Ransomware là gì? Doanh nghiệp cần chuẩn bị gì trước mối đe dọa này?

Những năm gần đây, “ransomware” đã không còn xa lạ gì đối với các doanh nghiệp Việt Nam nói chung và các nhà quản trị CNTT nói riêng. Năm 2022 có 71% tổ chức trên toàn thế giới đã trải qua ít nhất một cuộc tấn công ransomware. Tổng thiệt hại trung bình lên tới con số đáng kinh ngạc là 4.3 triệu USD. Nó cũng đánh dấu cho một thời kỳ đen tối của hình thức phạm tội này và đặt ra mức báo động cho các doanh nghiệp, tổ chức. 

Ransomware là gì?

Ransomware là một loại phần mềm độc hại (malware) mà khi bị lây nhiễm, nó mã hóa dữ liệu trên máy tính hoặc thiết bị của nạn nhân và sau đó yêu cầu một khoản tiền chuộc (ransom) để giải mã dữ liệu. Điều này có nghĩa là người sở hữu dữ liệu bị mã hóa phải trả một khoản tiền cho kẻ tấn công nếu muốn lấy lại quyền truy cập vào dữ liệu của mình.

Thường, sau khi mã hóa dữ liệu, ransomware sẽ hiển thị một thông báo yêu cầu nạn nhân trả tiền chuộc thông qua các phương tiện thanh toán điện tử như Bitcoin hoặc các loại tiền mã hóa khác. Kẻ tấn công thường đe dọa sẽ xóa dữ liệu nếu không nhận được tiền chuộc trong một khoảng thời gian nhất định.

Ransomware có thể lây nhiễm vào máy tính hoặc thiết bị thông qua các phương thức khác nhau như email lừa đảo, tải xuống từ các trang web không an toàn, hoặc sử dụng các lỗ hổng bảo mật trong hệ điều hành hoặc các ứng dụng.

Một số thông tin cho thấy sự nguy hiểm của ransomware

• Chỉ riêng năm 2022, các tổ chức trên toàn thế giới đã phát hiện 493,33 triệu cuộc tấn công bằng ransomware.
• 62% số lần xâm nhập thành công trong các cuộc tấn công ransomware là thông qua lừa đảo.
• Khoản tiền chuộc trung bình là 812.360 USD.
• 36% doanh nghiệp trả tiền chuộc trở thành nạn nhân của các cuộc tấn công ransomware lần thứ hai.
• Giáo dục, Chính phủ và Chăm sóc sức khỏe là 3 ngành được nhắm mục tiêu thường xuyên nhất năm 2022.
• 90% tất cả các tổ chức tài chính đã trải qua các cuộc tấn công bằng ransomware vào năm 2022.
• Gần một phần tư các cuộc tấn công ransomware nhắm vào các công ty dịch vụ chuyên nghiệp, đặc biệt là các công ty luật vừa và nhỏ.
• Trung bình mất 21 ngày để xác định và khắc phục cuộc tấn công của ransomware.
• Trong số 92% doanh nghiệp có kế hoạch backup bị ransomware tấn công, 31% không thể khôi phục dữ liệu của mình. 
• Năm 2023, các chuyên gia an ninh mạng đã phát hiện ra sự gia tăng chưa từng thấy về các cuộc tấn công bằng ransomware. Đồng thời, Nhà Trắng đã phân loại lại ransomware là mối đe dọa an ninh của Mỹ.
• Năm 2023, theo thông tin từ Công ty an ninh mạng Bkav, Việt Nam ghi nhận 19.000 server bị tấn công ransomware từ 130.000 IP độc hại trên toàn thế giới, tăng 35% so với năm 2022.

Cách hoạt động của ransomware

Để hoạt động, ransomware cần quyền truy cập vào hệ thống mục tiêu, mã hóa các dữ liệu ở đó và đòi tiền chuộc từ nạn nhân. Mặc dù chi tiết triển khai có thể khác nhau giữa các biến thể ransomware nhưng tất cả đều có chung ba giai đoạn chính.

1. Vector lây nhiễm và phân phối

Tương tự như bất cứ phần mềm độc hại nào khác, ransomware có thể truy cập vào hệ thống của tổ chức theo một số cách khác nhau. Tuy nhiên, phần lớn tội phạm ransomware có xu hướng dùng một số vectơ lây nhiễm cụ thể hơn.

Email độc hại

Một trong số đó là email lừa đảo. Email độc hại có thể chứa liên kết đến trang web lưu trữ tệp tải xuống độc hại hoặc tệp đính kèm có chức năng tải xuống được tích hợp sẵn. Nếu người nhận email rơi vào tình trạng lừa đảo thì phần mềm tống tiền sẽ được tải xuống và thực thi trên máy tính của họ.

Remote Desktop Protocol (RDP)

Một vectơ lây nhiễm ransomware phổ biến khác lợi dụng các dịch vụ như Giao thức máy tính từ xa (RDP). Với RDP, kẻ tấn công đã đánh cắp hoặc đoán thông tin đăng nhập của nhân viên có thể sử dụng chúng để xác thực và truy cập từ xa vào máy tính trong mạng doanh nghiệp. Với quyền truy cập này, kẻ tấn công có thể trực tiếp tải xuống phần mềm độc hại và thực thi nó trên máy dưới sự kiểm soát của chúng.

Và nhiều cách thức khác

Những kẻ khác có thể cố gắng lây nhiễm trực tiếp vào hệ thống, như cách WannaCry khai thác lỗ hổng EternalBlue. Hầu hết các biến thể của ransomware đều có nhiều vectơ lây nhiễm.

2. Mã hóa dữ liệu

Sau khi ransomware có được quyền truy cập vào hệ thống, nó có thể bắt đầu mã hóa các tệp. Vì chức năng mã hóa được tích hợp vào hệ điều hành nên việc này chỉ bao gồm việc truy cập các tệp, mã hóa chúng bằng khóa do kẻ tấn công kiểm soát và thay thế bản gốc bằng phiên bản được mã hóa.

Hầu hết các biến thể của ransomware đều thận trọng trong việc lựa chọn tệp để mã hóa nhằm đảm bảo sự ổn định của hệ thống. Một số biến thể cũng sẽ thực hiện các bước để xóa bản backup và bản sao ẩn của tệp khiến việc khôi phục mà không cần khóa giải mã trở nên khó khăn hơn.

3. Yêu cầu tiền chuộc

Sau khi quá trình mã hóa tệp hoàn tất, phần mềm tống tiền sẽ sẵn sàng đưa ra yêu cầu tiền chuộc. Các biến thể ransomware khác nhau thực hiện điều này theo nhiều cách. Tất nhiên, điểm chung là nội dung của tệp sẽ được thay đổi thành ghi chú đòi tiền chuộc.

Thông thường, những ghi chú này yêu cầu một lượng tiền điện tử nhất định để đổi lấy quyền truy cập vào tệp của nạn nhân. Nếu tiền chuộc được trả, kẻ điều hành ransomware sẽ cung cấp bản sao của khóa. Thông tin này có thể được nhập vào chương trình giải mã (cũng do tội phạm mạng cung cấp), chương trình này có thể sử dụng thông tin đó để đảo ngược mã hóa và khôi phục quyền truy cập vào tệp của người dùng.

Nhìn chung

Mặc dù ba bước cốt lõi này tồn tại trong tất cả các biến thể của ransomware, nhưng các ransomware khác nhau có thể bao gồm các bước triển khai hoặc bước bổ sung khác nhau. Ví dụ: các biến thể ransomware như Maze thực hiện quét tệp, thông tin đăng ký và đánh cắp dữ liệu trước khi mã hóa dữ liệu và ransomware WannaCry quét các thiết bị dễ bị tấn công khác để lây nhiễm và mã hóa.

Ransomware ảnh hưởng đến hoạt động doanh nghiệp như thế nào?

Nếu thành công, một cuộc tấn công ransomware có thể gây nhiều tổn thất nặng đề đối với doanh nghiệp. Dưới đây là một số ảnh hưởng chính:

Tổn thất tài chính

Quá rõ ràng, mục đích chính của các cuộc tấn công ransomware là để đòi tiền chuộc. Các công ty có thể phải chi trả rất nhiều tiền để khắc phục sự lây nhiễm, đồng thời hoạt động kinh doanh trì trệ, thua lỗ và các khoản phí pháp lý tiềm ẩn.

Mất dữ liệu

Một số cuộc tấn công bằng ransomware mã hóa dữ liệu như một phần trong nỗ lực tống tiền của chúng. Thông thường, điều này có thể dẫn đến mất dữ liệu, ngay cả khi công ty trả tiền chuộc và nhận bộ giải mã.

Vi phạm dữ liệu

Các nhóm ransomware đang ngày càng tập trung vào các cuộc tấn công tống tiền gấp đôi (double) hoặc gấp ba (tripple). Những cuộc tấn công này kết hợp hành vi trộm cắp dữ liệu và khả năng bị lộ dữ liệu cùng với mã hóa dữ liệu.

Thời gian ngừng hoạt động

Ransomware mã hóa dữ liệu quan trọng và các cuộc tấn công tripple có thể kết hợp với các cuộc tấn công DDoS. Sự kết hợp này có khả năng gây ra thời gian ngừng hoạt động cho một tổ chức.

Ảnh hưởng uy tín doanh nghiệp và hình ảnh thương hiệu

Các cuộc tấn công bằng ransomware có thể gây tổn hại đến danh tiếng của tổ chức với khách hàng và đối tác. Điều này đặc biệt đúng nếu dữ liệu khách hàng bị xâm phạm hoặc họ cũng nhận được yêu cầu đòi tiền chuộc.

Các hình phạt pháp lý và quy định

Các cuộc tấn công bằng ransomware có thể được kích hoạt do sơ suất về bảo mật và có thể bao gồm việc vi phạm dữ liệu nhạy cảm. Điều này có thể khiến công ty phải đối mặt với các vụ kiện hoặc hình phạt do cơ quan quản lý áp dụng.

Các đối tượng phổ biến của những cuộc tấn công ransomware

Hình thức tống tiền này có thể nhắm mục tiêu vào bất cứ công ty nào trong tất cả các lĩnh vực. Phần lớn nó được triển khai như một phần của chiến dịch tội phạm mạng, thường nhắm vào một ngành cụ thể. Điểm qua 5 ngành công nghiệp mục tiêu của ransomware trong năm 2023.

1. Giáo dục và nghiên cứu

Lĩnh vực Giáo dục/Nghiên cứu đã trải qua 2046 cuộc tấn công bằng ransomware vào năm 2023, giảm 12% so với năm trước.

2. Chính phủ và quân đội

Các tổ chức chính phủ và quân đội là ngành bị nhắm mục tiêu nhiều thứ hai với 1598 cuộc tấn công và giảm 4% so với năm 2022.

3. Chăm sóc sức khỏe

Chăm sóc sức khỏe đã trải qua 1500 cuộc tấn công và tăng 3%, điều này đặc biệt đáng lo ngại do dữ liệu nhạy cảm và các dịch vụ quan trọng mà nó cung cấp.

4. Truyền thông

Các tổ chức truyền thông có mức tăng trưởng 8% vào năm 2023, tổng cộng 1493 cuộc tấn công đã biết.

5. ISP/MSP

ISP và MSP – mục tiêu phổ biến của ransomware do khả năng tấn công chuỗi cung ứng. Phạm vi này đã trải qua 1286 cuộc tấn công bằng ransomware vào năm 2023, giảm 6%.

Cách bảo vệ và chống lại ransomware

Dưới đây là một số giải pháp mà doanh nghiệp của bạn có thể tham khảo.

Sử dụng các giải pháp tối ưu nhất

Phòng bệnh hơn chữa bệnh. Việc tăng phòng thủ và có sự chuẩn bị thích hợp sẽ giúp bạn giảm thiểu đáng kể chi phí và tác động xấu.

1. Đào tạo giáo dục về mạng cho nhân sự 

Ransomware thường lây lan bằng cách sử dụng email lừa đảo. Đào tạo nhân sự cách xác định và tránh các cuộc tấn công ransomware tiềm ẩn là rất quan trọng. Vì nhiều cuộc tấn công mạng hiện nay bắt đầu bằng một email được nhắm mục tiêu thậm chí không chứa phần mềm độc hại mà chỉ có một thông báo được thiết kế mang tính xã hội khuyến khích người dùng nhấp vào liên kết độc hại, nên giáo dục người dùng thường được coi là một trong những biện pháp phòng vệ quan trọng nhất.

2. Backup dữ liệu liên tục

Định nghĩa của ransomware nói rằng đây là phần mềm độc hại được thiết kế để khiến việc trả tiền chuộc là cách duy nhất để khôi phục quyền truy cập vào dữ liệu được mã hóa. Backup dữ liệu tự động, được bảo vệ cho phép tổ chức phục hồi sau một cuộc tấn công với mức độ mất dữ liệu ở mức tối thiểu và không phải trả tiền chuộc. Duy trì backup dữ liệu thường xuyên như một quy trình định kỳ là một biện pháp rất quan trọng để ngăn ngừa mất dữ liệu và có thể khôi phục dữ liệu trong trường hợp hỏng hoặc trục trặc phần cứng. Các bản backup chức năng cũng có thể giúp các tổ chức phục hồi sau các cuộc tấn công của ransomware.

KIẾN THỨC TIN TỨC

Backup & Khắc Phục Thảm Họa Là Gì? Tại Sao Nó Lại Quan Trọng Với Doanh Nghiệp?

Liệu có bao giờ bạn tự hỏi doanh nghiệp mình đã bảo vệ "tài sản" kinh doanh thật sự hiệu quả? Nếu nó xảy ra sự cố, chuyện gì sẽ [...]

11
Th9

3. Vá lỗi

Vá lỗi là một thành phần quan trọng trong việc bảo vệ khỏi các cuộc tấn công của ransomware. Tội phạm mạng thường tìm kiếm các cách khai thác mới nhất chưa được phát hiện trong các bản vá có sẵn và sau đó nhắm mục tiêu vào các hệ thống chưa được vá. Do đó, điều quan trọng là các tổ chức phải đảm bảo rằng tất cả các hệ thống đều được áp dụng các bản vá mới nhất. Điều này làm giảm số lượng lỗ hổng tiềm ẩn trong doanh nghiệp để kẻ tấn công khai thác.

4. Tăng cường bảo mật bằng các hệ thống lưu trữ dữ liệu tốt

Synology, TerraMaster, v.v là các đơn vị cung cấp giải pháp lưu trữ toàn diện cho doanh nghiệp và tổ chức các cấp. Không chỉ cung mang lại nhiều tính năng phong phú với hệ điều hành thân thiện, các thiết bị NAS/DAS của các thương hiệu này cũng đi kèm với các giải pháp backup thông minh và hỗ trợ khôi phục dữ liệu tốt hơn.

Giảm thiểu diện tích bị tấn công

Với chi phí tiềm ẩn cao của việc lây nhiễm ransomware, việc giảm thiểu diện tích bị tấn công bằng cách tập trung giải quyết các vấn đề sau: 

1. Tin nhắn lừa đảo
2. Các lỗ hỏng chưa được vá 
3. Giải pháp truy cập từ xa 
4. Phần mềm độc hại di động

Triển khai giải pháp chống ransomware

Các đặc điểm chung của một giải pháp chống ransomware tốt bao gồm:

• Phát hiện biến thể rộng
• Phát hiện nhanh
• Tự động phục hồi
• Cơ chế khôi phục không dựa trên các công cụ tích hợp thông thường (như ‘Shadow Copy’, vốn là mục tiêu của một số biến thể ransomware)

Doanh nghiệp cần phải làm gì khi phát hiện bị ransomware tấn công?

Nhiều doanh nghiệp chỉ phát hiện ra mình bị ransomware tấn công sau khi quá trình mã hóa hoàn tất và thông báo đòi tiện chuộc hiển thị trên màn hình thiết bị bị nhiễm. Tại thời điểm này, các tệp bị mã hóa có thể không thể phục hồi được nhưng cần phải thực hiện một số bước:

1. Cách ly máy

Một số biến thể của ransomware sẽ cố gắng lây lan sang các ổ đĩa được kết nối và các máy khác. Hạn chế sự lây lan của phần mềm độc hại bằng cách loại bỏ quyền truy cập vào các mục tiêu tiềm năng khác.

2. Giữ máy tính luôn bật

Mã hóa tệp có thể khiến máy tính không ổn định và việc tắt nguồn máy tính có thể dẫn đến mất bộ nhớ dễ thay đổi. Luôn bật máy tính để tối đa hóa khả năng phục hồi.

3. Tạo bản backup

Có thể giải mã tệp đối với một số biến thể của ransomware mà không phải trả tiền chuộc. Tạo một bản sao của các tệp được mã hóa trên phương tiện di động trong trường hợp có giải pháp trong tương lai hoặc nỗ lực giải mã không thành công làm hỏng tệp.

4. Kiểm tra bộ giải mã

Kiểm tra với một số đơn vị cung cấp giải pháp giải mã (chẳng hạn như No More Ransom Project) để xem họ có bộ giải mã miễn phí hay không. Nếu có, hãy chạy nó trên một bản backup của dữ liệu được mã hóa để xem liệu nó có thể khôi phục các tập tin hay không.

5. Yêu cầu trợ giúp

Máy tính đôi khi lưu trữ bản backup của các tệp được lưu trữ trên đó. Một số đội ngũ chuyên gia điều tra kỹ thuật số có thể khôi phục các bản sao này nếu chúng chưa bị phần mềm độc hại xóa. 

6. Xóa và khôi phục dữ liệu

Khôi phục máy từ bản backup sạch hoặc cài đặt hệ điều hành. Điều này đảm bảo rằng phần mềm độc hại được loại bỏ hoàn toàn khỏi thiết bị.

Sau tất cả

Việc xây dựng một giải pháp quản lý dữ liệu và backup chặt chẽ có thể giúp doanh nghiệp và tổ chức tránh khỏi những mất mát do ransomware. Chủ động tìm kiếm các giải pháp lưu trữ toàn diện không chỉ giúp doanh nghiệp hoạt động tốt, mà còn duy trì tính liên tục và bảo vệ tài sản số hiệu quả. Ngoài ransomware vẫn còn vô số mối nguy hại khác mà bạn không thể biết được. Thế nên, việc phát triển kế hoạch và xây dựng chiến lược backup là điều thật sự cần thiết.