chính đã bị nhắm mục tiêu bởi các cuộc tấn công ransomware.

Bộ An ninh Nội địa, FBI và các tổ chức an ninh khác đã cảnh báo tất cả chúng ta về ransomware, đặc biệt là khả năng nó được sử dụng để chống phá cuộc bầu cử năm 2020 tại Hoa Kỳ. Những thông tin mà chúng tôi có được cũng chứng minh những lo ngại này là có cơ sở.

Các tệp mã hóa, tệp bị mất cũng như thông báo đòi tiền chuộc hiện đã trở thành nỗi sợ hàng đầu đối với hầu hết các nhóm điều hành. Thông qua phân tích khuôn mẫu tấn công, chúng tôi nhận thấy rằng tội phạm mạng thường xác định những thời điểm thay đổi đóng băng (ví dụ: ngày lễ), tức là khi các tổ chức khó thực hiện các thay đổi (ví dụ: vá hệ thống) để củng cố mạng của họ. Chúng nhận thức được khi nào tổ chức có những nhu cầu kinh doanh quan trọng khiến họ thà trả tiền chuộc hơn là để hệ thống ngừng hoạt động, chẳng hạn như trong chu kỳ thanh toán của các ngành y tế, tài chính và pháp lý.

Những kẻ tấn công đã khai thác cuộc khủng hoảng COVID-19 để giảm thời gian chờ trong hệ thống của nạn nhân, sau đó nhanh chóng tiến hành các hoạt động xâm phạm, lấy cắp dữ liệu và trong một số trường hợp, tống tiền nạn nhân. Rõ ràng chúng tin rằng nạn nhân sẽ chi tiền một cách dễ dàng hơn trong thời gian dịch bệnh bùng phát. Trong một số trường hợp, quá trình từ thời điểm xâm nhập ban đầu đến tống tiền toàn bộ mạng chỉ trong vòng chưa đầy 45 phút.

Đồng thời, chúng ta cũng thấy rằng các băng đảng ransomware do con người điều hành đang tiến hành các cuộc truy quét Internet quy mô lớn trên diện rộng để tìm kiếm các điểm dễ xâm nhập, sau đó chúng “để dành” quyền truy cập, chờ đợi thời cơ để hành động.

Hãy xem cách một cuộc điều tra ransomware có thể được thực hiện như thế nào.

Phòng thí nghiệm pháp y nhận được cảnh báo từ SOC về cuộc tấn công ransomware tiềm ẩn và được yêu cầu xác thực 

Tùy thuộc vào quy mô của công ty, hàng nghìn hoặc thậm chí hàng trăm triệu sự kiện bảo mật (có thể có dấu hiệu của sự xâm phạm) có thể được đăng nhập trong một ngày. Các cảnh báo sẽ lập tức xuất hiện và đôi khi nó cũng có thể bị vô hiệu hóa bởi những kẻ tấn công, điều này sẽ khiến cho các tổ chức, doanh nghiệp mất cảnh giác. Và thực tế, mọi cảnh báo như thế này phải được đảm bảo mức độ nghiêm trọng và khẩn cấp để chứng minh nó thực sự là một cuộc tấn công ransomware.

Các công cụ pháp y mà bạn sử dụng phải nhanh và phải chính xác. Thông thường, dựa trên cảnh báo hoặc thông báo khởi động cuộc điều tra của bạn, bạn sẽ biết mình đang tìm kiếm thông tin gì, chẳng hạn như tên tệp. Và bạn cũng sẽ biết thiết bị hoặc điểm cuối mà bạn đang điều tra dựa trên những cảnh báo đó.

Để xác thực cảnh báo, cần quét nhanh hoặc phân loại điểm cuối để xác minh (hoặc hy vọng là vô hiệu hóa) cảnh báo. Một công cụ phân loại như Magnet IGNITE có thể quét hoạt động độc hại hoặc các từ khóa riêng lẻ trên các điểm cuối mục tiêu — thậm chí nhiều điểm cuối cùng một lúc.

Những điều cần lưu ý:

• Thông báo có thể đến từ nhiều nơi khác nhau ngoài SOC. Một số nguồn khác bao gồm các thiết bị, cảnh báo từ các hệ thống khác và thậm chí cả các nguồn bên ngoài.
• Đảm bảo xác thực thông báo nhanh chóng để xác định xem chúng có hành động thêm hay không.

Kết quả Triage xác nhận cuộc tấn công ransomware, bây giờ đã đến lúc ban hành kế hoạch ứng phó sự cố của bạn

Sau khi bạn xác nhận rằng có những vi phạm và cuộc tấn công ransomware đang xảy ra, trên thực tế, rất nhiều thứ sẽ bắt đầu xảy ra cùng một lúc. Điều này sẽ gây ra những khó khăn cho bạn và một phòng thí nghiệm pháp y sẽ là công cụ hỗ trợ đắc lực trong việc thực hiện phân tích nguyên nhân của cuộc tấn công. Các câu trả lời mà bạn tìm được từ phân tích pháp y sâu hơn về các thiết bị sẽ cung cấp cho các nhóm chức năng khác những thông tin họ cần để thực hiện công việc của mình.

Một số nhóm quan trọng nhất mà bạn sẽ muốn kết nối ngay lập tức là các nhóm Bảo mật khác nhau của bạn — bao gồm Mạng, Đám mây hoặc Bảo mật điểm cuối — để họ có thể cô lập và cách ly các điểm cuối máy chủ bị nhiễm, thậm chí cả mạng càng nhanh càng tốt để giảm thiểu sự lây lan của cuộc tấn công ransomware.

Các nhóm nội bộ khác mà bạn sẽ làm việc có thể bao gồm bộ phận Marketing hoặc Quan hệ công chúng để quản lý truyền thông với bên ngoài, bộ phận Pháp lý để hiểu tổ chức của bạn có trách nhiệm gì, bộ phận Nhân sự để bạn có thể kết nối với nhân viên đã kích hoạt cuộc tấn công. Ngay cả những thứ đơn giản như hiểu ứng dụng họ đang sử dụng khi họ bắt đầu cuộc tấn công cũng có thể vô cùng quý giá.

Các nhóm bên ngoài cũng có thể tham gia, chẳng hạn như nhà cung cấp bảo hiểm an ninh mạng của bạn và các cơ quan quản lý có liên quan. Tùy thuộc vào quy mô và phạm vi của cuộc tấn công, bạn có thể muốn xem xét việc tham gia thực thi pháp luật. Ở Mỹ, đó sẽ là Sở Mật vụ và / hoặc FBI.

Những điều cần lưu ý:

• Kế hoạch ứng phó sự cố của bạn cũng phải bao gồm cả các hoạt động truyền thông.
• Có một đầu mối liên hệ duy nhất có thể liên lạc với các nhóm khác trong khi nhóm pháp y đang thực hiện phân tích nguyên nhân, hợp lý hóa các hoạt động và cho phép mọi người tập trung vào những gì họ cần làm.
• Nhà cung cấp bảo hiểm an ninh mạng của bạn có thể có các yêu cầu hoặc các bước cụ thể đối với nhà cung cấp mà bạn cần thực hiện để giữ cho chính sách của mình có hiệu lực. Nếu các bước này không được tích hợp trong kế hoạch IR của bạn — mà chúng nên có — thì hãy đảm bảo thực hiện các hành động thích hợp.

Thực hiện phân tích nguyên nhân gốc rễ trong khi bảo tồn bằng chứng

Sẽ có một loạt các câu hỏi cần được trả lời:

• Làm thế nào chúng ta bị tấn công?
• Có bao nhiêu điểm cuối bị tấn công?
• Những gì đã mất?
• Tác động của khách hàng là gì?
• Dữ liệu khách hàng hoặc PII có được lấy không?
• Bây giờ chúng ta có an toàn không? Cuộc tấn công đã kết thúc chưa?

Và nhiều câu trả lời trong số đó sẽ đến từ phòng thí nghiệm pháp y.

Nhận được câu trả lời bạn cần mặc dù có thể chứng tỏ là một thách thức, điểm cuối mà bạn đang điều tra bây giờ rất có thể đã được mã hóa. Thời gian trung bình để ransomware bắt đầu mã hóa tệp là ba giây.

Do đó, bạn sẽ dựa vào dữ liệu từ nhiều nguồn khác nhau:

• Từ điểm cuối bị nhiễm, bạn sẽ muốn bắt đầu bằng cách thu thập bộ nhớ dễ bay hơi ngoài hình ảnh đĩa đầy đủ.
• Giữ các bản sao lưu gần đây nhất hoặc ảnh chụp nhanh của điểm cuối bị nhiễm. Nếu chúng chưa được mã hóa, chúng có thể là một nguồn bằng chứng quan trọng.
• Nhận bất kỳ nhật ký hệ thống nào mà bạn có thể. Cụ thể là Nhật ký sự kiện cửa sổ và Nhật ký tường lửa. Bản sao Volume Shadow là một tài nguyên rất tốt khác để tìm kiếm bằng chứng, nếu nó chưa được mã hóa.
• Các tệp nhật ký từ tất cả các thiết bị khác nhau (ví dụ: CrowdStrike, Blue Coat, v.v.) khiến cảnh báo tắt.
• Lưu lượng mạng đến và đi từ điểm cuối bị nhiễm.

Công cụ pháp y của bạn phải tân tiến nhất, mạnh mẽ và dễ sử dụng. Những đặc điểm này sẽ cho phép bạn hành động với tốc độ nhanh và độ chính xác cao. Magnet AXIOM Cyber ​​là một trong những công cụ thực hiện phân tích nguyên nhân cho các cuộc điều tra ransomware tốt nhất hiện nay.

Dưới đây là một số cách mà AXIOM Cyber có thể giúp cho cuộc điều tra ransomware của bạn:

• Các tính năng phân tích mạnh mẽ có thể giảm thời gian để đi tới bằng chứng:
  • Các kết nối sẽ hiển thị cho bạn một cách trực quan cách một tệp, ví dụ: một tải trọng độc hại, bắt nguồn như thế nào và nó đã đi đâu và đến đó như thế nào.

• • Dòng thời gian sẽ nhanh chóng thiết lập theo dõi các sự kiện được cho là khoảng thời gian lây nhiễm và thậm chí là giai đoạn đầu.

• Bạn có thể phân tích các tạo tác Linux đến từ các máy chủ hoặc các thiết bị khác trong mạng của mình, điều này sẽ giúp xác định lưu lượng mạng đi đến và đi từ thiết bị bị nhiễm, cung cấp cho bạn manh mối về cách kẻ tấn công di chuyển qua mạng của bạn và khả năng là những điểm cuối nào khác có thể bị nhiễm.
• Có thể thực hiện thu thập từ xa các điểm cuối mục tiêu, ngay cả khi chúng không được kết nối với mạng công ty của bạn qua VPN.

• Việc nắm bắt và phân tích RAM / bộ nhớ sẽ là điều bắt buộc để hiểu những gì đã xảy ra trên điểm cuối bị nhiễm.

Đảm bảo phạm vi bảo mật của bạn không có phần mềm tống tiền trước khi khôi phục mạng lưới

Trung bình, các cuộc tấn công ransomware gây ra thời gian chết trong 15 ngày làm việc. Do sự ngừng hoạt động này, các doanh nghiệp mất khoảng 8.500 đô la một giờ. Do đó, việc đưa doanh nghiệp hoạt động trở lại một cách an toàn là điều thực sự cấp thiết.

Tại thời điểm này, điều bạn quan tâm nhất là bất kỳ sự lây nhiễm chéo nào của các phân đoạn mạng hoặc điểm cuối không bị nhiễm độc với các nội dung đã được cách ly mà bạn đang chuẩn bị đưa trở lại trực tuyến.

Việc khôi phục chắc chắn sẽ là một nỗ lực liên chức năng, tuy nhiên, vai trò mà đội pháp y có thể thực hiện trong quá trình này là kiểm tra và xác thực những dấu vết của ransomware và IOC đã biến mất và mọi backdoor mà kẻ tấn công có thể đã cài đặt đều bị xóa. Một nghiên cứu của công ty bảo mật mạng Cybereason cho thấy hơn một nửa số người được hỏi đã bị tấn công bằng ransomware và 80% những người trả tiền chuộc đã bị tấn công lần thứ hai, thường là bởi cùng một kẻ tấn công.

Trước khi đưa các điểm cuối và phân đoạn mạng riêng biệt trở lại trực tuyến, bạn sẽ cần sử dụng AXIOM Cyber ​​để quét IOC hoặc phần còn lại của ransomware trên hình ảnh mà bạn sẽ sử dụng làm cơ sở hoặc hình ảnh của mình.

Một số nơi phổ biến mà những kẻ tấn công thường nhắm đến trong các cuộc tấn công ở tương lai là Active Directory và máy chủ email.

Những điều cần lưu ý:

• Ransomware cũng thường nhắm mục tiêu vào các bản sao lưu; các bản sao lưu của bạn cũng nên được kiểm tra trước khi khôi phục.
• Hãy cập nhật tất cả các bản vá và cập nhật máy chủ của bạn

Cố gắng nhanh chóng xác định điều gì khác biệt trên một điểm cuối, hãy tải bộ hình ảnh vào AXIOM Cyber ​​và sau đó so sánh nó với điểm cuối mà bạn đang điều tra.

Tạo báo cáo và chuẩn bị cho cuộc phỏng vấn để các bài học kinh nghiệm có thể được đưa vào kế hoạch ứng phó sự cố

Cuộc tấn công đã lắng xuống. Các điểm cuối bị nhiễm đã được khôi phục an toàn và thành công. Ransomware đã bị xóa khỏi mạng của bạn.

Bây giờ đã đến lúc báo cáo về cuộc điều tra của bạn để có thể rút ra những bài học kinh nghiệm quý giá và sau đó kết hợp trở lại kế hoạch ứng phó sự cố của bạn để hy vọng ngăn chặn một loại sự cố tương tự tái diễn trong tương lai.

Khi tổng hợp báo cáo của bạn, một trong những cách hiệu quả nhất để trình bày những phát hiện của bạn là hiển thị dòng thời gian của các sự kiện. AXIOM Cyber ​​có một tính năng gọi là “Dòng thời gian” (Timeline) sẽ xây dựng lại chuỗi sự kiện với các dấu thời gian trong sự cố một cách dễ theo dõi.

Khi sử dụng “Dòng thời gian”, bạn có thể chọn những gì bạn muốn đưa vào báo cáo cuối cùng của mình, chụp ảnh màn hình để hỗ trợ bằng chứng của bạn.

Một tính năng khác của AXIOM Cyber ​​có thể giúp bạn xây dựng báo cáo của mình là Connections (Kết nối). Đặc biệt quan trọng đối với một cuộc điều tra, chẳng hạn như ransomware sẽ theo dõi một tệp khi nó di chuyển từ thiết bị này sang thiết bị khác trong mạng lưới của bạn. Bạn sẽ có ý tưởng về địa điểm, cách thức, thời điểm một tệp được di chuyển, giúp xác định có bao nhiêu điểm cuối có thể đã tiếp xúc với ransomware.

Nhờ đó bạn sẽ có thể tóm tắt ngắn gọn các bước được thực hiện để phân tích và sau đó kiểm tra các điểm cuối bị nhiễm đó.

Những điều cần lưu ý:

• Bạn sẽ ghi lại tất cả các bước và hành động mà bạn đã thực hiện trong suốt quá trình điều tra của mình.
• Báo cáo của bạn rất có thể sẽ được sử dụng bởi nhiều bên liên quan khác nhau, những bên kỹ thuật cũng như những bên khác, hãy cố gắng cân nhắc cả hai đối tượng khi viết báo cáo cuối cùng của bạn: tránh những biệt ngữ, từ viết tắt và cố gắng viết rõ ràng.

• Mặc dù chúng tôi hy vọng rằng bạn không bao giờ phải thực hiện điều tra ransomware, nhưng bạn nên chuẩn bị và có bộ công cụ phù hợp trong tầm tay để hành động nhanh nhất có thể.

Nguồn: https://www.magnetforensics.com/blog/anatomy-of-a-ransomware-investigation/