Tấn công mã hóa dữ liệu tống tiền lại tái xuất nhắm vào doanh nghiệp Việt Nam
Vụ việc Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu (ransomware) tống tiền dấy lên lo ngại về các cuộc tấn mạng nhằm vào các doanh nghiệp Việt Nam.
Theo thông báo từ Tổng công ty Bưu điện Việt Nam và Hiệp hội An ninh mạng Việt Nam, khoảng 3 giờ 10 phút ngày 4/6/2024, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tin tặc tấn công, mã hóa dữ liệu khiến cho hoạt động bị ngưng trệ.
Theo kết quả phân tích ban đầu, đây là hình thức tấn công trực tiếp vào hệ thống máy chủ ảo hóa và mã hóa các file máy ảo (bao gồm cả hệ điều hành và dữ liệu) đòi tiền chuộc. Chưa có thông tin cụ thể về nhóm tấn công nhưng cách thức tấn công tương tự như cách VnDirect bị tấn công cách đây chưa lâu. Hiệp hội An ninh mạng quốc gia khuyến cáo các cơ quan, tổ chức, doanh nghiệp tại Việt Nam cần khẩn trương rà soát, làm sạch hệ thống và tăng cường giám sát an ninh mạng để phòng chống các cuộc tấn công tương tự có thể còn tiếp diễn trong thời gian tới.
Theo thông báo của Vietnam Post, vụ tấn công đã gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Ngay khi phát hiện sự cố, đơn vị đã kích hoạt kịch bản hành động theo các hướng dẫn của cơ quan chức năng, trong đó có việc ngắt kết nối các hệ thống công nghệ thông tin để cô lập sự cố và bảo vệ dữ liệu. Hiện tại, các đơn vị chức năng gồm Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an, Cục An toàn thông tin - Bộ Thông tin và Truyền thông đang phối hợp cùng các công ty an ninh mạng, thành viên của Hiệp hội An ninh mạng quốc gia tích cực hỗ trợ Vietnam Post xử lý sự cố mã hóa dữ liệu.
Các hệ thống ảo hóa hiện nay đang được sử dụng rất phổ biến tại các tổ chức, doanh nghiệp của Việt Nam. Trong đó, các hệ thống có quy mô từ 50 máy chủ trở lên thì gần như ảo hóa là giải pháp bắt buộc. Đây là hệ thống giúp cho quản trị viên thuận tiện trong việc thiết lập quản trị máy chủ, tối ưu hóa việc vận hành hệ thống. Tuy nhiên, thực tế cho thấy, vấn đề an ninh cho hệ thống ảo hóa chưa được tương xứng với quy mô đầu tư.
Ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế (Hiệp hội An ninh mạng quốc gia) cho biết: “Với các hệ thống máy chủ vật lý, không sử dụng ảo hóa, tin tặc sẽ phải tìm cách truy cập từng máy để tấn công, phá hoại, việc này sẽ mất nhiều thời gian, để lại dấu vết và dễ bị phát hiện. Trong khi nếu xâm nhập, chiếm quyền điều khiển hệ thống quản lý ảo hóa, tin tặc có thể từ một chỗ thực hiện chỉnh sửa hay bật tắt các máy chủ bao gồm các dịch vụ quan trọng đang chạy trên hệ thống, đặc biệt là có thể mã hóa toàn bộ các máy ảo, bao gồm cả các máy ảo dự phòng”
Để tăng cường chủ động phòng chống tấn công mã độc mã hóa dữ liệu, đặc biệt cho hệ thống ảo hóa, Ban nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia khuyến cáo: Các tổ chức, doanh nghiệp cần khẩn trương rà soát, làm sạch hệ thống (nếu có mã độc), đặc biệt với các máy chủ quan trọng như máy chủ quản lý hệ thống ảo hóa, máy chủ email, máy chủ AD.
Cập nhật các bản vá lỗ hổng, loại bỏ các tài sản công nghệ thông tin không sử dụng để tránh bị lợi dụng tấn công mạng.
Kiểm tra lại các hệ thống sao lưu dự phòng, cần có phương án tách biệt hoàn toàn giữa hệ thống chính và hệ thống dự phòng, không sử dụng chung một hệ thống quản lý phân quyền. Có kế hoạch sao lưu hệ thống một cách thường xuyên để đảm bảo dữ liệu có thể phục hồi nhanh nhất trong trường hợp hệ thống bị tấn công.
Ban hành quy trình ứng phó, xử lý sự cố khi bị tấn công. Liên hệ ngay với các cơ quan chức năng để được hỗ trợ xử lý và điều phối ứng cứu.
Thiết lập và tuân thủ quy trình truy cập, quản trị các hạ tầng hệ thống quan trọng (vCenter, ESXi, các máy chủ quan trọng như AD, Mail…). Chỉ cho phép truy cập mục đích quản trị từ một số địa chỉ mạng tin cậy (Whitelist IP, Jump server)
Sử dụng giải pháp quản lý đặc quyền truy cập PAM và xem xét áp dụng xác thực đa yếu tố (2-FA) với các xác thực quản trị.
Triển khai, rà soát các hệ thống giám sát an ninh mạng (SOC). Bổ sung thu thập nhật ký (log) liên quan truy cập/xác thực với hệ thống ảo hóa. Bổ sung các tập luật (rule) cho các công cụ, giải pháp phòng chống tấn công để phát hiện các hành vi truy cập/xác thực bất thường.
Dù thông báo cuộc tấn công mạng từ sáng sớm nhưng đến hết ngày 4/6, trang web Bưu điện Việt Nam vẫn chưa hoạt động trở lại. Điều này đã ảnh hưởng đến các hoạt động liên quan đến dịch vụ bưu chính chuyển phát ảnh hưởng không ít khách hàng.
Cuộc tấn công mạng mã hóa dữ liệu nhằm vào Bưu điện Việt Nam lại dấy lên lo ngại về cuộc tấn công mạng nhằm vào các doanh nghiệp Việt Nam.
Trước đó, vào cuối tháng 3 và đầu tháng 4, Công ty CP Chứng khoán VNDirect và Tổng công ty Dầu VN - CTCP (PVOil) và một nhà mạng đã bị tấn công mã hóa dữ liệu, gây gián đoạn hoạt động.
Nguy cơ tấn công mạng mã hóa dữ liệu càng nguy hiểm hơn khi các đối tượng sử dụng trí tuệ nhân tạo để dễ dàng rà quét “lỗ hổng”. Tại hội thảo và triển lãm với chủ đề "An toàn trong thời kỳ bùng nổ của trí tuệ nhân tạo" mới đây, ông Vũ Lê, chuyên gia an toàn thông tin chia sẻ nghiên cứu mới đây về ransomware dựa trên khảo sát những tháng đầu năm 2024. Theo đó, dựa trên khảo sát 5000 người phụ trách công nghệ thông tin của 14 nước cho thấy, tấn công ransomware chiếm 59% số doanh nghiệp. Đáng chí ý 91% các cuộc tấn công này ngoài giờ hành chính.
Về đường lây nhiễm tấn công mã hóa dữ liệu, trong những tháng đầu năm 2024, có tới hơn 32% khai thác qua lỗ hổng bảo mật; 29% qua thông tin đăng nhập sai; 21% qua email độc hại; 11% là qua lừa đảo…
“Đáng chú ý, 94% nạn nhận của tấn công mạng ransomeware cho biết các tội phạm mạng đã nhắm đến các bản sao lưu; 57% các nỗ lực tấn công vào bản sao lưu đã thành công”, ông Vũ Lê cho biết.
Trước đó, đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết, tấn công mã hóa dữ liệu không phải là xu hướng mới xuất hiện năm 2024 mà có từ nhiều năm trước.
Tuy nhiên, trong năm nay, dự báo các cuộc tấn công mạng nói chung và tấn công khai thác, dùng mã hóa tống tiền nhắm vào các cơ quan, tổ chức, doanh nghiệp và các đơn vị cung cấp dịch vụ trên mạng sẽ tăng cao.
Xu hướng tấn công mã hóa dữ liệu sẽ nhằm vào một số nhóm như: cơ quan nhà nước; các cơ quan tài chính, ngân hàng; các doanh nghiệp cung cấp về năng lượng, hạ tầng năng lượng, dịch vụ; một số tổ chức trong lĩnh vực tài chính, giáo dục, y tế…