Giải mã Ransomware: Câu chuyện chân thực từ “người trong cuộc”

"CyberWar Insider" là chương trình chia sẻ những câu chuyện làm bảo mật dưới góc nhìn và kinh nghiệm thực tế của những "người trong cuộc" đang tham gia cuộc chiến an ninh mạng mỗi ngày. Chương trình được Công ty an ninh mạng Viettel (Viettel Cyber Security - VCS) tổ chức với mong muốn lan toả những bài học đắt giá, kinh nghiệm thực tế, xây dựng một không gian mạng an toàn.

Trước bối cảnh ransomware diễn ra mạnh mẽ, số đầu tiên của CyberWar Insider đã ra đời với chủ đề "Giải mã câu chuyện Ransomware". Trong gần 2 tiếng trò chuyện, dưới sự dẫn dắt của ông Nguyễn Xuân Nam - Giám đốc Chiến lược (VCS), gần 300 khách tham gia đã được nghe những câu chuyện thú vị được chia sẻ bởi những chuyên gia giàu kinh nghiệm xử lý sự cố về ransomware: Ông Nguyễn Công Cường - Giám đốc trung tâm Giám sát và phản ứng trên không gian mạng (VCS) và ông Trần Minh Quảng - Giám đốc Trung tâm Phân tích và Chia sẻ nguy cơ an ninh mạng (VCS).

Chuyện chưa kể trong cuộc chiến ransomware

"Mỗi khi nhận nhiệm vụ, anh em hay thường bảo nhau chuẩn bị chiến đấu, nhớ mang theo chăn", ông Nguyễn Công Cường mở đầu cuộc trò chuyện tại CyberWar Insider. Lý giải cho điều này, ông giải thích khi việc tấn công mã hoá dữ liệu tác động sâu vào hạ tầng, khó có thể can thiệp và xử lý từ xa, phải kết nối trực tiếp ngay tại phòng máy chủ với nhiệt độ thấp trong nhiều ngày liền, khiến chiếc chăn trở thành vật dụng không thể thiếu. "Đặc biệt trong 6 tháng gần đây, các cuộc tấn công mã hóa tác động tới hạ tầng tại Việt Nam tăng cả về số lượng và tần suất, gây tổn thất nặng nề hơn", ông nói.

Ông Nguyễn Công Cường chia sẻ về những vấn đề, thách thức doanh nghiệp gặp phải khi ứng phó với Ransomware

Những cuộc tấn công ransomware không chỉ làm gián đoạn dịch vụ, mà còn ảnh hưởng đến tài chính, uy tín của doanh nghiệp, khiến doanh nghiệp luôn mong muốn khôi phục lại hệ thống nhanh nhất có thể, không lường trước nguy cơ tin tặc vẫn có thể ẩn nấp đâu đó trong hệ thống và sẵn sàng tấn công lại khi có cơ hội.

Trong những đêm họp để ứng cứu sự cố, chuyên gia của VCS không ít lần phải thuyết phục doanh nghiệp đưa kiểm soát ATTT vào quá trình phục dựng hệ thống, đánh đổi bằng thời gian có thể kéo dài hơn, nhưng an toàn và bền vững. "Tôi trải lòng với họ rằng không ai mong muốn dựng hệ thống lên bao ngày đêm mà 1-2 ngày sau có thể lại bị đánh sập và phải làm lại từ đầu. May mắn doanh nghiệp đã hiểu và chấp nhận", ông Cường nói.

Những sai lầm khiến doanh nghiệp trả giá vì ransomware

Theo ông Trần Minh Quảng, xu hướng ransomware trong hai năm gần đây đã kết hợp tấn công có chủ đích APT. Kẻ tấn công sẵn sàng nằm vùng trong thời gian dài từ 6 tháng đến một năm để nắm dữ liệu quan trọng. Đây vừa là thách thức nhưng cũng là cơ hội khi tổ chức có thể phát hiện sớm các dấu hiệu. "Việc thiếu các công cụ giám sát hay không có các cuộc ‘tầm soát’ định kỳ đã khiến doanh nghiệp bỏ lỡ cơ hội ngăn chặn sớm", ông Quảng nói.

Ông Nguyễn Công Cường (trái) và ông Trần Minh Quảng (phải)

Theo ông Nguyễn Công Cường, hai vấn đề lớn mà các tổ chức gặp phải là việc quản lý các tài khoản đặc quyền và đường kết nối. Tài khoản đặc quyền giống như chìa khoá vào nhà, là con đường hacker mong muốn nhất, vì có thể gây khó khăn cho các hệ thống giám sát. Tuy nhiên, nhiều doanh nghiệp hiện đang dùng tài khoản này một cách thiếu kiểm soát, đăng nhập tại nhiều nơi cho nhiều tác vụ khác nhau, làm tăng nguy cơ lộ lọt. "100% sự cố tôi tham gia về ransomware đều đâu đó có vấn đề về câu chuyện quản lý tài khoản đặc quyền", ông nói.

Nhiều đơn vị cũng thiết lập chuẩn chỉnh về phân vùng, tường lửa, để ngăn chặn tin tặc lây lan trong hệ thống. Tuy nhiên trong quá trình vận hành, họ đã mở các kết nối giữa các phân vùng với nhau, điều này đã tạo điều kiện thuận lợi cho hacker có thể kết nối từ bất cứ đâu và xâm nhập vào hệ thống.

Phương án ứng phó cho doanh nghiệp

Nhìn thấy lợi nhuận, các nhóm tấn công sẵn sàng đầu tư để có được doanh thu cao hơn. Ransomware không còn là mã độc đơn thuần mà trở thành ngành công nghiệp ransomware (RaaS). Thống kê của Viettel Threat Intelligence cho thấy trong quý 1/2024 tỷ lệ tấn công ransomware đã tăng 70% so với cùng kỳ 2023.

Theo ông Trần Minh Quảng, doanh nghiệp vẫn có cơ hội khắc phục nếu có bản backup. Điều này đòi hỏi họ cần có quy trình sao lưu phù hợp, áp dụng mô hình 3-2-1 để giữ an toàn tối đa cho các dữ liệu này. Ngoài ra, mã hoá thường là ở giai đoạn cuối của cuộc tấn công sau thời gian dài hacker nằm vùng. Yếu tố quan trọng nhất là khả năng phát hiện sớm các rủi ro để tìm cách ngăn chặn. Phương án lý tưởng là giám sát 24/7 hoặc muộn nhất là 3-6 tháng/lần với tình hình hiện nay.

Ông Nguyễn Xuân Nam đề xuất doanh nghiệp cần thực hiện quản lý truy cập đặc quyền nghiêm túc

Từ thực tế các vụ tấn công gần đây, ông Nguyễn Xuân Nam đề xuất doanh nghiệp cần thực hiện quản lý việc lưu trữ tài khoản đặc quyền chặt chẽ. "Các giải pháp quản lý truy cập đặc quyền (PAM) hiện đã được nhiều doanh nghiệp sử dụng và mang lại hiệu quả lớn", ông Nam chia sẻ, hé lộ VCS đang triển khai tích hợp PAM vào hệ sinh thái sản phẩm dịch vụ ATTT, có thể giúp doanh nghiệp thực hiện việc quản trị tài khoản đặc quyền nghiêm túc và hiệu quả, chặn đứng nguy cơ xâm nhập từ bên ngoài vào hệ thống.