Doanh nghiệp Việt trong tầm ngắm của hacker: Dữ liệu bị biến thành con tin

Tình trạng doanh nghiệp và tổ chức tại Việt Nam bị tấn công mã độc tống tiền (ransomware) ngày càng nhức nhối. Nhiều doanh nghiệp lớn trở thành nạn nhân của ransomware như CMC, PVOIL, Vietnam Post, VnDirect… gây ra thiệt hại nghiêm trọng.

Phóng viên Một Thế Giới đã có cuộc trao đổi với ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena xoay quanh vấn đề này.

Ransomware biến dữ liệu thành vũ khí tống tiền

- Thưa ông, tình trạng các doanh nghiệp Việt Nam bị tấn công mạng đang trở nên nhức nhối, mới nhất là Tập đoàn Công nghệ CMC đã bị tấn công mã độc tống tiền (ransomware). Ông đánh giá như thế nào về mức độ gia tăng các cuộc tấn công mạng nhằm vào doanh nghiệp tại Việt Nam?

- Ông Võ Đỗ Thắng: Đúng là tình trạng các tổ chức, doanh nghiệp bị tấn công mạng có chủ đích (APT) và mã độc tống tiền đang gia tăng nhanh chóng, với các thủ đoạn ngày càng tinh vi.

Theo thống kê từ Kaspersky, chỉ tính riêng từ năm 2024, hơn 500.000 vụ tấn công mạng và lừa đảo tài chính đã bị phát hiện và ngăn chặn tại khu vực Đông Nam Á, trong đó Việt Nam là một trong những quốc gia chịu ảnh hưởng nặng nề nhất.

Thực tế, các doanh nghiệp như CMC hay VnDirect họ công bố bị tấn công, còn rất nhiều những tổ chức, doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ, doanh nghiệp trong các khu công nghiệp… bị tấn công nhưng không thông báo công khai, vì các lý do tế nhị. Athena chúng tôi cũng được rất nhiều doanh nghiệp tìm đến nhờ trợ giúp khi bị tấn công.

- Ông có thể phân tích thêm về thủ đoạn tấn công mạng Ransomware? Ngoài ra, theo ông, các hình thức tấn công mạng phổ biến hiện nay mà doanh nghiệp thường gặp là gì?

- Ông Võ Đỗ Thắng: Ransomware là một loại phần mềm độc hại vô cùng nguy hiểm, sẽ mã hóa dữ liệu quan trọng khiến người dùng mất quyền truy cập và yêu cầu tiền chuộc để lấy lại quyền truy cập. Do đó, ransomware còn được biết đến là phần mềm tống tiền hay mã độc tống tiền. Trong những năm gần đây, tin tặc thường yêu cầu tiền chuộc bằng tiền mã hóa vì khả năng truy lùng được dấu vết là khá thấp.

Ransomware là loại phần mềm độc hại vô cùng nguy hiểm

Thủ đoạn tấn công ransomware ngày càng tinh vi. Trước đây, hacker thường dùng email giả mạo (phishing) để dụ người dùng mở file đính kèm chứa mã độc. Nhưng hiện nay, chúng có thể khai thác lỗ hổng trong hệ thống, trong phần mềm chưa được cập nhật hoặc sử dụng các chuỗi tấn công có chủ đích (APT – Advanced Persistent Threat), kết hợp nhiều công cụ tự động dò quét và tấn công theo thời gian thực.

Một số loại ransomware phổ biến nhất có thể kể đến như:

Encrypting Ransomware: Loại ransomware này sẽ mã hóa hệ thống các tệp tin trên ổ cứng của hệ thống, khiến việc giải mã trở nên khó khăn nếu không trả tiền chuộc để lấy khóa giải mã. Tiền chuộc thường được yêu cầu thanh toán bằng Bitcoin, MoneyPak, PaySafeCard, Ukash hoặc thẻ ghi nợ.

Screen Lockers: Loại ransomware này sẽ hoàn toàn khóa nạn nhân khỏi máy tính hoặc hệ thống, khiến họ không thể truy cập vào các tệp và ứng dụng. Màn hình khóa sẽ hiển thị yêu cầu tiền chuộc, có thể kèm theo đồng hồ đếm ngược để tăng tính cấp bách và thúc đẩy nạn nhân hành động.

Scareware: Là một chiến thuật sử dụng cửa sổ thông báo liên tục bật lên để thuyết phục nạn nhân rằng họ đã bị nhiễm vi rút và hướng dẫn họ tải xuống phần mềm giả mạo để khắc phục sự cố.

Chúng ta biết rằng dữ liệu là mạch máu, là sự sống còn của doanh nghiệp nên khi bị tấn công mã độc, doanh nghiệp gần như tê liệt. Điều này khiến các doanh nghiệp bị tấn công rơi vào hoang mang, rất dễ phải đưa tiền chuộc. Đó là lý do các nhóm tấn công ưa thích hình thức này.

Chưa kể, những kẻ tấn công hầu hết ở nước ngoài, thanh toán tiền chuộc bằng tiền mã hóa nên việc truy vết, xử lý rất khó khăn. Rất nhiều doanh nghiệp bị tấn công đã trình báo cơ quan chức năng, nhưng gần như chưa có vụ việc nào kẻ tấn công bị xử lý.

Ngoài hình thức tấn công mã độc, nhiều doanh nghiệp cũng bị tấn công mạng bằng phần mềm gián điệp, đánh cắp dữ liệu. Trong quá trình kinh doanh, các doanh nghiệp có nhiều bí mật kinh doanh, bí mật công nghệ, hoặc thông tin nội bộ. Những kẻ tấn công tìm mọi cách để cài các phần mềm gián điệp vào hệ thống máy tính của các doanh nghiệp. Từ đó, các phần mềm này cứ âm thầm thu thập dữ liệu, mà nạn nhân rất khó phát hiện.

Chúng tôi đã phát hiện có những doanh nghiệp bị cài phần mềm gián điệp trong nhiều năm mà không hề hay biết. Hiện nay khá nhiều doanh nghiệp đang gặp tình trạng này và rất nhiều mã độc, phần mềm gián điệp vẫn đang ẩn nấp trong các hệ thống máy tính của nhiều đơn vị.

- Theo ông, đâu là nguyên nhân chính khiến doanh nghiệp trở thành mục tiêu dễ bị tấn công?

- Ông Võ Đỗ Thắng: Doanh nghiệp Việt Nam đang trở thành "đích ngắm" lý tưởng của các nhóm tin tặc sử dụng mã độc tống tiền vì nhiều lý do.

Ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena

Nguyên nhân đầu tiên là nhận thức về an ninh mạng còn hạn chế. Nhiều doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ, chưa có bộ phận chuyên trách về an toàn thông tin. Việc coi nhẹ hoặc không đầu tư đúng mức cho bảo mật khiến họ dễ trở thành nạn nhân.

Tiếp theo, hệ thống bảo mật lạc hậu hoặc chưa được cập nhật thường xuyên: Nhiều hệ thống vẫn đang sử dụng phần mềm lỗi thời, thiếu bản vá bảo mật, tạo ra "cửa hậu" để tin tặc xâm nhập dễ dàng.

Có những doanh nghiệp còn sử dụng phần mềm không có bản quyền, sử dụng phải những phần mềm lậu, phầm mềm crack. Điều này tạo ra những lỗ hổng để những kẻ tấn công tận dụng. Thậm chí, nhiều doanh nghiệp cho phép các user được tự cài phần mềm trong hệ thống máy của công ty, cũng dẫn đến nguy cơ bị tấn công.

Nhiều doanh nghiệp cũng không có quy trình ứng phó sự cố. Khi bị tấn công, doanh nghiệp thường lúng túng, không có phương án đối phó rõ ràng, dẫn đến bị động và buộc phải chấp nhận trả tiền chuộc để cứu dữ liệu.

Ngoài ra, vì lý do tế nhị, doanh nghiệp "im lặng" khi bị tấn công cũng khiến các cuộc tấn công không được công khai, doanh nghiệp khác không biết để phòng tránh, từ đó tạo ra một vòng luẩn quẩn dễ bị khai thác lặp lại.

Một nguyên nhân rất quan trọng nữa là nhân sự kiến thức về an ninh mạng, bảo mật dữ liệu còn yếu. Dữ liệu là sự sống còn của doanh nghiệp. Nếu hệ thống mạng không được bảo vệ thì tự mình mở lỗ hổng để những kẻ khác lọt vào. Điều này chẳng khác gì mình có nhà, nhiều đồ đạc có giá trị để bên trong mà không có cửa, việc mất tài sản là điều có thể xảy ra.

Tuy vậy, theo quan sát của tôi, đối với những doanh nghiệp lớn, liên quan đến tài chính, ngân hàng hoặc doanh nghiệp công nghệ thì họ có ý thức về an ninh mạng và sự chuẩn bị rất tốt. Tuy nhiên, doanh nghiệp vừa và nhỏ, không chuyên về công nghệ thông tin (dù có doanh thu lớn) thì ý thức về an ninh mạng, bảo mật dữ liệu và nhân sự có chuyên môn, chuyên trách về vấn đề này chưa cao.

- Khi bị tấn công mã độc tống tiền, theo ông, doanh nghiệp cần ứng xử ra sao?

- Ông Võ Đỗ Thắng: Để giải mã độc thì rất khó, hầu như không làm được. Nếu doanh nghiệp chấp nhận bỏ dữ liệu, xây dựng lại từ đầu thì không nên đáp ứng yêu cầu đòi tiền chuộc. Thay vào đó, tập trung xây dựng hệ thống bảo mật chất lượng.

CMC và không ít doanh nghiệp là nạn nhân của tấn công mạng

Còn nếu phải lấy lại dữ liệu, tôi cho rằng doanh nghiệp không nên trả tiền một lần, mà có thể chia thành các giai đoạn. Ví dụ kẻ tấn công yêu cầu 1.000 USD để chuộc 10Gb dữ liệu chẳng hạn, thì nên trả trước 10USD hay 100 USD để giải mã dần dần dữ liệu để phục hồi.

Trí tuệ nhân tạo khuếch đại tấn công mạng với tốc độ chưa từng có

- Thưa ông, các chuyên gia gần đây nhận định rằng trí tuệ nhân tạo đang giúp tội phạm mạng triển khai chiến dịch lừa đảo và phát triển phần mềm độc hại với tốc độ chưa từng có. Xin ông cho biết quan điểm của mình?

- Ông Võ Đỗ Thắng: Trí tuệ nhân tạo (AI), đặc biệt là các mô hình ngôn ngữ lớn (LLM) và công cụ tạo mã tự động, đang bị tin tặc tận dụng để tăng tốc và tinh vi hóa các cuộc tấn công mạng, bao gồm cả lừa đảo và phát triển phần mềm độc hại.

AI có thể hỗ trợ hacker viết mã độc (malware) hiệu quả hơn, từ việc tạo mẫu mã cho đến tinh chỉnh để né tránh các phần mềm diệt vi rút truyền thống. Một số công cụ AI còn có thể "diễn giải ngược" mã nguồn của phần mềm hợp pháp để tìm ra điểm yếu, phục vụ tấn công có chủ đích.

Nhờ AI, tin tặc có thể thực hiện hàng nghìn chiến dịch tấn công với nội dung được điều chỉnh riêng biệt cho từng mục tiêu – thứ mà trước đây cần rất nhiều thời gian và nhân lực. AI còn có thể dò quét lỗ hổng trong hệ thống và phân tích dữ liệu bị đánh cắp để tối ưu hóa các bước tiếp theo.

Không chỉ vậy, AI có thể được sử dụng để thực hiện các cuộc tấn công mạng theo một quy trình bài bản. Quy trình này bắt đầu bằng việc thu thập dữ liệu, phát hiện lỗ hổng cho đến xây dựng “binh pháp” tấn công. Việc tấn công mạng thậm chí còn được liên tục điều chỉnh để vượt qua những biện phảo bảo mật khiến việc phòng chống tấn công mạng ngày càng khó khăn hơn.

Ví dụ với ChatGPT, hacker có thể tìm hiểu được hệ thống có những lỗ hổng nào, sau đó chúng tạo ra các bot tấn công tự động. Các mã độc có thể biến đổi nhanh chóng và liên tục, khiến việc phát hiện và ngăn chặn chúng trở nên cực kỳ khó khăn.

AI đang là con dao hai lưỡi - một mặt hỗ trợ bảo vệ hệ thống, mặt khác lại giúp tội phạm mạng nâng cấp kỹ năng và quy mô tấn công. Cuộc chơi an ninh mạng trong thời đại AI sẽ là "trí tuệ đấu trí tuệ"

- Theo ông, doanh nghiệp nên chuẩn bị những gì để không bị động trước những mối đe dọa tấn công mới?

- Ông Võ Đỗ Thắng: Hiện nay doanh nghiệp cần chuẩn bị nhân sự có hiểu biết về tấn công mạng, dữ liệu. Nếu doanh nghiệp không có nhân sự am hiểu thì cần phải hợp tác với các doanh nghiệp chuyên ngành này để lên kế hoạch phòng thủ, kịch bản để ứng phó, giảm thiểu các thiệt hại. Dù không thể khẳng định là an toàn tuyệt đối trước các cuộc tấn công mạng, nhưng sự chuẩn bị đầy đủ sẽ giảm được thiệt hại. Điều này tránh tình trạng “mất bò mới lo làm chuồng”.

Chuyên gia cho rằng doanh nghiệp phải nghiêm túc đầu tư vào an toàn thông tin

Các doanh nghiệp cũng cần có ý thức xây dựng nền tảng an toàn thông tin ngay từ đầu như đầu tư hệ thống bảo mật theo lớp (multi-layer security), từ firewall, chống vi rút, đến phát hiện và phản ứng xâm nhập (IDS/IPS); luôn cập nhật phần mềm và hệ điều hành để vá lỗ hổng kịp thời, ngăn chặn tin tặc khai thác từ sớm.

Một yếu tố cũng rất quan trọng là phải đào tạo nhân viên định kỳ về nhận diện email lừa đảo, quản lý mật khẩu, và cách phản ứng khi nghi ngờ bị tấn công. Người dùng nội bộ chính là “tuyến phòng thủ đầu tiên” và cũng thường là mắt xích yếu nhất nếu không được huấn luyện đúng cách.

Ngoài ra, mỗi truy cập đều cần xác thực và giới hạn quyền truy cập đúng vai trò, tránh lan truyền khi bị chiếm quyền. Doanh nghiệp cũng có thể ứng dụng hệ thống giám sát dùng AI có thể phát hiện bất thường và phản ứng nhanh hơn con người.

Đặc biệt, doanh nghiệp sao lưu định kỳ dữ liệu và kiểm tra khả năng phục hồi dữ liệu; tổ chức kiểm thử xâm nhập (penetration test), “tập trận” định kỳ để nhận diện điểm yếu trong hệ thống; phối hợp với đơn vị an ninh mạng, cơ quan chức năng để cập nhật sớm các xu hướng tấn công mới.

- Xin cảm ơn ông!

Trí Lâm (thực hiện)