Sự phụ thuộc ngày càng tăng vào dữ liệu số và internet trong mọi lĩnh vực của đời sống xã hội khiến cho các tổ chức và cá nhân trở nên dễ bị tổn thương trước những cuộc tấn công mạng, trong đó có tấn công sử dụng mã độc mã hóa dữ liệu đòi tiền chuộc – ransomware.
1. Quá trình tấn công ransomware:
– Lây nhiễm: Ransomware có thể xâm nhập vào hệ thống của nạn nhân qua email lừa đảo có đính kèm file độc hại hoặc chứa liên kết tới trang web chứa mã độc. Hacker cũng có thể khai thác lỗ hổng bảo mật trong phần mềm chưa được vá để tự động cài đặt ransomware mà không cần sự tương tác của người dùng, hoặc sử dụng quảng cáo độc hại trên internet để phân phối mã độc…
– Mã hóa: Sau khi lây nhiễm, ransomware bắt đầu quá trình mã hóa dữ liệu trên hệ thống của nạn nhân. Ransomware thường sử dụng các thuật toán mã hóa mạnh, để đảm bảo rằng dữ liệu bị mã hóa không thể khôi phục mà không có khóa mã.
– Yêu cầu tiền chuộc: Sau khi mã hóa dữ liệu, ransomware hiển thị một thông báo trên màn hình của nạn nhân, yêu cầu tiền chuộc để giải mã dữ liệu. Thông báo này thường chứa hướng dẫn về cách thức thanh toán (thường là qua Bitcoin hoặc các loại tiền mã hóa khác để giấu danh tính của tội phạm), cũng như một thời hạn thanh toán. Thông báo có thể kèm lời đe dọa sẽ xóa dữ liệu hoặc công khai chúng nếu không nhận được tiền chuộc.
– Giao dịch và giải mã (hoặc không): Nạn nhân sau đó phải đối mặt với quyết định khó khăn: trả tiền chuộc và hy vọng lấy lại dữ liệu, hoặc từ chối và mất dữ liệu mãi mãi. Tuy nhiên, việc trả tiền cũng không đảm bảo dữ liệu sẽ được giải mã.
Nguy hiểm của ransomware không chỉ ở khả năng mã hóa dữ liệu, cách thức lan truyền, yêu cầu tiền chuộc mà còn tạo ra một kênh giao dịch tài chính mà qua đó hacker có thể thu lợi bất chính. Sự tinh vi và khó lường của các cuộc tấn công ransomware khiến chúng trở thành một trong những thách thức lớn nhất đối với an toàn, an ninh mạng hiện nay.
–
2. Tấn công ransomware ở Việt Nam:
Tấn công ransomware được biết đến nhiều ở Việt Nam từ vụ tấn công của mã độc Wannacry năm 2017 với quy mô lớn, gây lây nhiễm trên 230.000 máy tính ở 150 quốc gia, trong đó có Việt Nam.
Theo hãng bảo mật Kaspersky, những năm gần đây Việt Nam phải hứng chịu khoảng 50.000 vụ tấn công ransomware mỗi năm, xếp thứ ba ở Đông Nam Á (sau Indonesia và Thái Lan).
Đặc biệt, cuối tháng 3, đầu tháng 4/2024, một số doanh nghiệp Việt Nam trong lĩnh vực tài chính, chứng khoán, năng lượng như VNDirect, PVOil…đã bị tấn công ransomware làm gián đoạn hoạt động và gây ra nhiều thiệt hại. Các cuộc tấn công của nhóm tội phạm mạng hết sức tinh vi và kịch bản có nhiều tương đồng. Phân tích một số vụ tấn công vừa qua, các chuyên gia cho biết, mã độc được hacker sử dụng để tấn công là loại LockBit 3.0, có thể phát tán nhanh chóng trên mạng của mục tiêu, hoạt động theo mô hình dịch vụ RaaS (Ransomware-as-a-service) – một mô hình phổ biến của mã độc tống tiền hiện nay. Người phát triển mã độc hỗ trợ công cụ, kỹ thuật cho hacker tấn công và được nhận một phần tiền chuộc của nạn nhân (có thể lên tới 80%).
Hacker đã khai thác lỗ hổng phần mềm và truy cập được vào máy chủ ảo của công ty, bật tính năng cài đặt từ xa để cài ransomware LockBit và mã hóa toàn bộ dữ liệu trên máy chủ vật lý (chứa các máy chủ ảo). Từ khi xâm nhập được vào hệ thống, hacker cần một thời gian nhất định (từ vài tuần trở lên) để mã hóa dữ liệu, nhưng các công ty nêu trên đã không kịp thời phát hiện bị xâm nhập để có giải pháp ngăn chặn.
Quá trình xử lý sự cố ở các công ty bị tấn công ransomware cũng rất phức tạp, có sự hỗ trợ, phối hợp tích cực từ Cục An toàn thông tin – Bộ Thông tin và Truyền thông (Cục ATTT), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an (Cục A05) và các công ty về an toàn, an ninh mạng tại Việt Nam. Sau khi dữ liệu được giải mã và hệ thống của công ty hoạt động trở lại, các chuyên gia phải dò quét, kiểm tra hệ thống để “bịt” các lỗ hổng ATTT mạng.
–
3. Khuyến cáo với các cơ quan, tổ chức, doanh nghiệp:
Từ những sự cố về ATTT nêu trên, các cơ quan quản lý nhà nước trong lĩnh vực an toàn, an ninh mạng và Vina Aspire chia sẻ một số khuyến nghị sau:
- Cục ATTT đề nghị các cơ quan, tổ chức, doanh nghiệp tăng cường rà soát và triển khai đảm bảo ATTT mạng như sau:
+ Rà soát, kiểm tra, đánh giá ATTT, đặc biệt là các hệ thống thông tin lưu trữ, xử lý thông tin cá nhân, dữ liệu cá nhân (hoàn thành trước ngày 15/4/2024) và tăng cường các giải pháp bảo đảm ATTT mạng (ưu tiên các giải pháp giám sát, cảnh báo sớm và các sản phẩm, dịch vụ ATTT mạng do doanh nghiệp Việt Nam sản xuất hoặc làm chủ công nghệ).
+ Triển khai bảo đảm ATTT theo cấp độ và bảo đảm ATTT theo mô hình 4 lớp, đặc biệt là nâng cao năng lực của lớp giám sát, bảo vệ và duy trì liên tục, ổn định kết nối.
+ Xây dựng kế hoạch ứng phó sự cố đối với hệ thống thông tin. Kiểm tra, cập nhật các bản vá ATTT cho các hệ thống quan trọng theo cảnh báo của Cục An toàn thông tin và các cơ quan, tổ chức liên quan; định kỳ kiểm tra, đánh giá, rà soát để phát hiện kịp thời các lổ hổng ATTT, các điểm yếu đang tồn tại trên hệ thống.
- Cục A05 cảnh báo:
+ Thời gian tới, các nhóm tin tặc sẽ tiếp tục tấn công bằng mã độc tống tiền, nhắm vào cơ quan, tổ chức kinh tế, tài chính, năng lượng. Các vụ hack sẽ diễn biến phức tạp, đồng thời không loại trừ khả năng mã độc đã được cài cắm sâu trong các hệ thống thông tin từ lâu.
+ Các cơ quan, tổ chức, doanh nghiệp lập tức rà soát và đánh giá lại hệ thống, kịp thời thông báo với cơ quan chức năng như Cục A05, Cục ATTT khi gặp sự cố và không trả tiền chuộc cho tin tặc, tránh tạo tiền lệ xấu.
- Vina Aspire khuyến cáo:
+ Các cơ quan, tổ chức, doanh nghiệp lập tức rà soát ATTT hệ thống theo khuyến cáo của Cục ATTT và Cục A05, chú ý phát hiện các dấu hiệu bị xâm nhập hệ thống để xử lý kịp thời.
+ Cần tăng mức độ đầu tư cho ATTT. Theo đó, các đơn vị cần rà soát, đánh giá lại hệ thống thông tin do mình quản lý đã đáp ứng đầy đủ các quy định hiện hành hay chưa để có sự bổ sung, đầu tư ATTT tương xứng với hệ thống thông tin, dữ liệu của mình.
+ Xây dựng đội ngũ chuyên trách về ATTT đủ năng lực (có thể thuê dịch vụ ATTT của các công ty Việt Nam nếu không có đội ATTT chuyên trách) và thường xuyên đào tạo nâng cao nhận thức, kỹ năng về ATTT cho cán bộ, nhân viên của đơn vị mình.
+ Chú trọng tới đầu tư, trang bị các giải pháp giám sát cho các hệ thống thông tin để có thể phát hiện các dấu hiệu bất thường cũng như cảnh báo sớm các cuộc tấn công của tội phạm mạng.
+ Thường xuyên triển khai sao lưu dữ liệu, rà soát, kiểm tra, đánh giá ATTT để phát hiện các lỗ hổng, khắc phục các điểm yếu và cập nhật kịp thời các bản vá lỗ hổng ATTT cho hệ thống do mình quản lý.
+ Triển khai các hệ thống dự phòng (backup) theo quy tắc 3-2-1-1-0 cho hệ thống thông tin để đảm bảo có thể cung cấp dịch vụ và hoạt động liên tục khi hệ thống chính có sự cố.
+ Các tổ chức, doanh nghiệp cần triển khai và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu, đặc biệt là hệ thống dữ liệu liên quan tới khách hàng theo các quy định hiện hành để phòng tránh các cuộc tấn công mạng cũng như giảm thiểu bớt các rủi ro.
+ Khi phát hiện các hoạt động tấn công mạng, xảy ra các sự cố mất an toàn, an ninh mạng, cần liên hệ ngay tới các cơ quan chức năng như Cục ATTT; Cục A05 để được hướng dẫn các phương án ứng phó cũng như điều tra, xử lý và khôi phục hệ thống.
Hy vọng rằng với sự quan tâm đúng mức của các cơ quan, đơn vị, vấn đề bảo đảm ATTT mạng của các tổ chức, doanh nghiệp sẽ được đầu tư thích đáng về nhân lực, tài chính để nâng cao nhận thức, kỹ năng, ý thức tuân thủ các qui định ATTT mạng và nâng cao khả năng phòng vệ trước những cuộc tấn công mạng trong tương lai.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
