Thời gian gần đây, một số cơ quan và doanh nghiệp Việt Nam đã bị nhiễm mã độc tống tiền (ransomware), thiệt hại không nhỏ về tài chính. Các chuyên gia bảo mật nhận định mã độc tống tiền sẽ tiếp tục là xu hướng tấn công chính trong những năm tới.
Để giúp nâng cao nhận thức của người dùng cũng như giảm thiểu thiệt hại do mã độc tống tiền gây ra đối với cơ quan, doanh nghiệp, ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng quốc gia - đã chia sẻ cách thức và cơ chế lây lan của các loại mã độc tống tiền.
Cụ thể, mã độc tống tiền thường lây lan theo 8 bước gồm:
1. Dò tìm
Hacker sẽ dò tìm các lỗ hổng trên mục tiêu mà nó nhắm đến, có thể là lỗ hổng của một website, của máy chủ email hoặc lỗ hổng phần mềm trên máy tính quản trị hệ thống... Một số trường hợp hacker là người phát hiện ra lỗ hổng đầu tiên (thuật ngữ gọi là lỗ hổng zero day - chưa được ai biết tới).
2. Xâm nhập
Sau khi phát hiện ra lỗ hổng, hacker sẽ xâm nhập hệ thống qua lỗ hổng này, tìm cách chiếm quyền điều khiển máy chủ hoặc máy tính quản trị hệ thống. Quá trình này diễn ra rất nhanh, thường chỉ trong vài phút.
3. Nằm vùng
Khi xâm nhập vào máy tính, hacker thường sẽ nằm vùng trong đó một thời gian để tìm hiểu xem dữ liệu quan trọng để ở đâu, hệ thống quản trị người dùng thế nào, nghiệp vụ của cơ quan tổ chức. Hacker sẽ nắm quyền quản trị ngầm toàn bộ hệ thống. Thời điểm nằm vùng của hacker thường từ 3-6 tháng, đủ để tinh thông hệ thống và xác định rõ mục tiêu cần tấn công.
4. Mã hóa dữ liệu
Bước tiếp theo của hacker là mã hóa toàn bộ dữ liệu. Trong một số trường hợp, hacker sẽ lấy cắp dữ liệu trước khi mã hóa để đảm bảo nạn nhân phải trả tiền.
5. Dọn dẹp
Hacker sẽ xóa toàn bộ các log truy cập để che dấu vết.
6. Đòi tiền
Hacker gửi thông điệp trên màn hình máy tính rằng mình đã mã hóa hết dữ liệu, người dùng cần trả tiền chuộc để phục hồi hệ thống. Một số trường hợp hacker đe dọa phát tán dữ liệu trên mạng nếu nạn nhân không trả tiền.
Thông thường, hacker sẽ để bộ giải mã trong một chiếc "hộp" đặt đâu đó trong máy tính. Sở dĩ chúng làm như vậy là bởi sẽ rất khó nhớ các bộ giải mã của từng hệ thống khi tấn công nhiều hệ thống máy tính khác nhau.
Khi nạn nhân trả tiền chuộc, hacker sẽ cung cấp mật khẩu mở hộp để giải mã. Cũng không loại trừ trường hợp sau khi nhận được tiền, hacker không cung cấp bộ giải mã.
7. Rửa tiền
Hacker sẽ chọn hình thức thanh toán bằng tiền mã hóa (thường là Bitcoin) để che dấu hành vi phạm tội. Tiền mã hóa sẽ khiến các nhà điều tra khó tìm ra dấu vết do tính năng phi tập trung của nó.
8. Lặp lại
Sau khi nhận được tiền chuộc, nếu lỗ hổng chưa được vá, hacker có thể lặp lại cuộc tấn công vào hệ thống này, hoặc với lỗ hổng mới trên hệ thống của nạn nhân. Chúng cũng có thể mở rộng sang các mục tiêu khác.
Cần làm gì khi bị mã hóa dữ liệu?
Khi một cơ quan, doanh nghiệp bị dính mã độc tống tiền, tốt nhất nên tuân thủ quy trình xử lý sự cố đã đề ra từ trước đó. Chuyên gia Vũ Ngọc Sơn khuyến cáo các doanh nghiệp nên làm theo 4 bước sau đây:
1. Cấp cứu
Cách ly ngay hệ thống bị tấn công; Liên hệ ngay với Trung tâm An ninh mạng quốc gia và các bên liên quan. Đánh giá khả năng sử dụng các dữ liệu đã sao lưu. Thông báo cho các bên bị ảnh hưởng. Đưa ra kế hoạch để xử lý.
2. Rà soát
Rà soát tìm lỗ hổng, điểm yếu trên hệ thống. Dựng phân vùng mạng sạch, có hệ thống giám sát tiêu chuẩn. Rà soát kỹ từng máy chủ, xong máy nào đưa vào vùng sạch máy đó. Bổ sung các giải pháp phòng thủ nếu có điều kiện...Ban hành quy định về an ninh mạng để đối phó sự cố tương tự có thể xảy ra.
3. Phục hồi
Đưa từng dịch vụ thành phần vào hoạt động trở lại; Tuân thủ nghiêm ngặt các quy trình an ninh mạng đã đặt ra. Tăng cường giám sát 24/7.
4. Rút kinh nghiệm
Đầu tư nâng cấp các thành phần còn thiếu để đảm bảo an ninh, trong đó đặc biệt chú ý hệ thống sao lưu và giám sát. Đào tạo, phổ biến kỹ năng an ninh mạng cho quản trị, người dùng. Rà soát, xây dựng lại toàn bộ quá trình vận hành.
Ngoài 4 bước trên đây, chuyên gia Vũ Ngọc Sơn đặc biệt nhấn mạnh vào việc giám sát hệ thống 24/7, giống như khám sức khỏe định kỳ ở người. Ông Sơn khuyến cáo mỗi năm rà soát hệ thống ít nhất một lần. Việc rà soát phải được tiến hành cẩn thận, không nên làm kiểu đối phó. Nếu rà soát kỹ, có xác suất phát hiện được mã độc nằm vùng.
