Tăng cường phòng vệ trước làn sóng tấn công mã hóa dữ liệu

Cơn ác mộng mang tên ransomware

Dẫn nguồn từ Bleeping Computer, Công ty Cổ phần An ninh mạng Việt Nam (NCS) cho biết, một nhà cung cấp dịch vụ trung tâm dữ liệu Chile IxMetro Powerhost (tại Chile) vừa bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã hóa dữ liệu vào VnDirect (chỉ khác về loại mã độc mà tin tặc dùng để mã hóa dữ liệu). Chile IxMetro Powerhost đã phải hứng chịu cuộc tấn công do nhóm ransomware mới có tên SEXi thực hiện. Nhóm này đã mã hóa các máy chủ và bản sao lưu VMware ESXi của công ty, rất giống với hình thức tấn công VNDirect tại Việt Nam.

Hacker thu được món lợi khổng lồ từ các cuộc tấn công ransomware

Powerhost là công ty lưu trữ và kết nối, trung tâm dữ liệu có trụ sở tại Hoa Kỳ, Nam Mỹ và châu Âu. Theo thông tin cập nhật mới nhất, Powerhost đã xin lỗi khách hàng, cảnh báo rằng có thể không khôi phục được dữ liệu vì các bản sao lưu cũng đã bị mã hóa. Khi thương lượng với hacker để nhận khóa giải mã, nhóm ransomware yêu cầu trả 2 Bitcoin (BTC) tương ứng với mỗi khách hàng của Powerhost, tương đương với tổng số tiền cần trả vào khoảng 140 triệu USD. CEO của PowerHost cho biết: “Chúng tôi đã liên hệ và phối hợp với cơ quan an ninh ở nhiều quốc gia để xác định xem họ có biết về ransomware này hay không. Thông tin nhận được cho thấy, đây là biến thể mới có mức độ “sát thương” rất cao. Hacker đòi 2 BTC/khách hàng, tuy nhiên ngay cả khi chúng tôi trả tiền theo yêu cầu thì cũng chưa chắc đã có tác dụng. Khuyến nghị chung từ tất cả các cơ quan thực thi pháp luật là không thương lượng vì trong hơn 90% trường hợp, hacker sẽ “biến mất” sau khi nhận được tiền chuộc”.

Trang tinnhiemmang.vn của Cục An toàn thông tin (Bộ TT-TT) dẫn nguồn từ bleepingcomputer.com cũng cho biết, ransomware tiếp tục tấn công các tổ chức ở mọi lĩnh vực và các cuộc tấn công thường xuyên gây chú ý trên các phương tiện truyền thông vì tác động mạnh mẽ của chúng đối với các bên bị ảnh hưởng. Trường hợp đầu tiên về ransomware được ghi nhận vào năm 1989 và nó đã trở thành hình thức tấn công mạng sinh lợi nhất trong thập kỷ vừa qua. Gần đây, thế giới cũng ghi nhận một số vụ tấn công ransomware đáng chú ý. Cụ thể là đầu tháng 3-2024, Change Healthcare (đơn vị xử lý thanh toán cho dịch vụ chăm sóc sức khỏe lớn nhất nước Mỹ) đã trở thành nạn nhân của một cuộc tấn công ransomware lớn. Ảnh hưởng của cuộc tấn công vẫn đang được làm sáng tỏ bên cạnh việc gần 70.000 hiệu thuốc bị ảnh hưởng trực tiếp bởi cuộc tấn công. Cũng trong tháng 3, Dịch vụ Y tế quốc gia (NHS) của Scotland đã gặp phải sự cố tấn công ransomware dẫn đến việc truy cập trái phép “một lượng dữ liệu đáng kể có chứa thông tin định danh của bệnh nhân và nhân viên”.

Tấn công mã hóa dữ liệu ngày càng có thủ đoạn tinh vi hơn

Trước đó, tháng 1-2024, Veolia North America (công ty dịch vụ nước của Mỹ với doanh thu hàng năm khoảng 3 tỷ USD) đã bị tấn công ransomware vào các ứng dụng và hệ thống back-end, gây ảnh hưởng đến dịch vụ thanh toán. VF Corporation (công ty mẹ đứng đằng sau các thương hiệu tiêu dùng nổi tiếng như Vans, The North Face...) cũng gặp sự cố tấn công ransomware vào tháng 12-2023 dẫn đến thông tin cá nhân của 35 triệu khách hàng bị đánh cắp. Ngoài ra, một số hệ thống cũng bị dừng hoạt động khiến đơn đặt hàng của khách hàng bị hủy và việc giao hàng bị chậm trễ.

Tại Việt Nam, những ngày cuối tháng 3, đầu tháng 4 vừa qua đã ghi nhận 2 cuộc tấn công ransomware lớn vào các doanh nghiệp lớn là Công ty Chứng khoán VnDirect và Tổng Công ty Dầu Việt Nam (PVOIL), khiến hệ thống thông tin của các đơn vị này bị đình trệ, gián đoạn trong nhiều ngày. Chuyên gia của NCS cho rằng, tấn công mã hóa dữ liệu không chỉ nghiêm trọng tại Việt Nam mà đang là nỗi ám ảnh của hệ thống CNTT trên toàn cầu.

Phòng chống tấn công ransomware như thế nào?

Vì sao ransomware tấn công dữ dội vào các hệ thống thông tin tại nhiều nước với chiến thuật ngày càng tinh vi hơn? Các chuyên gia an ninh mạng cho rằng, vì lợi ích hacker thu được từ các vụ việc này rất lớn, lên đến hàng triệu USD/vụ. Còn nhớ các tháng đầu năm ngoái, hệ thống giám sát virus của BKAV cũng ghi nhận trong nửa đầu năm nay, hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu, trong đó có 2 doanh nghiệp lớn. Trường hợp thứ nhất là hệ thống mạng của doanh nghiệp bị ransomware tấn công, toàn bộ hơn 10Tb dữ liệu bị mã hóa. Hacker yêu cầu hơn 4 tỷ đồng đổi lấy key giải mã. Trường hợp thứ hai là doanh nghiệp bị hacker tấn công và mã hóa dữ liệu hàng loạt máy chủ, máy cá nhân lúc nửa đêm. Hacker đòi 9.000 USD tiền chuộc dữ liệu cho mỗi máy bị mã hóa. Các chuyên gia của BKAV phát hiện, hệ thống đã bị tấn công bởi virus mã hóa Jianliang vốn chưa từng xuất hiện trước đây. Còn 2 vụ việc tấn công mạng tại Việt Nam vừa qua với “nạn nhân” là VnDirect và PVOIL, ngoài những thiệt hại kinh tế lớn của doanh nghiệp do ngừng giao dịch, thiệt hại với khách hàng, các doanh nghiệp cũng phải trả cho hacker một khoản tiền lớn.

Trước thực trạng nhiều nguy cơ mất an toàn thông tin hiện nay, đầu tháng 4-2024, Cục An toàn thông tin (Bộ TT-TT) đã có công văn yêu cầu các đơn vị tổ chức rà soát, tăng cường các giải pháp bảo đảm an toàn thông tin mạng cho các hệ thống thông tin, ưu tiên các giải pháp giám sát, cảnh báo sớm; đánh giá đảm bảo an toàn thông tin các hệ thống thông tin thuộc phạm vi quản lý. Trong trường hợp phát hiện các nguy cơ, lỗ hổng, điểm yếu, cần lập tức triển khai các biện pháp khắc phục, đặc biệt là các hệ thống thông tin lưu trữ, xử lý thông tin cá nhân, dữ liệu cá nhân và hoàn thành trước ngày 15-4-2024 và bảo đảm an toàn thông tin theo cấp độ 1. Cục An toàn thông tin cũng khuyến cáo các tổ chức, đơn vị triển khai công tác đảm bảo an toàn thông tin theo mô hình 4 lớp, đặc biệt là nâng cao năng lực của lớp giám sát, bảo vệ chuyên nghiệp và duy trì liên tục, ổn định kết nối.

Theo ông Vũ Ngọc Sơn - Giám đốc kỹ thuật NCS, các hệ thống tại Việt Nam luôn ở trong tình trạng có thể bị tấn công bất cứ lúc nào nên ngoài việc thực hiện các biện pháp mà Cục An toàn thông tin đưa ra, doanh nghiệp, tổ chức cần chuẩn bị các phương án: Khẩn trương đưa các hệ thống quan trọng vào giám sát an ninh mạng 24/7 bởi giám sát liên tục sẽ giúp phát hiện ra các trường hợp xâm nhập hệ thống từ sớm, loại bỏ nguy cơ bị nằm vùng theo dõi; Khẩn trương thực hiện back-up dữ liệu quan trọng, tốt nhất là thiết lập được hệ thống dự phòng back-up định kỳ; Sẵn sàng quy trình ứng phó sự cố, nếu có điều kiện tổ chức diễn tập để rút kinh nghiệm, bổ sung, hoàn thiện quy trình với các trải nghiệm thực tế; Đào tạo nhận thức an ninh mạng, nâng cao kỹ năng của người dùng và rà soát, kiểm tra an ninh định kỳ cho toàn bộ hệ thống CNTT và cơ sở dữ liệu.

Ông Võ Đỗ Thắng - Giám đốc Trung tâm Đào tạo an ninh mạng Athena cho biết thêm, cần theo dõi thông tin trao đổi trên mạng xã hội, thông tin từ dark-web, deep-web để có phương án xử lý ngay, phòng ngừa tối đa rủi ro có thể xảy ra.

Khuyến cáo từ các tổ chức an ninh mạng quốc tế cũng cho thấy, cần bảo mật email, bảo mật endpoint, mã hóa các dữ liệu nhạy cảm, sao lưu dữ liệu thường xuyên và quản lý bản vá đề giúp giảm thiểu rủi ro ransomware.