Trong một bài viết trên blog của Rapid7, Christiaan Beek đã đề cập đến khả năng mã độc được nhúng vào firmware của CPU hoặc UEFI/BIOS, cho phép ransomware hoạt động trước khi hệ điều hành khởi động và vượt qua các biện pháp bảo vệ thông thường như phần mềm diệt virus. Ông nhấn mạnh rằng nếu các nhóm tấn công áp dụng rộng rãi kỹ thuật này, nó có thể đưa ransomware lên một cấp độ mới, khó phát hiện và loại bỏ hơn nhiều so với hiện tại.
Xu hướng phát triển của ransomware
Christiaan Beek cũng lưu ý rằng các nhóm ransomware đang đầu tư vào các kỹ thuật tiên tiến, bao gồm việc sử dụng các ngôn ngữ lập trình mới như Rust, Go và Nim để tránh bị phát hiện, cũng như phát triển các kỹ thuật mã hóa mạnh hơn để làm cho việc khôi phục dữ liệu trở nên khó khăn hơn. Một số nhóm còn đang nghiên cứu cách nhúng mã độc vào firmware để tránh bị phát hiện, như được xác nhận trong các bản ghi trò chuyện bị rò rỉ của nhóm Conti.
Khuyến nghị cho các tổ chức
Để đối phó với các mối đe dọa ngày càng tinh vi, các tổ chức nên:
▪️Áp dụng các cơ chế phát hiện mạnh mẽ, đặc biệt là đối với các thiết bị mạng và bảo mật không thể cài đặt phần mềm diệt virus hoặc EDR.
▪️Thường xuyên cập nhật và vá các lỗ hổng bảo mật, đặc biệt là các lỗ hổng zero-day.
▪️Thực hiện các bài tập mô phỏng tấn công và kiểm tra khả năng phản ứng để đảm bảo kế hoạch ứng phó sự cố hiệu quả.
▪️Đầu tư vào các công cụ giám sát và phát hiện sớm như SOC-SIEM để giảm thiểu rủi ro bị tấn công.
Mặc dù hiện tại chưa có bằng chứng về sự tồn tại của ransomware "bất tử" cấy vào vi mã CPU, nhưng các cảnh báo từ chuyên gia như Christiaan Beek cho thấy các tổ chức cần nâng cao cảnh giác và chuẩn bị đối phó với các mối đe dọa ngày càng tinh vi trong tương lai.
Nguồn Hiệp hội Internet Việt Nam
