Với tấn công mã hóa dữ liệu tống tiền, dữ liệu đã bị mã hóa thì gần như không thể khôi phục. Vì thế, ngoài định kỳ sao lưu dữ liệu, các chuyên gia cho rằng doanh nghiệp cần chủ động săn lùng, phát hiện sớm các mối đe dọa.
Tấn công mạng vào hệ thống VNDIRECT ngày 24/3 đã được xác định là cuộc tấn công mã độc mã hóa dữ liệu - ransomware. Loại tấn công này là một mối lo ngại lớn của các doanh nghiệp, tổ chức trong kỷ nguyên số. Để độc giả biết thêm về tấn công ransomware, mức độ nguy hiểm cùng cách phòng chống và ứng phó, VietNamNet thực hiện tuyến bài 'Mối nguy hiện hữu từ tấn công mã hóa dữ liệu'. Bài 1: ‘Con đường’ hacker thâm nhập hệ thống để tấn công mã hóa dữ liệu |
Khả năng khôi phục dữ liệu đã bị mã hóa ‘gần như bằng 0’
Đến nay, khi thời điểm hệ thống của Công ty cổ phần chứng khoán VNDIRECT bị tấn công bằng mã độc mã hóa dữ liệu đã lùi xa gần 1 tuần, nhiều người vẫn không khỏi ngỡ ngàng, bất ngờ về mức độ ảnh hưởng lớn của cuộc tấn công cũng như thời gian tương đối dài để khôi phục hệ thống. Thế nhưng, với những người làm an toàn thông tin, câu chuyện mà đội ngũ vận hành VNDIRECT đang phải đối mặt lại không hề lạ lẫm.
Theo các chuyên gia Viettel Cyber Security, doanh nghiệp trên thế giới cũng như tại Việt Nam đều có thể trở thành nạn nhân của mã độc mã hóa dữ liệu tống tiền – ransomware; và top các điểm yếu khiến các tổ chức bị tấn công ransomware thường tập trung vào con người, lỗ hổng phần mềm và các tài sản số trên Internet như website, ứng dụng.
Ghi nhận từ hệ thống Viettel Threat Intelligence cho thấy, năm 2023, có ít nhất 9 vụ tấn công ransomware nhắm đến các công ty, tổ chức lớn tại Việt Nam. Những cuộc tấn công này đã mã hóa hàng trăm GB dữ liệu, tổng số tiền hacker đòi để chuộc dữ liệu ước tính khoảng 3 triệu USD, và đặc biệt là đã gây gián đoạn hoạt động, thiệt hại nặng nề cho đơn vị bị nhắm đến.
Một chuyên gia bảo mật chia sẻ, thời gian gần đây, không ít doanh nghiệp tại Việt Nam đã bị hacker tấn công bằng mã độc mã hóa dữ liệu tống tiền - ransomware . “Hậu quả chung các doanh nghiệp bị tấn công ransomware phải hứng chịu là mất dữ liệu và đình trệ công việc hàng tuần thậm chí là hàng tháng để khắc phục sự cố. Ngay cả khi chấp nhận trả tiền cho hacker để có “key” giải mã, có doanh nghiệp dù đã trả tiền vẫn không lấy lại được dữ liệu. Ngoài ra, các doanh nghiệp còn không khỏi thấp thỏm lo lắng việc dữ liệu bị hacker bán cho bên thứ ba”, chuyên gia này thông tin.
Đáng lo hơn, các chuyên gia đều thống nhất rằng, khi đã bị mã hóa dữ liệu, tỷ lệ ‘cứu’ được dữ liệu là rất thấp. Lý giải căn nguyên khiến ‘dữ liệu một khi đã bị mã hóa thì khả năng khôi phục gần như bằng 0’, chuyên gia Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ, Hiệp hội An ninh mạng quốc gia phân tích: Thuật toán được hacker dùng để mã hóa dữ liệu là các thuật toán tiêu chuẩn quốc tế. Muốn giải mã, cần có một khóa giải mã thường gồm chuỗi ký tự đủ dài nên không thể dò khóa theo kiểu thử từng ký tự.
Đề cập đến việc xử lý, khắc phục sự cố tấn công ransomware ‘ngốn’ nhiều thời gian, ông Vũ Ngọc Sơn cho hay: Quá trình điều tra, truy vết tấn công gồm nhiều công đoạn phức tạp đòi hỏi sự tỉ mỉ, chính xác cùng năng lực hiểu biết thực chiến về các hình thức tấn công. Có như vậy, đội ngũ khắc phục sự cố mới có thể tìm ra ra con đường hacker đã thâm nhập vào hệ thống, trên cơ sở đưa ra các bước tiếp theo nhằm khắc phục triệt để sự cố, rút ra kinh nghiệm, đồng thời chuẩn bị sẵn sàng cho các tình huống tương tự trong tương lai.
Ứng phó tấn công mã hóa dữ liệu bằng chiến lược bảo vệ đa tầng
Trao đổi với phóng viên VietNamNet về giải pháp để phòng chống cũng như ứng phó với tấn công ransomware, các chuyên gia đều có chung quan điểm rằng doanh nghiệp, tổ chức cần ‘phòng hơn là chống’, bởi mã hóa dữ liệu chỉ là khâu cuối trong chuỗi tấn công của hacker.
Đề xuất một kế hoạch ứng phó với ransomware từ chuẩn bị phòng ngừa, phát hiện và phản ứng cho đến phục hồi sau tấn công, ông Nguyễn Gia Đức, Giám đốc quốc gia của Fortinet Việt Nam, đặc biệt nhấn mạnh khâu phòng ngừa.
“Để phòng chống hiệu quả phương thức tấn công bằng mã độc mã hóa dữ liệu, các doanh nghiệp, tổ chức cần có một chiến lược bảo mật đa tầng, với 4 bước quan trọng là đào tạo nhận thức bảo mật, sao lưu dữ liệu, cập nhật phần mềm và giới hạn quyền truy cập. Một cách tiếp cận toàn diện và đa tầng sẽ giúp doanh nghiệp tối đa hóa khả năng phòng vệ trước các mối đe dọa an toàn thông tin”, ông Nguyễn Gia Đức nêu quan điểm.
Có chung quan điểm, đội ngũ Viettel Cyber Security gợi ý cách bảo vệ hệ thống trước tấn công ransomware đã được nhiều doanh nghiệp trên thế giới áp dụng, gồm 6 hành động chính: Tập trung đào tạo nhân viên; Tăng cường các biện pháp phục vụ và sao lưu dữ liệu; Sử dụng các giải pháp cập nhật tình hình an toàn thông tin; Chú trọng vào quản lý tài sản số và rà soát các lỗ hổng; Triển khai giải pháp ‘Zero-Trust’; Lập kế hoạch bảo vệ, giám sát liên tục hệ thống và chuẩn bị ứng phó sự cố.
Từ kinh nghiệm trực tiếp hỗ trợ các tổ chức, ông Bùi Thái Dương, chuyên viên giám sát an toàn thông tin của Công ty VSEC khuyến nghị một số để phòng tránh lây nhiễm mã độc ransomware vào hệ thống, cụ thể như: Luôn dùng hệ điều hành và các phần mềm có phiên bản cập nhật nhất, không mở các file đính kèm trong email lạ không rõ nguồn gốc, đầu tư các giải pháp giám sát 24/7 để sớm phát hiện và ngăn chặn tấn công, chủ động rà soát để vá các lỗ hổng bảo mật, thực hiện ‘backup’ dữ liệu định kỳ...
Ở góc độ của Hiệp hội An toàn thông tin Việt Nam - VNISA, Phó Chủ tịch Ngô Tuấn Anh cho rằng các doanh nghiệp cần thiết triển khai giải pháp để bảo vệ hệ thống và dữ liệu trước các cuộc tấn công mạng, bao gồm tấn công ransomware. “Việc trước nhất các đơn vị cần làm là rà soát định kỳ các lỗ hổng bảo mật, chủ động săn lùng những mối đe dọa có thể tiềm ẩn trong hệ thống. Bên cạnh việc trang bị giải pháp giám sát để kịp thời phát hiện các dấu hiệu bất thường, các tổ chức cũng cần thiết triển khai các hệ thống backup dữ liệu”, chuyên gia Ngô Tuấn Anh lưu ý.
Bài 3: Tấn công mã hóa dữ liệu tống tiền là tâm điểm năm 2024
VNDIRECT dự kiến trở lại hoạt động vào ngày 1/4
Cơ hội thay đổi nhận thức ATTT từ sự cố VNDIRECT bị tấn công