Giải mã mã độc tống tiền: Câu chuyện từ người trong cuộc
(Dân trí) - Những bài học kinh nghiệm đắt giá, câu chuyện phía sau việc ứng cứu sự cố bị tấn công bằng mã độc tống tiền (ransomware) đúc kết sau hơn 10 năm đã được các chuyên gia VCS chia sẻ tại chương trình CyberWar Insider.
Đây là những thông tin hữu ích giúp doanh nghiệp lên phương án ứng phó hiệu quả trước nguy cơ tấn công ransomware đang bùng nổ.
"CyberWar Insider" là chương trình chia sẻ những câu chuyện làm bảo mật dưới góc nhìn và kinh nghiệm thực tế của những người đang trực tiếp tham gia cuộc chiến này. Chương trình được Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) tổ chức với mong muốn lan tỏa những kinh nghiệm thực tế và xây dựng một không gian mạng an toàn.
Trước tình hình tấn công ransomware diễn ra mạnh mẽ, số đầu tiên của CyberWar Insider đã được ra đời với chủ đề "Giải mã câu chuyện ransomware".
Trong gần 2 tiếng trò chuyện, dưới sự dẫn dắt của ông Nguyễn Xuân Nam - Giám đốc Chiến lược VCS, gần 300 người tham gia đã lắng nghe những chia sẻ của nhóm chuyên gia dày dặn kinh nghiệm: ông Nguyễn Công Cường - Giám đốc Trung tâm Giám sát và Phản ứng trên không gian mạng VCS; ông Trần Minh Quảng - Giám đốc Trung tâm Phân tích và Chia sẻ nguy cơ an ninh mạng VCS.
Chuyện chưa kể trong cuộc chiến ransomware
"Mỗi khi nhận nhiệm vụ, anh em thường bảo nhau chuẩn bị chiến đấu, nhớ mang theo chăn", ông Cường mở đầu cuộc trò chuyện tại CyberWar Insider.
Ông giải thích khi việc tấn công mã hóa dữ liệu tác động sâu vào hạ tầng, khó có thể can thiệp và xử lý từ xa, các chuyên gia phải kết nối trực tiếp ngay tại phòng máy chủ với nhiệt độ thấp trong nhiều ngày liền, chiếc chăn trở thành vật dụng không thể thiếu.
Hơn 17 năm tham gia ứng cứu sự cố, ông Cường không còn xa lạ với các cuộc tấn công ransomware nghiêm trọng. Mỗi khi có một đơn vị gặp sự cố như vậy, nhiều chuyên gia từ khắp nơi quy tụ về. Nếu không có một kịch bản ứng cứu sẵn sàng, doanh nghiệp có thể bị rối khi có nhiều lực lượng cùng tham gia.
Tấn công ransomware không chỉ gián đoạn dịch vụ, mà còn ảnh hưởng đến tài chính, uy tín của doanh nghiệp. Chuyên gia của VCS đã không ít lần thuyết phục doanh nghiệp đưa kiểm soát an toàn thông tin vào quá trình phục dựng hệ thống. "Tôi trải lòng với họ rằng không ai mong muốn dựng hệ thống lên bao ngày đêm mà 1-2 ngày sau có thể lại bị đánh sập và phải làm lại từ đầu", ông Cường nói.
Sai lầm khiến doanh nghiệp gặp phải khi ứng phó ransomware
Theo ông Quảng, xu hướng ransomware trong hai năm gần đây đã kết hợp tấn công có chủ đích APT. Kẻ tấn công sẵn sàng nằm vùng thời gian dài từ 6 tháng đến một năm để nắm dữ liệu quan trọng. Đây là thách thức nhưng cũng là cơ hội khi tổ chức có thể phát hiện sớm các dấu hiệu. "Việc thiếu các công cụ giám sát hay không có các cuộc tầm soát định kỳ đã khiến doanh nghiệp bỏ lỡ cơ hội ngăn chặn sớm", ông Quảng nói.
Theo ông Cường, hai vấn đề lớn mà các tổ chức gặp phải là việc quản lý các tài khoản đặc quyền và các đường kết nối. Tài khoản đặc quyền giống như chìa khóa vào nhà, là con đường hacker (tin tặc) mong muốn nhất, vì có thể gây khó khăn cho các hệ thống giám sát. Tuy nhiên, nhiều doanh nghiệp hiện nay dùng tài khoản một cách thiếu kiểm soát, đăng nhập tại nhiều nơi, làm tăng nguy cơ lộ lọt. "100% sự cố tôi tham gia về ransomware đều đâu đó có vấn đề về câu chuyện quản lý tài khoản đặc quyền", ông nói.
Ngoài ra, khi quy hoạch mạng, nhiều đơn vị đã thiết lập chuẩn chỉnh về phân vùng, tường lửa, để ngăn chặn tin tặc lây lan trong hệ thống. Tuy nhiên khi vận hành, vì sự tiện lợi mà họ đã mở các kết nối giữa các phân vùng với nhau. Điều này tạo cơ hội cho hacker có thể kết nối từ bất cứ đâu và xâm nhập dễ dàng vào mọi hệ thống.
Phương án ứng phó cho doanh nghiệp
Giờ đây, ransomware không còn là mã độc đơn thuần mà trở thành ngành công nghiệp - ransomware as a service. Mô hình này kéo theo nguy cơ tấn công mạng tại Việt Nam gia tăng. Thống kê của Viettel Threat Intelligence cho thấy trong quý I/2024 tỷ lệ tấn công mã hóa dữ liệu tống tiền đã tăng 70% so với cùng kỳ năm ngoái.
Theo ông Quảng, doanh nghiệp vẫn có cơ hội khắc phục nếu có bản backup (dự phòng), có quy trình sao lưu phù hợp, áp dụng mô hình 3-2-1 để giữ an toàn tối đa cho dữ liệu này. Quan trọng nhất vẫn là khả năng phát hiện sớm các rủi ro để tìm cách ngăn chặn. Phương án lý tưởng là giám sát 24/7 hoặc muộn nhất là 3-6 tháng/lần với tình hình hiện nay.
Từ thực tế các vụ tấn công, ông Nam đề xuất doanh nghiệp cần thực hiện rà soát, quản lý việc truy cập tài khoản đặc quyền, kênh kết nối.
"Các giải pháp quản lý truy cập đặc quyền (PAM) hiện được nhiều doanh nghiệp sử dụng và mang lại hiệu quả lớn", ông Nam chia sẻ, hé lộ VCS đang triển khai tích hợp PAM vào hệ sinh thái sản phẩm dịch vụ an toàn thông tin của VCS, giúp doanh nghiệp thực hiện việc quản lý truy cập đặc quyền hiệu quả, chặn đứng nguy cơ xâm nhập bên ngoài.