Gửi bình luận
Thời gian vừa qua, một số tổ chức lớn tại Việt Nam đã xảy ra sự cố nhiễm mã độc mã hóa đòi tiền chuộc (mã độc ransomware), gây thiệt hại rất lớn cho các tổ chức bị nhiễm mã độc và các tổ chức, cá nhân có liên quan.
Mã độc lây lan từ đâu?
Trung tâm Thông tin (Học viện Tài chính) vừa thông tin thêm về ransomware - mã độc mã hóa đòi tiền chuộc và cách phòng chống.
Ransomware là một loại phần mềm độc hại hoặc tấn công bằng phần mềm độc hại mà tội phạm mạng sử dụng để mã hóa dữ liệu của nạn nhân, khiến dữ liệu của nạn nhân không thể truy cập được cho đến khi nhận được khoản thanh toán tiền chuộc.
Khi ransomware lây nhiễm vào hệ thống, nó sẽ mã hóa dữ liệu của người dùng. Để giải mã dữ liệu, người dùng cần có khóa giải mã. Khóa giải mã thường được giữ bởi tin tặc - những người yêu cầu tiền chuộc, để đổi lấy khóa. Một cuộc tấn công bằng ransomware có thể nhắm mục tiêu vào cả người dùng cá nhân và doanh nghiệp.
Theo Học viện Tài chính, thiết bị của người dùng có thể bị nhiễm mã độc tống tiền khi người dùng thực hiện một trong số hành vi như: Tìm và sử dụng các phần mềm bẻ khóa không có bản quyền, không rõ nguồn gốc; kích vào hoặc mở các file hoặc đường link độc hại đính kèm trong email; kích vào các quảng cáo chứa mã độc tống tiền; truy cập vào website chứa nội dung không lành mạnh có nhúng mã độc.
Điển hình và thông dụng nhất là hình thức tấn công bằng mã độc tống tiền thực hiện thông qua các email giả mạo chứa các file thực thi. Khi người dùng mở file đính kèm, mã độc được cài đặt vào máy tính của nạn nhân. Ngoài ra, hacker cũng có thể nhúng mã độc vào website, khi người dùng truy cập các website này, mã độc được cài đặt vào hệ thống.
Người dùng thường không nhận thức được về quá trình xâm nhập và lây nhiễm của mã độc bởi vì nó hoạt động âm thầm trong nền của hệ thống (background), cho đến khi cơ chế khóa dữ liệu được kích hoạt. Sau đó một hộp thoại xuất hiện thông báo với người dùng rằng dữ liệu đã bị khóa/mã hóa và yêu cầu một khoản tiền chuộc để mở khóa/giải mã dữ liệu.
Để phòng chống ransomware tiến hóa hằng ngày trên internet, các chuyên gia của Học viện Tài chính khuyến nghị người dùng nên kiểm tra phần mềm diệt vi rút trên máy đang sử dụng, khuyên cáo cập nhật thường xuyên.
Ngoài ra, có thể sử dụng công cụ bảo vệ dựa trên đám mây (sao lưu dựa trên đám mây để bảo vệ dữ liệu và khôi phục nhanh chóng khi cần thiết); sử dụng giải pháp email an toàn để ngăn chặn các tập tin độc hại được gửi đến qua email; đảm bảo có sao lưu dữ liệu không kết nối mạng để bảo vệ khỏi ransomware.
Đơn vị này cũng lưu ý người dùng hạn chế click vào liên kết gửi qua các mạng xã hội như Zalo, Facebook... hoặc email khi không biết rõ đó là gì. Không khởi chạy bất kỳ tập tin đáng nghi khi được gửi nhận; không sử dụng các mạng wifi miễn phí, không rõ nguồn gốc; cập nhật bản vá lỗi thường xuyên từ các nhà cung cấp (ví dụ hệ điều hành Windows).
Trả tiền chuộc sẽ tạo tiền lệ nguy hiểm
Trao đổi với phóng viên Một Thế Giới, ông Võ Đỗ Thắng - Giám đốc Trung tâm An ninh mạng Athena cho biết các vụ tấn công mã hóa đòi tiền chuộc không mới và nhiều doanh nghiệp, tổ chức tại Việt Nam đã bị nhắm đến và tấn công.
“Cách đây nhiều năm, chúng tôi cũng tham gia xử lý một vụ tấn công đòi tiền chuộc dữ liệu với mức giá tin tặc đưa ra là 600.000 USD. Hiện nay, mức tiền chuộc có thể đã tăng lên rất nhiều”, ông Thắng nói và đề nghị các doanh nghiệp cần tăng cường bảo mật, nâng cao chất lượng nhân sự công nghệ để ứng phó với các thủ đoạn tấn công mạng ngày một gia tăng.
Tại cuộc tọa đàm mới đây, trung tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng quốc gia (Bộ Công an) cho rằng nạn nhân của mã hóa tống tiền (ransomware) không nên trả tiền chuộc vì sẽ tạo tiền lệ nguy hiểm, trong khi chưa chắc giải mã được toàn bộ dữ liệu.
Tuy nhiên, ông Thủy cũng thừa nhận: "Thực tế đáng buồn là một khi dữ liệu đã bị mã hóa, gần như không có cơ hội tự giải mã. Chỉ có trả tiền chuộc, hoặc lấy được khóa mã theo cách nào đó, ví dụ tấn công được nhóm hacker".
Tương tự, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ (Hiệp hội An ninh mạng quốc gia) khẳng định: "Xác suất giải mã dữ liệu mà không có khóa bí mật gần như bằng 0, vì mã hóa là nền tảng của internet".
Trong báo cáo ransomware 2022 của Công ty bảo mật Sophos, dựa trên khảo sát hơn 5.600 quản lý IT tại 31 quốc gia, 46% cho biết đã chấp nhận trả tiền để lấy lại dữ liệu. Tuy nhiên, chỉ 4% công ty trong số này khôi phục được toàn bộ dữ liệu, còn gần một nửa chỉ lấy lại được 61% dữ liệu.
Theo ông Vũ Ngọc Sơn, thông thường sau khi xâm nhập và mã hóa, hacker sẽ để luôn khóa trên hệ thống của nạn nhân, sau đó mã hóa luôn khóa đó thay vì gửi về máy chủ của chúng. Việc này nhằm đảm bảo mỗi nạn nhân là một khóa khác nhau, tránh việc một người bỏ tiền mua để mở cho người khác.
"Điều này giống như kẻ trộm đột nhập vào nhà, khóa hết các cửa, sau đó cho toàn bộ chìa vào một cái hộp và tiếp tục khóa lại", ông Sơn nói. Nếu người dùng trả tiền chuộc, họ sẽ nhận được chìa khóa để mở hộp, nếu thành công mới tiến tới mở khóa từng cánh cửa. Quá trình này diễn ra một cách thận trọng để tránh nguy cơ bị tấn công trở lại.
Theo báo cáo của công ty nghiên cứu thị trường Statista thời kỳ 2021-2023, các công ty bị gián đoạn hoạt động trung bình 20 - 26 ngày sau khi bị tấn công ransomware.
