Tấn công đòi tiền chuộc trên mạng
Với rất nhiều cá nhân, tổ chức ở Việt Nam, an ninh mạng thường là vấn đề… trên mạng chứ không phải vấn đề liên quan trực tiếp đến mình, cho đến khi họ trở thành nạn nhân. Có vô số ví dụ về sự chủ quan và sơ hở đáng tiếc cho dù những lời cảnh báo thường xuyên được đưa ra trong những năm gần đây. Ví dụ mới nhất là chuyện một nhóm lừa đảo công nghệ cao đã rút từ tài khoản nữ Chủ tịch huyện ở Đồng Nai số tiền lên tới 170 tỷ đồng.
Ngày 24/3 vừa qua, hệ thống giao dịch của Công ty Chứng khoán VNDirect đã bị tấn công khiến các nhà đầu tư không thể mua bán hay kiểm tra tình trạng tài khoản của mình. Đến chiều 27/3, phía công ty cho biết đã khôi phục được hệ thống song sẽ phải trải qua lộ trình 4 giai đoạn để khôi phục toàn bộ tính năng. Về phía nhà đầu tư, nhiều người cho biết vẫn rất chật vật để đăng nhập.
Theo thông báo của VNDirect, toàn bộ thông tin và tài sản của khách hàng đều được đảm bảo trạng thái an toàn, không bị ảnh hưởng. Sự cố đang được điều tra nên chúng ta sẽ chờ kết luận chính thức, không vội đưa ra bất cứ nhận định nào.
Ở đây tôi muốn đề cập đến vấn đề giới an ninh mạng đã nhìn thấy lâu nay, đó là Việt Nam đang trở thành mục tiêu của nhiều nhóm hacker trên thế giới. "Hàng rào phòng ngự" của chúng ta không tốt, nên hacker dễ dàng xâm nhập, khi xâm nhập trái phép rồi thì với tính chất hoạt động xuyên biên giới, rất khó khăn để phát hiện, truy tìm thủ phạm đích thực. Một thủ đoạn hacker quốc tế hiện nay thường sử dụng là tấn công bằng ransomware (mã hóa đòi tiền chuộc). Phần mềm ransomware lây nhiễm vào máy tính hoặc mạng, thường thông qua email lừa đảo, quảng cáo độc hại hoặc khai thác lỗ hổng trong phần mềm.
Sau khi lây nhiễm, cài đặt, ransomware sẽ mã hóa các tệp trên hệ thống bị ảnh hưởng. Một số biến thể cũng có thể di chuyển ngang trong các mạng để lây nhiễm sang các máy tính và máy chủ khác, tối đa hóa tác động và yêu cầu tiền chuộc.
Mã hóa thành công đối tượng đích, ransomware hiển thị thông báo yêu cầu nạn nhân thanh toán tiền chuộc để cung cấp khóa giải mã. Thông báo bao gồm hướng dẫn cách thanh toán, cùng với thời hạn và các mối đe dọa xóa hoặc lộ dữ liệu nếu các yêu cầu không được đáp ứng. Nhóm tấn công cũng thường yêu cầu tiền chuộc qua Bitcoin hoặc các loại tiền mã hóa khác để tránh bị truy tìm.
Nạn nhân phải đối mặt với quyết định trả tiền chuộc, hy vọng nhận được khóa giải mã để lấy lại quyền truy cập vào tệp của họ, hoặc từ chối trả tiền và mất tệp vĩnh viễn. Điều quan trọng cần lưu ý là việc trả tiền chuộc không đảm bảo rằng khóa giải mã sẽ được cung cấp, và có thể khuyến khích, tài trợ thêm cho các cuộc tấn công trong tương lai.
Chúng ta có thể lấy ví dụ về cách thức một ransomeware điển hình: LockBit 3.0. Được thiết kế như một dịch vụ ransomware (Ransomware-as-a-Service - RaaS), LockBit 3.0 cho phép các đối tác phân phối mối đe dọa này một cách rộng rãi, từ lừa đảo qua email đến việc khai thác các lỗ hổng bảo mật trong phần mềm. Sau khi lây nhiễm vào hệ thống, LockBit 3.0 bắt đầu hoạt động bằng cách nhanh chóng mã hóa các tệp tin và yêu cầu tiền chuộc để giải mã; có thể gây sức ép bằng cách thiết lập một bộ đếm thời gian ngược, đe dọa sẽ xóa hoặc công bố dữ liệu nếu không nhận được tiền chuộc trong thời gian quy định.
Đặc biệt, LockBit 3.0 còn có khả năng tự phát tán trong mạng nội bộ, cho phép nó mã hóa dữ liệu trên nhiều máy chủ mà không cần thêm sự can thiệp. Điều này làm tăng độ phức tạp của việc bảo vệ hệ thống và khôi phục dữ liệu sau một cuộc tấn công.
Phần lớn các phần mềm độc hại ransomware sử dụng các thuật toán mã hóa mạnh, thường là mã hóa bất đối xứng, nơi khóa giải mã không thể dễ dàng suy luận từ khóa mã hóa. Điều này làm cho việc phá vỡ mã hóa mà không có khóa giải mã chính xác trở nên bất khả thi với công nghệ hiện tại.
Trong trường hợp một doanh nghiệp bị tấn công ransomware, việc xác định chính xác và toàn diện về cách thức, phạm vi của vụ tấn công cần được thực hiện bởi các chuyên gia an ninh mạng cũng như cơ quan chức năng có thẩm quyền. Quyết định có nên trả tiền chuộc để giải cứu dữ liệu sau một cuộc tấn công ransomware hay không là một vấn đề phức tạp và phụ thuộc vào nhiều yếu tố. Dưới đây là một số điều cần xem xét.
Lý do chống lại việc trả tiền chuộc:
Không đảm bảo giải cứu dữ liệu: Việc trả tiền chuộc không đảm bảo rằng công ty sẽ nhận được khóa giải mã hoặc dữ liệu sẽ được giải cứu một cách an toàn. Có trường hợp các tổ chức tội phạm không cung cấp khóa giải mã sau khi nhận tiền.
Khuyến khích tội phạm: Trả tiền chuộc thực sự khuyến khích các hoạt động tống tiền bằng cách tạo ra một nguồn thu nhập cho các nhóm tội phạm.
Không giải quyết được nguyên nhân gốc rễ: Ngay cả khi dữ liệu được giải cứu, việc trả tiền không giải quyết được các vấn đề bảo mật cơ bản đã cho phép ransomware xâm nhập vào hệ thống của bạn.
Lý do có thể xem xét trả tiền chuộc:
Giá trị của dữ liệu: Nếu dữ liệu bị mất có giá trị quan trọng và không thể khôi phục được từ các bản sao lưu, một số tổ chức có thể cân nhắc việc trả tiền như một biện pháp cuối cùng.
Chi phí của việc mất dữ liệu: Đối với một số doanh nghiệp, chi phí liên quan đến việc mất dữ liệu có thể cao hơn nhiều so với số tiền chuộc.
Trước khi đưa ra quyết định, nên tư vấn với các chuyên gia bảo mật để đánh giá tình hình và khả năng khôi phục dữ liệu mà không cần trả tiền chuộc. Cần liên hệ với cơ quan thực thi pháp luật: Họ có thể cung cấp hỗ trợ và khuyến nghị dựa trên kinh nghiệm đối phó với các cuộc tấn công tương tự.
Các biện pháp cần thiết để đảm bảo an ninh mạng
Tất cả các cá nhân, tổ chức và nhất là tổ chức tài chính đều cần thiết tự đánh giá lại cách thức bảo vệ hệ thống của mình và tiến hành các bước sau.
Kiểm tra an ninh mạng: Xác định bất kỳ điểm yếu nào trong hệ thống, bao gồm kiểm tra phần mềm email và server để phát hiện và vá lỗ hổng bảo mật.
Phát triển kế hoạch phục hồi sau sự cố: Tạo lập các kế hoạch ứng phó sự cố chi tiết để có thể khôi phục hoạt động nhanh chóng sau một vụ tấn công.
Đầu tư vào hệ thống dự phòng: Đảm bảo hệ thống dự phòng có độ an toàn cao và không sử dụng cùng hạ tầng với hệ thống chính để tránh bị tấn công đồng loạt.
Thực hiện bản sao lưu: Duy trì các bản sao lưu dữ liệu thường xuyên và đảm bảo chúng không thể truy cập trực tiếp từ mạng nội bộ.
Tăng cường nhận thức: Tổ chức các buổi đào tạo về an ninh mạng cho toàn bộ nhân viên, nhấn mạnh việc nhận biết các mối đe dọa và phòng tránh ransomware.
Hợp tác và chia sẻ thông tin: Hợp tác với các tổ chức khác trong ngành để chia sẻ thông tin về các mối đe dọa và cách thức phòng chống.
Cuối cùng, tôi muốn nhấn mạnh rằng an ninh mạng nên được xem xét như một phần không thể thiếu của chiến lược kinh doanh, cần sự chú trọng và đầu tư đúng mức. Cùng nhau, các tổ chức tài chính có thể và nên xây dựng một hệ thống mạnh mẽ hơn để chống lại các mối đe dọa ngày càng tinh vi và phức tạp của thế giới kỹ thuật số hiện đại.
Tác giả: Ông Đào Trung Thành học Thạc sĩ an ninh mạng tại Học viện Quốc gia Viễn thông, Pháp; từng kinh qua nhiều vị trí kỹ thuật và quản lý như Phó giám đốc Trung tâm Hỗ trợ Khách hàng và Quản lý cước - VNPT TPHCM; Phó giám đốc Công ty Tin học Bưu điện (Netsoft); Giám đốc Công nghệ Thông tin (CIO) của Hệ thống Vinschool… Hiện ông Thành là Phó Viện trưởng viện Blockchain và AI.
Chuyên mục TÂM ĐIỂM mong nhận được ý kiến của bạn đọc về nội dung bài viết. Hãy vào phần Bình luận và chia sẻ suy nghĩ của mình. Xin cảm ơn!