Calif vừa công bố một báo cáo về LockBit v3, biến thể ransomware (mã độc tống tiền) đang gây sóng gió ở Việt Nam. Báo cáo chỉ ra:
- Một lỗ hổng cho phép khôi phục một phần dữ liệu bị mã hóa mà không phải trả tiền chuộc.
- Một lỗi thiết kế gây phá hỏng một phần dữ liệu, khiến không thể phục hồi.
Báo cáo dài 30 trang, nhiều chi tiết kỹ thuật thú vị cho những ai thích tìm hiểu mã độc, mật mã học và an ninh mạng nói chung.
Khi tôi kể chuyện Calif giúp khách hàng phục hồi sau khi bị tấn công ransomware, có ý kiến cho rằng không thể khôi phục dữ liệu, một khi đã bị mã hóa bằng AES-256.
Tôi không hiểu sao họ lại nhắc đến AES-256. LockBit v3 sử dụng Salsa20, thuật toán không liên quan gì đến AES-256.
Ngay cả khi đó là AES-256, không có gì đảm bảo tác giả ransomware không mắc sai lầm. Kỳ thực tôi đã xây dựng sự nghiệp dựa trên việc phát hiện và ngăn chặn những sai lầm như vậy.
Tôi thấy muốn làm chuyên gia thì phải thấu hiểu những trường hợp ngoại lệ. Khi chia sẻ ý kiến về một vấn đề nào đó, chuyên gia thứ thiệt thường phát biểu theo công thức “Vấn đề này nói chung là như thế này…, ngoại trừ những trường hợp như sau…”.
Tôi hy vọng báo cáo mới sẽ giúp làm rõ một vài trường hợp ngoại lệ và chấm dứt những nhận xét thiếu căn cứ.
Ngoài báo cáo này, Calif cũng đã công bố một báo cáo về chiến lược khôi phục khi bị tấn công ransomware. Đây là sản phẩm của Nhân Huỳnh, chuyên gia mã độc của Calif từng làm việc ở Meta và Mandiant. Sếp cũ của tôi Eric Grosse, cựu thủ trưởng an ninh mạng của Google, khi đọc bài của Nhân đã chia sẻ rằng:
Here are the wisest words I’ve read on ransomware.
Đây là những câu chữ khôn ngoan nhất mà tôi đã đọc được về ransomware.
Nhân chỉ ra ba chiến lược phục hồi phổ biến nhất:
- Khôi phục từ hệ thống dự phòng
- Nộp tiền chuộc và hi vọng kẻ tấn công là dân chuyên nghiệp
- Tìm cách tự giải mã và hi vọng kẻ tấn công là dân nghiệp dư
Nhân cũng chỉ ra rằng dù chọn phương án nào, nạn nhân cũng KHÔNG nên công bố. Đây là lý do Calif miễn bình luận về các phương án khách hàng đã chọn.
Chúng tôi vẫn cố gắng công bố những chi tiết kỹ thuật được phép chia sẻ. Ngoài hai báo cáo đã công bố, chúng tôi còn đang viết thêm một bài khác, mô tả cách tối ưu quá trình giải mã và bài học rút ra từ thực tiễn xử lý sự cố.
Calif không có mục tiêu gì khác ngoài việc giúp mọi người chuẩn bị kỹ hơn, xử lý hiệu quả hơn nếu bị tấn công. Chúng tôi cũng muốn khuyến khích các tổ chức ở Việt Nam chia sẻ nhiều hơn thông tin và bài học từ sự cố an ninh mạng. Đúng như Nhân đã viết trong phần cuối của báo cáo LockBit v3, chúng ta không thể an toàn nếu xung quanh không ai an toàn:
Security demands collaboration as no organizations operate in a vacuum. The more secure our peers, the safer we are against cyber criminals.
Bảo mật đòi hỏi sự hợp tác vì không có tổ chức nào hoạt động trong môi trường chân không. Đồng nghiệp của chúng ta có an toàn thì chúng ta mới an toàn trước tội phạm mạng.
Tác giả: Thái | Hacker | Kỹ sư tin tặc | https://vnhacker.substack.com/p/giai-ma-lockbit-v3
Vina Aspire là Công ty tư vấn & kinh koanh trong lĩnh vực Công nghệ cao, An ninh mạng, bảo mật, an toàn thông tin, gồm đội ngũ những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng. Chúng tôi với những con người trí tuệ, đầy khát vọng, bản lĩnh, không ngừng sáng tạo, phấn đấu hết mình để tạo ra những sản phẩm và dịch vụ chất lượng cao, tạo ra nhiều giá trị mới cho khách hàng và toàn xã hội.
Vina Aspire mong muốn trở thành một tổ chức kiểu mới, giàu mạnh, bằng nỗ lực lao động sáng tạo trong khoa học, kỹ thuật và công nghệ, góp phần hưng thịnh Quốc gia, đem lại cho mỗi thành viên của mình điều kiện phát triển đầy đủ nhất về tài năng và một cuộc sống đầy đủ về vật chất, phong phú về tinh thần.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
