Ransomware - Đừng trả tiền chuộc, hãy tự bảo vệ mình

Lạc Diệp

(KTSG) - Những vụ tấn công mạng bằng mã độc tống tiền nhằm vào các công ty, tổ chức đang diễn ra khá phổ biến trên khắp thế giới, buộc các nạn nhân phải chi nhiều triệu đô la để lấy lại các dữ liệu, hoặc khôi phục hệ thống mạng của mình. Các doanh nghiệp có thể làm gì để tự bảo vệ mình trước nguy cơ tấn công mạng ngày càng gia tăng?

Nguy cơ bị tấn công ransomware tăng cao

Máy tính tiền tại các cửa hàng tạp hóa bị khóa, hoạt động du lịch đường sắt bị gián đoạn và các phòng khám nha khoa phải đóng cửa. Chỉ một tháng sau cuộc tấn công mạng buộc một trong những nhà máy chế biến thịt lớn nhất thế giới phải đóng cửa, các tin tặc lại một lần nữa khiến thế giới phải lo ngại.

Lần này là cuộc tấn công mạng bằng hình thức mã độc tống tiền (ransomware) nhằm vào Kaseya - công ty công nghệ có trụ sở tại bang Miami, Mỹ, chuyên cung cấp các công cụ phần mềm cho các cửa hàng gia công phần mềm công nghệ thông tin. Các công ty này thường hỗ trợ phần mềm tại văn phòng cho các công ty quá nhỏ hoặc có nguồn lực khiêm tốn để thiết lập bộ phận kỹ thuật của riêng họ.

Giám đốc điều hành Kaseya - ông Fred Voccola cho biết, có khoảng 800 - 1.500 doanh nghiệp trên khắp thế giới đã bị ảnh hưởng bởi vụ tấn công nhắm vào Kaseya. Còn theo DW, hơn 1.000 công ty ở ít nhất 17 quốc gia đã bị ảnh hưởng và con số này dự kiến sẽ còn tăng lên. Nhóm tin tặc REvil đã yêu cầu khoản tiền chuộc trị giá 70 triệu đô la bằng bitcoin để khôi phục quyền kiểm soát hệ thống cơ sở hạ tầng công nghệ thông tin cho tất cả các doanh nghiệp.

REvil - nhóm tin tặc nổi tiếng có liên quan đến Nga, đã nhận trách nhiệm thực hiện vụ tấn công mạng này, và yêu cầu số tiền chuộc 70 triệu đô la để khôi phục tất cả dữ liệu của các doanh nghiệp bị ảnh hưởng. Nhóm này cũng cho biết, sẵn sàng giảm bớt yêu cầu trong các đàm phán riêng với một chuyên gia an ninh mạng.

Theo DW, tỷ lệ các tổ chức phải chấp nhận trả tiền chuộc để khôi phục dữ liệu sau các vụ tấn công mạng bằng mã độc tống tiền đang tăng lên. Theo một cuộc khảo sát được thực hiện bởi công ty nghiên cứu thị trường CyberEdge trong năm 2021, 72% các công ty bị tấn công mạng đã chấp nhận trả tiền chuộc, tăng đáng kể so với mức 49% hồi năm 2018.

Chainanalysis - một công ty chuyên theo dõi các khoản thanh toán bằng điện tử cũng cho biết, trong năm ngoái, các nạn nhân bị tấn công mạng bằng mã độc tống tiền đã chi ra 406 triệu đô la tiền kỹ thuật số để trả cho các tin tặc. Công ty này cũng cho biết, mức tiền chuộc trung bình cho các vụ tấn công bằng mã độc tống tiền đã tăng 4,5 lần, từ 12.000 đô la hồi quí 4-2019 lên 54.000 đô la trong quí 1-2021. Điều này cho thấy, các cuộc tấn công bằng mã độc tống tiền đang diễn ra với mức độ phổ biến hơn nhiều so với những gì công chúng thường thấy trên tin tức hàng ngày, và thường có quy mô lớn, gây thiệt hại hàng triệu đô la.

Sự gia tăng về mức tiền chuộc, được cho là bắt nguồn từ sự tham gia ngày càng nhiều của các nhóm cung cấp dịch vụ tấn công mạng bằng mã độc tống tiền. Các dịch vụ này, bao gồm bán quyền truy cập vào các hệ thống mạng đã bị xâm nhập, hay các trung tâm liên lạc đặc biệt, dành riêng cho việc kết nối với nạn nhân bị tấn công mạng, đã cho phép các tin tặc nhắm tới mục tiêu là các tổ chức có quy mô lớn hơn.

Ông Duncan Greatwood - Giám đốc điều hành công ty bảo mật Xage nhận định: “Trên thực tế, các mô hình tấn công mạng bằng mã độc tống tiền dưới dạng dịch vụ đang nổi lên, với những phần mềm hoàn chỉnh dành cho các tin tặc. Các nhóm tin tặc xuất hiện ở khắp nơi trên thế giới, đặc biệt là tại Đông Âu, Trung Quốc, Iran và Nga”.

Trả tiền chuộc - lựa chọn tồi

Ông Voccola - CEO của Kaseya đã từ chối cho biết liệu công ty của ông có sẵn sàng đáp ứng yêu cầu của tin tặc hay không, tuy nhiên trước đó, nhà sản xuất thịt hàng đầu thế giới JBS hay tập đoàn vận hành đường ống dẫn dầu hàng đầu nước Mỹ Colonial Pipeline đều đã chấp nhận trả hàng triệu đô la tiền chuộc cho các tin tặc.

Theo các chuyên gia, đây không phải là một lựa chọn khôn ngoan, bởi trong khi những khoản tiền chuộc có thể giúp khắc phục những hậu quả trong ngắn hạn, chúng sẽ không giải quyết được tận gốc mối đe dọa, mà còn khiến nguy cơ trở nên trầm trọng hơn. “Tôi chắc chắn sẽ đưa ra lời khuyên cho các công ty là đừng trả tiền chuộc”, chuyên gia Miriam Foller Nord - Trưởng khoa Khoa học máy tính tại Đại học Khoa học Ứng dụng Mannheim nhận định. “Bởi điều này chỉ làm cho vấn đề trở nên tồi tệ hơn, và nó càng thúc đẩy bọn tội phạm thực hiện nhiều vụ tấn công hơn”.

Chia sẻ quan điểm trên, Giám đốc an ninh thông tin của ngân hàng ANZ Lynwen Connick nhận định: “Khi các doanh nghiệp trả tiền chuộc, điều này chỉ mang lại cho các thủ phạm nhiều nguồn kinh phí hơn, và có thêm động lực để tiếp tục tấn công mạng”.

Dĩ nhiên, bất chấp lời khuyên từ các chuyên gia, lực lượng an ninh, trong phần lớn trường hợp, các doanh nghiệp bị tấn công mạng vẫn sẽ lựa chọn việc trả tiền chuộc, để khôi phục hoạt động trong thời gian ngắn nhất có thể, bởi họ cũng không còn giải pháp nào khác. Tuy nhiên, một số chuyên gia nhận định, điều này cũng giống như một canh bạc. “Một điều quan trọng mà các doanh nghiệp cần lưu ý là việc trả tiền chuộc sẽ không đảm bảo rằng, các nhóm tin tặc sẽ tôn trọng các cam kết về việc xóa bỏ các dữ liệu bị đánh cắp và khôi phục hoàn toàn hệ thống”, ông Aman Johal - nhà sáng lập hãng luật Your Lawyers cho biết.

Có cách nào để tự bảo vệ?

Để tránh phải rơi vào tình trạng tiến thoái lưỡng nan giữa việc trả hay không trả tiền chuộc, các doanh nghiệp được khuyến cáo cần chuẩn bị kỹ lưỡng hơn những biện pháp tự bảo vệ hệ thống cơ sở hạ tầng mạng của mình. Tuy nhiên việc đương đầu với các cuộc tấn công bằng mã độc tống tiền lại là chuyện không hề đơn giản. Chuyên gia Allan Liska tại công ty bảo mật Recorded Future nhận định: “Để giải quyết các mối đe dọa như vậy, đòi hỏi một cách tiếp cận mang tính toàn diện, từ phần mềm, chính sách, con người cho tới các giao thức phù hợp để nhanh chóng xác định và ngăn chặn các mối đe dọa”.

Trước hết, các tổ chức phải triển khai những phần mềm an ninh mạng có chất lượng hàng đầu và sử dụng đội ngũ các chuyên gia cả bên trong và ngoài công ty để ngăn chặn các cuộc tấn công. Đi kèm với đó là việc thực thi các quy trình an ninh mạng chặt chẽ như xác thực đa yếu tố, thay đổi mật khẩu thường xuyên, sử dụng các mật khẩu mạnh và khó đoán, từ đó hạn chế bất kỳ điểm yếu nào trong hệ thống.

“Nhưng, trong trường hợp này, liệu các biện pháp đó có thực sự giúp ích được gì hay không thì vẫn chưa chắc chắn... Sẽ thực sự rất khó để bảo vệ doanh nghiệp khỏi những nguy cơ như thế này”, chuyên gia Föller-Nord bình luận về vụ tấn công gần đây.

Đặc biệt, các doanh nghiệp được khuyến cáo cần phải có một chiến lược sao lưu mạnh mẽ để bảo vệ mình khỏi tác động do các cuộc tấn công bằng mã độc tống tiền gây ra, vì điều này có thể cho phép doanh nghiệp hoạt động trở lại suôn sẻ trong thời gian sớm nhất. Thường xuyên sao lưu dữ liệu và lưu trữ trong một hệ thống riêng biệt hoặc ngoại tuyến có thể giúp giảm thiểu tác động của một vụ tấn công mạng. Bà Föller-Nord cho biết: “Việc sao lưu càng được thực hiện thường xuyên, thì dữ liệu có thể được khôi phục càng đầy đủ. Đó thực sự là biện pháp tốt và thực sự duy nhất mà bạn có thể áp dụng để chống lại các cuộc tấn công bằng mã độc tống tiền này”.

Đối với những doanh nghiệp nhỏ, vốn phụ thuộc vào các nhà cung cấp dịch vụ quản lý (MSP) trong việc đảm bảo an ninh mạng, các chuyên gia cho rằng, điều quan trọng nhất cần thực hiện, chính là liên tục trao đổi với MSP xem, công ty đó bảo vệ dữ liệu của mình như thế nào. Ông Scott Schaffer - Giám đốc phụ trách an ninh thông tin tại Blade Technologies cho biết, “Đừng chỉ hỏi một lần về việc này, mà hãy hỏi một cách thường xuyên. Bất kỳ MSP nào làm việc đúng cách, sẽ hoan nghênh các câu hỏi đó của khách hàng”.

Theo Washington Post, giáo dục nhân viên cũng được coi là một vũ khí mạnh mẽ để chống lại các cuộc tấn công bằng mã độc tống tiền, nhất là với các công ty không có đủ nguồn lực để thường xuyên đầu tư vào việc nâng cấp các phần mềm và hệ thống bảo mật. Theo đó, các doanh nghiệp cần cung cấp cho nhân viên của mình những kiến thức cần thiết để tránh ấn vào các đường liên kết, tệp đính kèm từ những người gửi không xác định, hoặc truy cập vào các trang web khả nghi.

Việc thuê các chuyên gia, tổ chức đào tạo các kỹ năng này cho đội ngũ nhân viên có thể khiến doanh nghiệp phải tiêu tốn một khoản chi phí. Tuy nhiên, con số này sẽ là rất nhỏ nếu so sánh với số tiền chuộc mà tin tặc yêu cầu, hay những thiệt hại mà doanh nghiệp có thể phải gánh chịu khi vụ tấn công xảy ra.

Mô hình bảo mật Zero Trust

Bên cạnh các biện pháp truyền thống, các công ty có thể sử dụng cách tiếp cận chủ động hơn, thông qua mô hình bảo mật Zero Trust. Đây là mô hình tập trung vào bảo mật dựa trên ý tưởng rằng doanh nghiệp không nên có tùy chọn tin cậy mặc định cho bất kỳ thứ gì bên ngoài hoặc bên trong hệ thống của họ. Thay vào đó, họ phải xác thực mọi đối tượng đang cố gắng giành quyền truy cập và kết nối với hệ thống trước khi được cho phép.

Theo trang mạng Digital Guardian, bảo mật mạng truyền thống dựa trên một khái niệm được gọi là “lâu đài và hào nước”, nơi rất khó để có được quyền truy cập từ bên ngoài nhưng lại có sự tin tưởng mặc định với mọi người bên trong hệ thống. Vấn đề với chiến lược này là nếu một tin tặc “đóng giả” làm người ở bên trong tổ chức, tin tặc đó sẽ có quyền truy cập vào mọi thứ trong hệ thống mạng.

Do đó, mô hình Zero Trust đề xuất rằng các công ty nên ngắt kết nối tất cả quyền truy cập cho đến khi hệ thống đã xác minh người dùng và biết rằng họ được ủy quyền. Không có gì và không ai được quyền truy cập cho đến khi tất cả được xác thực cả về danh tính, lẫn lý do hợp lệ.

Chuyên gia Greatwood cho biết: “Với các kỹ thuật truyền thống, kẻ tấn công có thể khai thác các điểm yếu trên hệ thống mạng, sau khi đoạt được quyền truy cập bên trong chu vi phân đoạn mạng. Thế nhưng, Zero Trust coi danh tính của từng máy tính, ứng dụng, người dùng và luồng dữ liệu như một chu vi độc lập và thực thi chính sách truy cập chi tiết. Do đó, việc thực thi bảo mật nghiêm ngặt vẫn được tiếp tục ngay cả trong trường hợp tin tặc đã xâm nhập vào hệ thống mạng của công ty. Các mã độc tống tiền sẽ bị chặn truy cập giữa các hệ thống công nghệ thông tin và công nghệ điều khiển”.

Ông Greatwood cũng nhấn mạnh rằng mô hình Zero Trust đặc biệt quan trọng đối với các công ty trong các ngành có tốc độ hiện đại hóa chậm hơn, chẳng hạn như năng lượng, dầu khí và tiện ích... Do quá trình chuyển đổi kỹ thuật số bị trì hoãn, cũng như sự pha trộn giữa các thiết bị cũ và hiện đại, các công ty này thường gặp nhiều khó khăn trong công tác bảo mật nhất, và dễ dàng trở thành mục tiêu ngon ăn cho các nhóm tin tặc tấn công bằng mã độc tống tiền.

Nguồn: DW, Washington Post, Tech Republic, Gadgets, IP Watchdog, Fox