Tấn công mã hóa dữ liệu tống tiền ransomware là hình thức tấn công mạng không mới song lại đang trở nên khá phổ biến những năm gần đây. Các tổ chức tài chính, chứng khoán luôn là một trong những mục tiêu hàng đầu của các nhóm tấn công ransomware.
Thực tế, không chỉ riêng gì ở Việt Nam, nhiều công ty tài chính, công nghệ, truyền thông trên thế giới cũng từng bị tấn công ransomware gây ra các sự cố gián đoạn hoạt động kéo dài. Số tiền khổng lồ thu được qua các vụ việc đang khiến các nhóm tin tặc gia tăng tấn công mã hoá dữ liệu trên toàn cầu.
Đến nay tấn công ransomware đã trở thành vấn nạn chung của mọi doanh nghiệp, tổ chức trên toàn cầu, nhất là các tổ chức tài chính, ngân hàng hay những đơn vị quản lý, xử lý nhiều dữ liệu người dùng. Vấn nạn này đặt ra cho các doanh nghiệp bài toán phải tăng cường bảo mật, bảo vệ an toàn các hệ thống thông tin.
Một số vụ việc tấn công mã hóa dữ liệu tống tiền ransomware quốc tế nổi cộm
Tháng 11/2023, chi nhánh tại Mỹ của Ngân hàng Công thương Trung Quốc (ICBC) đã bị tấn công bằng ransomware làm gián đoạn giao dịch trên thị trường Kho bạc Mỹ tháng 11/2023. Một số chuyên gia và nhà phân tích cho rằng, Lockbit được cho là đứng sau vụ tấn công. Tuy nhiên, ICBC không bình luận về việc liệu Lockbit có thực sự đứng sau vụ tấn công hay không.
Tháng 6/2023, nhóm ransomware LockBit đã liệt kê công ty sản xuất chip lớn nhất thế giới của Đài Loan - Trung Quốc là TSMC vào danh sách nạn nhân của mã độc LockBit 3.0. TSMC sau đó xác định Kinmax Technology, một trong những nhà cung cấp của công ty, là nạn nhân chính của vụ vi phạm và nhóm tấn công LockBit đã yêu cầu khoản tiền chuộc 70 triệu USD.
Nhóm LockBit tuyên bố chiếm quyền truy cập vào mật khẩu, thông tin đăng nhập và điểm truy cập mạng của TSMC sau cuộc tấn công vào Kinmax Technology; Đồng thời chúng đe dọa tiết lộ thông tin nhạy cảm nếu TSMC từ chối thực hiện thanh toán.
Trường hợp mới nhất xảy ra vào đầu tháng 4 vừa rồi, một nhà cung cấp dịch vụ trung tâm dữ liệu tại Chile đã bị tấn công. Hình thức và thủ đoạn tương tự như vụ tấn công mã hoá dữ liệu vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hoá dữ liệu.
Theo thông báo ngày 3/4 trên Beeping Computer, nhà cung cấp dịch vụ lưu trữ và trung tâm dữ liệu Chile IxMetro Powerhost đã phải hứng chịu một cuộc tấn công mạng do nhóm ransomware mới có tên SEXi thực hiện. Nhóm này đã mã hóa các máy chủ và bản sao lưu VMware ESXi của công ty.
Powerhost là công ty lưu trữ và kết nối, trung tâm dữ liệu có trụ sở tại Hoa Kỳ, Nam Mỹ và châu Âu. Khi sự việc xảy ra, Powerhost đã xin lỗi khách hàng, cảnh báo rằng có thể không khôi phục được dữ liệu vì các bản sao lưu cũng đã bị mã hóa.
Khi thương lượng với hacker để nhận khóa giải mã, nhóm ransomware yêu cầu trả 02 bitcoin tương ứng với mỗi khách hàng của Powerhost, tương đương với tổng số tiền cần trả vào khoảng 140 triệu USD.
Lời cảnh tỉnh cho doanh nghiệp Việt
Trong khoảng 3 tuần từ 24/3 cho đến tuần đầu của tháng 4 năm nay, không gian mạng Việt Nam đã ghi nhận liên tiếp các cuộc tấn công có chủ đích theo hình thức mã hóa dữ liệu tống tiền - ransomware vào các doanh nghiệp Việt Nam lớn hoạt động trong các lĩnh vực quan trọng như tài chính, chứng khoán, năng lượng, viễn thông... Những cuộc tấn công này đã khiến hệ thống của các doanh nghiệp bị ngưng trệ trong một khoảng thời gian, đưa đến những thiệt hại không nhỏ cả về kinh tế cũng như uy tín của đơn vị có hệ thống bị các nhóm tội phạm mạng nhắm tới.
Quá trình phân tích, điều tra nguyên nhân và các nhóm đối tượng đã tấn công vào hệ thống thông tin của doanh nghiệp Việt Nam thời gian gần đây, cơ quan chức năng nhận thấy những sự cố này là ‘sản phẩm’ của nhiều nhóm tấn công khác nhau như LockBit, BlackCat, Mallox…
Trong đó, riêng với vụ tấn công ransomware vào hệ thống VNDIRECT lúc 10h sáng ngày 24/3 làm cho toàn bộ dữ liệu của doanh nghiệp thuộc top 3 thị trường chứng khoán Việt Nam bị mã hóa, các cơ quan chức năng đã xác định nhóm LockBit với mã độc LockBit 3.0 đứng sau vụ việc này.
Nhìn lại đợt tấn công mạng có chủ đích theo hình thức tấn công ransomware nhắm vào các doanh nghiệp, tổ chức tại Việt Nam từ trung tuần tháng 3 đến khoảng giữa tháng 4 vừa qua, các chuyên gia bảo mật đều có chung nhận định, vẫn còn nhiều doanh nghiệp, tổ chức còn lơ là, chưa nhận thức rõ tầm quan trọng cũng như có sự đầu tư thỏa đáng, đáp ứng yêu cầu của công tác đảm bảo an toàn các hệ thống thông tin trong kỷ nguyên số.
Phòng và chống: Cách nào?
Sáng kiến quốc tế về chống mã độc tống tiền - Counter Ransomware Initiative (CRI) do Mỹ khởi xướng đã đưa ra một tuyên bố chính sách chung giữa các nước, trong đó kêu gọi các nạn nhân không trả tiền chuộc cho tin tặc, nếu không sẽ tạo ra một tiền lệ xấu, đặc biệt nguy hiểm.
Trong một thông cáo báo chí phát đi hồi tháng Hiệp hội An ninh mạng quốc gia cũng đadự báo thời gian tới, các nhóm tin tặc gia tăng tấn công mạng bằng mã độc tống tiền, nhằm vào các cơ quan trọng yếu, các tổ chức kinh tế, tài chính, năng lượng tiếp tục diễn biến phức tạp, không loại trừ khả năng hoạt động tấn công mã độc đã được cài cắm sâu trong các hệ thống thông tin.
Theo ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS) - Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia, hình thức tấn công của hacker tương đối giống nhau, đều là tấn công nằm vùng một thời gian và sau đó mã hóa dữ liệu tống tiền.
Tuy vậy, kỹ thuật tấn công các vụ lại không giống nhau, do đó khả năng đây là các cuộc tấn công của những nhóm tội phạm mạng khác nhau. Chưa có bằng chứng cho thấy đây là một chiến dịch có tổ chức. Tuy nhiên, cũng không loại trừ khả năng này vì các vụ việc liên tiếp xảy ra trong một thời gian khá ngắn.
Theo các chuyên gia, các cuộc tấn công ransomware hiện nay thường được bắt đầu từ một điểm yếu bảo mật của cơ quan, tổ chức. Kẻ tấn công xâm nhập hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập, kiểm soát hạ tầng CNTT của tổ chức và làm tê liệt hệ thống, với mục đích nhằm bắt buộc các tổ chức nạn nhân thực phải trả tiền nếu muốn chuộc lại dữ liệu bị mã hóa.
Cơ quan, tổ chức, doanh nghiệp, nhất là những đơn vị hoạt động trong các lĩnh vực quan trọng như tài chính, ngân hàng, chứng khoán, năng lượng, viễn thông... cần khẩn trương, chủ động rà soát, củng cố cả về hệ thống và nhân sự chuyên môn bảo mật hiện có, đồng thời xây dựng các phương án ứng cứu sự cố.
Cẩm nang phòng, chống, giảm thiểu rủi ro từ tấn công rasomware do Cục An toàn thông tin - Bộ Thông tin và Truyền thông phát hành đầu tháng 4/2024 vừa qua tại địa chỉ: https://khonggianmang.vn/uploads/CAM_NANG_RANSOMWARE_fdd46cec50.pdf dành cho các cơ quan, tổ chức, doanh nghiệp, hướng đến mục tiêu bảo đảm an toàn không gian mạng quốc gia, gồm các nội dung chính: Xây dựng kế hoạch sao lưu, phục hồi dữ liệu đối với hệ thống, thông tin quan trọng; Triển khai các biện pháp xác thực mạnh cho các tài khoản truy cập hệ thống; Chủ động tìm kiếm dấu hiệu tấn công, rà quét mã độc, yêu cầu đơn vị chuyên trách xử lý các mã độc; Giám sát liên tục để phát hiện sớm các hành vi xâm nhập, đặc biệt giám sát các truy cập đến vCenter, ESXI, Domain Control-; Rà quét, cập nhật bản vá lỗ hổng an toàn thông tin trên các thiết bị, phần mềm, ứng dụng; Xây dựng kế hoạch ứng phó sự cố để kịp thời phản ứng với sự cố Ransomware; Áp dụng các nguyên tắc đặc quyền tối thiểu cho các hệ thống; Hạn chế việc sử dụng dịch vụ điều khiển máy tính từ xa; Thực hiện phân vùng mạng chặt chẽ.
Ngày 13/5/2024 tại Hà Nội, Hiệp hội An ninh mạng quốc gia sẽ tổ chức Hội thảo với chủ đề: “Phòng, chống lừa đảo trên không gian mạng”. Đây là sự kiện nhằm đẩy mạnh công tác tuyên truyền, phổ biến phương thức, thủ đoạn, hậu quả do hành vi lừa đảo chiếm đoạt tài sản gây ra và các quy định của pháp luật có liên quan để nâng cao ý thức cảnh giác của người dân, doanh nghiệp. Tăng cường sự phối hợp đồng bộ giữa các cơ quan, tổ chức, doanh nghiệp và người dân trong công tác phòng, chống lừa đảo trên không gian mạng.
Sự kiện do Hiệp hội An ninh mạng quốc gia chủ trì, dưới sự bảo trợ của Bộ Công an, dự kiến sẽ vinh dự được đón lãnh đạo các Bộ Công an, Bộ TT&TT, lãnh đạo Ngân hàng Nhà nước tham dự và có ý kiến chỉ đạo. Hội thảo sẽ mang đến những nội dung mang tính thời sự, nổi bật, cập nhật các công nghệ an ninh mạng mới, các xu hướng và kinh nghiệm của quốc tế, thực tiễn tốt của các nước về việc phòng chống lừa đảo trên không gian mạng, đặc biệt là hình thức lừa đảo tài chính công nghệ cao.
Thông tin về sự kiện có tại: https://sukien.nca.org.vn