Đến thời điểm này, hệ thống mạng của Tổng công ty Dầu Việt Nam (PVOIL) vẫn chưa thể hoạt động bình thường trở lại sau khi bị tấn công bằng mã độc mã hóa dữ liệu tống tiền - ransomware - vào lúc 0h ngày 2-4.
Vậy các tổ chức, doanh nghiệp cần làm gì để phòng chống các vụ tấn công, ngăn ngừa thiệt hại?
Thiệt hại nặng nề
Trước đó, hệ thống mạng Công ty chứng khoán VNDirect và Tổng công ty cổ phần Bảo hiểm Bưu điện (PTI) cũng bị tấn công với hình thức tương tự.
Theo các chuyên gia an ninh mạng, hình thức tấn công của tin tặc trong các vụ nêu trên tương đối giống nhau. Nó đã "nằm vùng" trong hệ thống mạng của các doanh nghiệp một thời gian để thăm dò, sau đó mới thực hiện mã hóa dữ liệu tống tiền.
Tuy nhiên, kỹ thuật tấn công các vụ lại không giống nhau nên nhiều chuyên gia nhận định khả năng các cuộc tấn công được thực hiện bởi những nhóm tội phạm khác nhau, chưa có bằng chứng cho thấy đây là một chiến dịch có tổ chức.
Trao đổi với Tuổi Trẻ, ông Vũ Ngọc Sơn - giám đốc công nghệ Công ty an ninh mạng NCS - cho biết để thực hiện mã hóa dữ liệu, tin tặc phải có đủ thời gian để biết dữ liệu nào quan trọng.
"Vì vậy, tin tặc sẽ phải cài các mã độc nằm vùng, thu thập thông tin hằng ngày, từ đó phân tích, đánh giá và lựa chọn mục tiêu để mã hóa dữ liệu", ông Sơn chia sẻ.
Các chuyên gia của Công ty quản lý dữ liệu Synology cho biết cách thức tấn công ransomware phổ biến bao gồm gửi các tệp đính kèm email hay các trang web độc hại, lợi dụng lỗ hổng hệ thống để truy cập vào hệ thống máy tính của nạn nhân...
Thông thường, ransomware lừa nạn nhân truy cập vào các liên kết độc hại để tận dụng lỗ hổng và xâm nhập. Sau đó, các hacker sẽ liên tục thu thập thông tin, dữ liệu quan trọng và tiến hành mã hóa dữ liệu gốc tại nguồn. Cuối cùng sẽ đến bước đàm phán, tống tiền. Nếu thất bại, thông tin quan trọng của tổ chức, doanh nghiệp sẽ bị tiết lộ hoặc xóa trực tiếp.
Ransomware gây ảnh hưởng đến các tổ chức tài chính, cơ quan chính phủ, trường học, bệnh viện, doanh nghiệp... Nó có thể tấn công vào ổ đĩa cục bộ và gây tác động đến tất cả các thiết bị kết nối hoặc thậm chí xóa sạch toàn bộ hệ thống mạng và dữ liệu sao lưu chỉ trong một lần.
Chẳng hạn trong vụ việc của VNDirect, không chỉ riêng công ty mà toàn bộ người dùng và các nhà đầu tư đều bị ảnh hưởng, gây thiệt hại về kinh tế không nhỏ. Còn trong vụ việc của PVOIL, việc phát hành hóa đơn điện tử phục vụ bán hàng phải tạm ngưng, email và cổng thông tin đều không thể hoạt động, Tổng cục Thuế phải ngắt kết nối trực tiếp với PVOIL...
Hiểm họa còn tiếp diễn
Tại Việt Nam, ông Steven Shceurman - phó chủ tịch phụ trách khu vực Đông Nam Á Công ty an ninh mạng Palo Alto Networks - cho rằng nhiều doanh nghiệp Việt Nam chưa có giải pháp hoàn chỉnh để tự bảo vệ mình và chưa có những hành động đầy đủ quyết liệt để giảm thiểu rủi ro.
Còn theo ông Vũ Ngọc Sơn, mặc dù nhận thức về đảm bảo an ninh mạng của các doanh nghiệp và tổ chức tại Việt Nam đã nâng cao đáng kể, tuy nhiên việc triển khai các giải pháp đề phòng vẫn chưa thực sự tương xứng trong khi các cuộc tấn công mạng ngày càng tinh vi, đặc biệt có sự tham gia của các nhóm tội phạm lớn quốc tế.
Vì vậy, các hệ thống tại Việt Nam luôn ở trong tình trạng có thể bị tấn công bất cứ lúc nào. Bằng chứng là chỉ trong thời gian ngắn vừa qua, hàng loạt vụ tấn công mã hóa dữ liệu nghiêm trọng xảy ra, từ chứng khoán, năng lượng, viễn thông, y tế...
"Và chắc chắn tấn công mã hóa dữ liệu sẽ chưa dừng lại ở PVOIL và VNDirect", ông Sơn nhận định.
Theo dự báo tình hình an ninh mạng năm 2024 của Công ty an ninh mạng Bkav, tấn công mạng có chủ đích (APT) sẽ tiếp tục gia tăng khi dữ liệu quan trọng của các tổ chức luôn là đích nhắm của tội phạm mạng trên khắp thế giới.
Những cuộc tấn công này không chỉ phức tạp hơn mà mức độ đe dọa cũng đặc biệt nghiêm trọng, hướng tới việc đánh cắp và mã hóa các dữ liệu quan trọng. Điều này đòi hỏi sự tăng cường về mặt phòng thủ an ninh đối với các hệ thống trọng yếu.
Làm gì để hạn chế thiệt hại?
Mới đây, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã gửi công văn đề nghị các doanh nghiệp, tổ chức trong nước tiến hành rà soát và triển khai ngay một loạt biện pháp nhằm bảo đảm an toàn thông tin mạng để phòng chống hiểm họa ransomware.
Theo ông Vũ Ngọc Sơn, ngoài việc rà soát lỗ hổng và tăng cường các giải pháp công nghệ, các doanh nghiệp, tổ chức lớn cần xây dựng một đội ngũ chuyên trách về an ninh mạng để bảo vệ hệ thống.
Bên cạnh đó, cần triển khai mô hình bảo vệ bốn lớp theo khuyến cáo của Bộ Thông tin và Truyền thông, trong đó yêu cầu thuê dịch vụ giám sát an ninh mạng chuyên nghiệp để đảm bảo khách quan, khắc phục điểm yếu con người của hệ thống, phát hiện kịp thời khi hệ thống bị tấn công, xâm nhập.
Trong khi đó, các chuyên gia Synology khuyến cáo các doanh nghiệp và tổ chức cần đảm bảo hệ thống và phần mềm luôn được cập nhật, cài đặt phần mềm diệt vi rút và phần mềm whitelist, đào tạo nhân viên để không cài đặt phần mềm không rõ nguồn gốc, cảnh giác với những mối đe dọa ransomware mới nhất.
Để tránh thiệt hại, bà Võ Dương Tú Diễm - giám đốc khu vực Việt Nam của Hãng Kaspersky - cho rằng: "Doanh nghiệp nên sao lưu dữ liệu của mình để ngăn chặn dữ liệu bị mất, đánh cắp hoặc vô tình bị xóa.
Khi sao lưu, hãy sử dụng các thiết bị bên ngoài và ngắt kết nối chúng khỏi máy tính ngay sau đó vì dữ liệu sẽ bị mã hóa nếu chúng được kết nối với thiết bị bị nhiễm phần mềm độc hại. Việc sao lưu sẽ giúp doanh nghiệp tránh mất dữ liệu và bị yêu cầu tiền chuộc".
Rất nhiều chuyên gia an ninh mạng cũng cho rằng việc sao lưu định kỳ với tính năng bất biến là biện pháp thiết yếu, giúp cách ly dữ liệu khỏi các cuộc tấn công.
Không thỏa hiệp với kẻ tống tiền
Hồi tháng 11-2023, một nhóm tin tặc đã lợi dụng quy định báo cáo sự cố sắp áp dụng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để tống tiền doanh nghiệp.
Cụ thể, quy tắc này yêu cầu các công ty niêm yết tại Mỹ tiết lộ các sự cố an ninh mạng ảnh hưởng đến tình hình tài chính và hoạt động của công ty trong vòng bốn ngày làm việc, sau khi xác định sự cố đó xảy ra và có tác động đáng kể.
Nhóm tội phạm ALPHV đứng đằng sau vụ tấn công mã độc BlackCat đã nộp đơn khiếu nại một nạn nhân của chúng lên SEC, để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc.
Tuy nhiên, thời điểm vụ việc xảy ra, quy định của SEC chưa có hiệu lực. Ngoài ra, Mỹ có Đạo luật lừa đảo và lạm dụng máy tính liên bang (CFAA). Đây là cơ chế pháp lý chính của liên bang để truy tố tội phạm mạng, bao gồm cả tin tặc, và cũng áp dụng cho một số tội phạm tống tiền trên mạng trong đó có mã độc.
CFAA quy định cả hình phạt hình sự và dân sự đối với những hoạt động như vậy. Ở mức hình sự, những kẻ tấn công có thể lãnh án từ 10 đến 20 năm tù đối với một số tội nghiêm trọng.
Ransomware nguy hiểm cỡ nào?
Ransomware là một loại phần mềm được hacker sử dụng để xâm nhập vào máy tính hoặc hệ thống dữ liệu và mã hóa các tệp tin hoặc khóa toàn bộ hệ thống của nạn nhân. Sau đó, kẻ tấn công sẽ đòi một khoản tiền chuộc để nhận được công cụ mở khóa.
Cuộc tấn công ransomware đầu tiên đã xảy ra vào năm 1989. Sau hơn 30 năm, ransomware đã trở nên phức tạp, nguy hiểm hơn và mật độ ngày càng gia tăng. Theo Synology, số lượng các vụ tấn công mạng đã tăng 22% tại châu Á - Thái Bình Dương và 40% trên toàn thế giới trong giai đoạn 2021-2022.
Thường thì các doanh nghiệp sẽ mất từ vài tuần đến vài tháng để phục hồi sau khi bị ransomware tấn công.
Tuy nhiên, theo một nghiên cứu của hãng bảo mật Kaspersky, có đến 71% doanh nghiệp thậm chí không thể khôi phục được dữ liệu sau khi bị tấn công. Ngay cả khi các tổ chức sẵn lòng trả tiền chuộc, vẫn không chắc chắn sẽ lấy lại được thông tin đã mất.
Năm 2023, hệ thống giám sát và cảnh báo vi rút của Công ty an ninh mạng Bkav ghi nhận hơn 19.000 máy chủ tại Việt Nam bị tấn công mã hóa tống tiền từ 130.000 địa chỉ IP độc hại trên toàn thế giới, tăng 35% so với năm 2022. Các dòng vi rút điển hình tham gia những đợt tấn công này phải kể đến TOP/DJVU, FARGO, LockBit...
Các chuyên gia của Bkav cho biết nguyên nhân chính khiến máy chủ luôn là đích nhắm của ransomware vì thường chứa dữ liệu quan trọng, nhạy cảm, có giá trị cao. Khi máy chủ bị mã hóa có thể gây ngưng trệ toàn bộ doanh nghiệp trong thời gian dài, tạo ra áp lực lớn, buộc nạn nhân phải trả tiền chuộc thậm chí với bất kỳ giá nào.
Đã có hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp tại Việt Nam bị mã độc tống tiền tấn công, gây gián đoạn hoạt động và thiệt hại về vật chất, uy tín.