Thấy gì từ các cuộc tấn công mạng ransomware gần đây?

Trong những năm gần đây, ransomware đã trở thành một trong những mối đe dọa an ninh mạng lớn nhất đối với doanh nghiệp, tổ chức. Trong thời gian vừa qua, các doanh nghiệp lớn của Việt Nam bao gồm VNDirect, PVOIL liên tiếp bị tấn công mạng bằng ransomeware một cách có chủ đích gây gián đoạn hoạt động và thiệt hại về kinh tế. Vì vậy, các giải pháp bảo vệ an ninh mạng và bảo vệ an ninh thông tin đang là mối quan tâm lớn của các tổ chức, doanh nghiệp trong bối cảnh các mối nguy hiểm từ môi trường internet ngày càng tinh vi và xảo quyệt.

Ransomeware là gì

Ransomware là một loại phần mềm độc hại được thiết kế để mã hóa dữ liệu hoặc khóa quyền truy cập dữ liệu của người dùng trên một hệ thống máy tính. Để được trả lại quyền truy cập dữ liệu, hacker sẽ yêu cầu nạn nhân phải trả cho chúng một khoản tiền chuộc, thường qua tiền ảo như Bitcoin. Ransomeware thường được lan truyền qua các tệp đính kèm email lừa đảo, các trang web độc hại hoặc qua các lỗ hổng bảo mật trên phần mềm chưa được vá.

Ransomeware còn được gọi là phần mềm tống tiền hoặc mã độc tống tiền.

WannaCry là một ví dụ nổi tiếng về mã độc ransomware được phát tát trong năm 2017. Các cuộc tấn công bằng WannaCry được bắt đầu từ Anh và lan rộng ra gần 150 quốc gia trên toàn thế giới, chủ yếu nhắm vào các cơ quan nhà nước và doanh nghiệp lớn. Theo Interpol, phần mềm độc hại WannaCry đã tấn công khoảng 230.000 máy tính trên 150 quốc gia.

Loại ransomware "khó trị" nhất

Trong số các ransomware, ransomware mã hóa (encrypting) là loại phổ biến nhất và cũng là loại nguy hiểm nhất. Sau khi thâm nhập vào hệ thống máy tính của nạn nhân, chúng sẽ tạo kết nối bí mật với server của hacker và mã hóa toàn bộ dữ liệu của người dùng bằng khóa riêng mà chỉ có thể giải mã bằng chìa khóa (key) trên server của kẻ tấn công. Dữ liệu của người dùng sẽ bị đổi đuôi thành những định dạng nhất định như *.docm, *.cerber và báo lỗi khi nạn nhân cố gắng truy cập. Trong nhiều trường hợp, việc giải mã để phục hồi dữ liệu là bất khả thi khi hacker sử dụng những hàm băm mật mã từ 128 bit hoặc 256 bit trở lên.

Trong thời gian gần đây, một số nhóm tội phạm mạng thậm chí đã phát triển các mô hình kinh doanh "Ransomware-as-a-Service" (RaaS), cho phép những kẻ tấn công không chuyên nghiệp mua các dịch vụ tấn công encrypting ransomware làm gia tăng sự phát tán của loại hình mã độc "khó trị" này.

Cách phòng chống ransomware

Đối với người dùng

Chủ động sao lưu dữ liệu

Chủ động sao lưu các dữ liệu quan trọng luôn luôn là một biện pháp hữu hiệu để chống lại các phần mềm tống tiền. Khi bạn đã có dữ liệu back-up, bạn không còn lý do phải trả tiền chuộc cho hacker, phải không? Dữ liệu có thể được sao lưu lên các nền tảng đám mây an toàn như Google Drive, OneDrive, iCloud. Các nền tảng này đều cho phép sao lưu dữ liệu miễn phí với mức dung lượng vừa đủ cho người dùng thông thường

Tránh xa các email lừa đảo

Trong công việc hàng này, nếu bạn gửi càng nhiều email lên môi trường internet thì nguy cơ bạn nhận được các email lừa đảo (phishing email) càng lớn. Dấu hiệu nhận biết các email lừa đảo bao gồm:

Gửi từ một tên miền nhìn có vẻ uy tín nhưng thực ra là tên miền giả mạo, nội dung được viết chung chung, không liên quan đến công việc của bạn
Gửi từ một địa chỉ chung chung VD: info@acb.com, contact@xyz.com
Gửi cho 1 loạt nhiều người, tên người nhận dạng "unclosed-receipent"
Email không định danh người gửi, không có số điện thoại liên lạc
Email có tệp tài liệu đính kèm là file nén, bạn không biết có gì bên trong đó
Do được phát tán số lượng lớn, các email lừa đảo thường được hệ thống tự động nhận diện là "SPAM"

Cẩn thận với tệp đính kèm gửi qua email

Các tệp đính kèm gửi qua email luôn là một phương thức phát tán mã độc được ưa chuộng đối với tội phạm trên môi trường không gian mạng. Thông thường, bạn nên đặt câu hỏi nghi vấn đối với các tệp đính kèm có dấu hiệu như sau:

Tệp đính kèm được gửi từ một email lạ hoặc từ một tên miền không đáng tin cậy
Tệp đính kèm được nén bằng winrar hoặc winzip được gửi từ một email lạ với nội dung không liên quan
Tuyệt đối không click vào các file đính kèm có đuôi *.exe (hệ điều hành Window) và *.dmg (hệ điều hành iOS)

phishing-email-lua-dao — *Ví dụ về phishing email*

Đối với Doanh nghiệp

Chủ động trong công tác phòng ngừa

Các doanh nghiệp, tổ chức được khuyến nghị cần chủ động hơn trong phòng chống tấn công mạng. Các doanh nghiệp, tổ chức lớn cần xây dựng đội ngũ kỹ sư IT chuyên trách về an toàn, an ninh mạng để bảo vệ hệ thống, sẵn sàng xử lý các sự cố mất an toàn có thể xảy ra để đảm bảo tổn thất ở mức thấp nhất.

Đầu tư cho hệ thống phần cứng, phần mềm

Hiện tại trên thị trường có rất nhiều sản phẩm phần cứng và phần mềm hỗ trợ bảo mật hệ thống và chống tấn công mạng được các hãng danh tiếng như Cisco, Fortinet, Palo Alto, Juniper... phát triển và cung cấp. Phần lớn các sản phẩm này sử dụng kỹ thuật mật mã để bảo mật dữ liệu hoặc tạo đường hầm VPN (mạng riêng ảo) để bảo mật dữ liệu trao đổi trên không gian mạng internet. Để đảm bảo sản phẩm được nhập khẩu và kinh doanh đúng theo quy định của nhà nước, doanh nghiệp nên tìm mua từ các nhà cung cấp đã có giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự. Trong trường hợp mua hàng trực tiếp nhập khẩu từ các hãng sản xuất, doanh nghiệp cũng có thể sẽ cần công ty tư vấn uy tín, hoặc nhà cung cấp dịch vụ nhập khẩu ủy thác để có thể nhập khẩu sản phẩm với chi phí hợp lý.

Rà soát lỗ hổng, kiểm thử an ninh mạng

Bên cạnh việc xây dựng đội ngũ chuyên trách về an toàn thông tin mạng của doanh nghiệp, có thể bạn vẫn sẽ cần các dịch vụ kiểm thử từ các nhà cung cấp chuyên nghiệp. Các dịch vụ kiểm tra về an toàn thông tin mạng bao gồm: