Mối lo tin tặc tấn công mã hóa dữ liệu 'nóng' trở lại

Xuất hiện hàng loạt dòng virus mã hóa tống tiền

Diễn đàn Hacker mũ trắng (WhiteHat.vn) mới đây đã thông tin về một loạt các dòng virus mã hóa tống tiền, đe dọa nguy cơ mất an ninh mạng. Theo đó, các ransomware như: LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đều nhắm vào cơ sở hạ tầng vmware ESXi theo một chuỗi hành động tương tự nhau. Theo WhiteHat.vn, các chiến dịch thường bắt đầu bằng việc tấn công quản trị viên. Gần đây nhất, hacker sử dụng quảng cáo Google, đánh lừa người quản trị cài đặt virus ẩn dưới các phần mềm quản trị phổ biến như Putty, WinSCP. Trong một số trường hợp khác, tin tặc khai thác lỗ hổng của hệ thống để xâm nhập. Từ đây, hacker nâng cao đặc quyền để thu thập thông tin đăng nhập vào máy chủ của vmware (ESXi, vCenter) bằng phương pháp tấp công dò mật khẩu và một số phương pháp khác. Bước tiếp theo, virus mã hóa tống tiền được triển khai và mã hóa toàn bộ dữ liệu, bao gồm cả dữ liệu backup. Thậm chí, virus thay đổi cả mật khẩu quản trị hệ thống nhằm gây khó khăn cho nạn nhân trong quá trình giải mã. Đáng chú ý, trong tất cả các chiến dịch, tin tặc luôn tìm cách mở rộng phạm vi tấn công, phát tán ransomware ra toàn bộ hệ thống.

Virus tấn công ransomware thường “nằm vùng” rất lâu, khó bị phát hiện

Nền tảng ảo hóa là thành phần cốt lõi của cơ sở hạ tầng công nghệ thông tin trong mỗi tổ chức, tuy nhiên chúng thường dính lỗ hổng và cấu hình sai, dễ trở thành mục tiêu tấn công của tin tặc. Ngày 4-6, hệ thống công nghệ thông tin của Vietnam Post bị tấn công. Cuộc tấn công này xảy ra sau hơn 2 tháng hacker tấn công Công ty chứng khoán VnDirect và khoảng 2 tháng sau cuộc tấn công vào Tổng Công ty Dầu Việt Nam (PV Oil). Điều này cho thấy tấn công bằng ransomware vào hệ thống doanh nghiệp vẫn đang tiếp diễn.

Theo Hiệp hội An ninh mạng quốc gia, kết quả phân tích ban đầu vụ việc tấn công Vietnam Post cho thấy, đây là hình thức tấn công trực tiếp vào hệ thống máy chủ ảo hóa và mã hóa các file máy ảo (bao gồm cả hệ điều hành và dữ liệu) đòi tiền chuộc. Hiện chưa có thông tin cụ thể về nhóm tấn công, nhưng cách thức tấn công tương tự như cách VnDirect bị tấn công cách đây chưa lâu. Cũng theo Hiệp hội An ninh mạng quốc gia, các hệ thống ảo hóa hiện nay đang được sử dụng rất phổ biến tại các tổ chức, doanh nghiệp của Việt Nam. Trong đó các hệ thống có quy mô từ 50 máy chủ trở lên thì gần như ảo hóa là giải pháp bắt buộc. Đây là hệ thống giúp quản trị viên thuận tiện trong thiết lập quản trị máy chủ, tối ưu hóa việc vận hành hệ thống. Tuy nhiên, thực tế cho thấy vấn đề an ninh cho hệ thống ảo hóa chưa được tương xứng với quy mô đầu tư.

Ông Vũ Ngọc Sơn - Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế (Hiệp hội An ninh mạng quốc gia) cho biết: “Với các hệ thống máy chủ vật lý không sử dụng ảo hóa, tin tặc sẽ phải tìm cách truy cập từng máy để tấn công, phá hoại. Việc này sẽ mất nhiều thời gian, để lại dấu vết và dễ bị phát hiện. Trong khi nếu xâm nhập, chiếm quyền điều khiển hệ thống quản lý ảo hóa, tin tặc có thể từ một chỗ thực hiện chỉnh sửa, bật/tắt các máy chủ bao gồm các dịch vụ quan trọng đang chạy trên hệ thống. Đặc biệt là có thể mã hóa toàn bộ các máy ảo, bao gồm cả các máy ảo dự phòng”.

Khó chặn tấn công ransomware

Ông Nguyễn Tiến Đạt - Tổng Giám đốc Công ty Phần mềm diệt virus Bkav Pro cho biết: “Trong tất cả các vụ việc bị mã hóa dữ liệu mà Bkav tham gia hỗ trợ thời gian qua thì virus đã nằm vùng trong hệ thống từ 6 tháng đến 3 năm mà không bị phát hiện. Chúng đã có đủ thời gian để biết rõ mọi ngóc ngách trong hệ thống cho đến khi có thể đánh cắp, mã hóa dữ liệu và làm tê liệt hệ thống rồi gửi thư tống tiền”.

Cùng nhận định trên, ông Nguyễn Văn Thứ - Tổng Giám đốc Công ty An ninh mạng Bkav Cyber Security cũng cho rằng, cần chấp nhận thực tế là không có hệ thống nào an toàn tuyệt đối. Điều quan trọng làm sao có thể phát hiện sớm nhất những cuộc tấn công, khi hacker còn chưa kịp hiểu về hệ thống để mã hóa tống tiền. “Việc virus mã hóa tống tiền nằm vùng lâu dài trong các hệ thống là rất nguy hiểm. Nhưng điều này cũng tạo cơ hội cho chúng ta tận dụng khoảng thời gian này để ngăn chặn chúng. Trong vòng 1 tiếng, 1 ngày hay thậm chí là 1 tuần mà phát hiện được sự xâm nhập của virus, trước khi chúng kịp học hiểu về hệ thống và thực thi mã độc, là có thể giảm thiểu thiệt hại” - ông Nguyễn Văn Thứ nhấn mạnh.

Các chuyên gia của Bkav cho hay, virus lây lan chủ yếu qua 2 con đường. Thứ nhất, lây lan qua các lỗ hổng Zero-Day trên hệ thống, một loại lỗ hổng bảo mật mà các nhà phát triển phần mềm chưa biết đến hoặc chưa có bản vá. Hacker có thể bỏ tiền mua lỗ hổng Zero-Day từ chợ đen để dễ dàng xâm nhập vào các hệ thống. Thứ hai, virus lây nhiễm thông qua lừa đảo (phishing). Kẻ xấu tạo ra vô số kịch bản khác nhau nhằm dụ người dùng truy cập vào các đường link độc hại hoặc tải về phần mềm crack, ứng dụng giả mạo có chứa virus…

Đáng chú ý, cách thức xâm nhập vào máy tính của virus cũng đã thay đổi. Nếu như trước đây virus xâm nhập vào máy tính thường phá hoại hệ thống, làm chậm máy (do cấu hình máy tính thấp) và có thể để lại dấu vết, thì đến nay virus lại được thiết kế nằm vùng để không bị phát hiện trong thời gian dài. Mục đích là đối với các tổ chức chính phủ, cơ quan trọng yếu, virus sẽ thực hiện các hành vi gián điệp, sửa đổi, đánh cắp dữ liệu quan trọng. Còn trên các hệ thống của doanh nghiệp, virus mã hóa dữ liệu để tống tiền. Thời gian nằm vùng của virus có thể kéo dài từ vài tháng đến vài năm, giúp hacker hiểu rõ về hệ thống và có thể mã hóa tất cả dữ liệu nhằm chắc chắn người dùng không thể giải mã, buộc phải nộp tiền chuộc.

Làm thế nào giảm thiểu rủi ro?

Theo giới chuyên gia, các tổ chức, doanh nghiệp phải xác định họ đều có thể trở thành mục tiêu tấn công của hacker. Tuy nhiên, để giảm thiểu nguy cơ và rủi ro, các tổ chức, doanh nghiệp cần tăng cường giải pháp cho an ninh hệ thống. WhiteHat.vn khuyến cáo nên đảm bảo giám sát và ghi nhật ký đầy đủ, tạo cơ chế sao lưu mạnh mẽ, thực thi các biện pháp xác thực mạnh, hạn chế mạng để ngăn chặn chuyển động ngang.

Đồng quan điểm cho rằng cần kiểm tra lại hệ thống sao lưu, dự phòng; cần có phương án tách biệt hoàn toàn giữa hệ thống chính và hệ thống dự phòng, không sử dụng chung một hệ thống quản lý phân quyền; có kế hoạch sao lưu hệ thống một cách thường xuyên để đảm bảo dữ liệu có thể phục hồi nhanh nhất trong trường hợp hệ thống bị tấn công; Hiệp hội An ninh mạng cũng khuyến cáo các tổ chức, doanh nghiệp cần khẩn trương rà soát, làm sạch hệ thống (nếu có mã độc), đặc biệt với các máy chủ quan trọng như máy chủ quản lý hệ thống ảo hóa, máy chủ email, máy chủ AD. Cần cập nhật các bản vá lỗ hổng, loại bỏ các tài sản công nghệ thông tin không sử dụng để tránh bị lợi dụng tấn công mạng. Đồng thời, cần ban hành quy trình ứng phó, xử lý sự cố khi bị tấn công.

Và để đảm bảo an ninh mạng toàn diện, các cơ quan, tổ chức, doanh nghiệp cần được trang bị một giải pháp tổng thể phòng chống hacker và virus mã hóa dữ liệu có thể giám sát tất cả các vị trí hacker có thể xâm nhập, bao gồm: Lớp mạng, hệ thống máy chủ, các website và tất cả các thiết bị đầu cuối phục vụ công việc… từ đó ngay lập tức phát hiện và ngăn chặn được hacker, virus trước khi chúng gây hại cho hệ thống.