Tấn công mạng để tống tiền
Qua giám sát, thu thập, phân tích, cảnh báo, ông Phạm Thái Sơn, Phó Giám đốc Trung tâm giám sát an toàn không gian mạng quốc gia (Bộ Thông tin và Truyền thông) cho hay, trong quý I/2024, ghi nhận có hơn 150 triệu cảnh báo về các nguy cơ bảo mật. Sau khi phân tích và phát hiện, có hơn 300.000 nguy cơ tấn công mạng nhắm vào các hệ thống thông tin trên toàn quốc. Nhiều hệ thống thông tin của nhiều cơ quan, tổ chức, doanh nghiệp hiện là đích nhắm đến của nhiều nhóm tin tặc.
Về tấn công ransomware, vừa qua có 2 tổ chức lớn bị tấn công là VNDirect và PVOIL. “Tấn công ransomware không phải là mới nhưng vụ việc trên được nhắc tới do liên quan tới quyền lợi của nhiều người dùng và phải công khai tới dư luận. Có những vụ, các đơn vị “âm thầm chịu đựng” và xử lý cũng âm thầm như xoá đi cài lại hệ thống. Có đơn vị may mắn hơn còn sao lưu dữ liệu lấy ra dùng lại”, ông Phạm Thái Sơn cho biết.
Ông Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia (Bộ Công an) cho biết: "Thời gian qua, có đơn vị tại Việt Nam đã phải trả tiền chuộc để khôi phục dữ liệu hệ thống sau khi bị mã hóa tống tiền. Chúng tôi đã khuyến cáo việc này sẽ tạo ra tiền lệ và có thể dẫn tới các cuộc tấn công khác. Trên thực tế vừa qua đã có cuộc tấn công như vậy".
Theo ghi nhận từ Trung tâm an ninh mạng quốc gia, các vụ tấn công mạng ngày càng tăng, thiệt hại ngày càng lớn. “Cách đây 2-3 năm, tin tặc lấy đi 4 - 50 tỷ đồng là rất lớn, nhưng năm nay có những vụ thiệt hại lên tới 200 tỷ đồng, lấy đi luôn lợi nhuận của một tổ chức”, ông Lê Xuân Thuỷ nhận xét.
Liệt kê các vụ tấn công mạng cho thấy, tháng 11/2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12/2023, một đơn vị trong ngành tài chính ngân hàng, tin tặc đã nằm vùng rất lâu, gây thiệt hại gần 200 tỷ đồng. Tháng 3/2024, một đơn vị trung gian thanh toán, VNDirect, PVOIl, hai nhà cung cấp dịch vụ viễn thông bị tấn công mã hoá dữ liệu (ransomware). Tần suất ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu, mục đích đòi tiền chuộc.
Theo ông Lê Xuân Thuỷ, Việt Nam đã tham gia sáng kiến chống ransomware thế giới cùng hơn 50 nước, trong đó đưa ra các giải pháp cũng như chính sách vận động không trả tiền, vì khi trả tiền sẽ có thể kích thích các nhóm tấn công mạng.
"Nếu chúng ta kiên cường sẽ làm giảm động lực của tin tặc. Ngược lại, việc doanh nghiệp chấp nhận yêu cầu của kẻ tấn công sẽ trở thành tiền lệ nguy hiểm cho chính doanh nghiệp đó và các đơn vị khác. Còn tại Việt Nam chưa có quy định cụ thể về vấn đề này, nên trả tiền chuộc để có khoá mở dữ liệu hiện là lựa chọn của doanh nghiệp", ông Lê Xuân Thủy cho biết.
Phương án trả tiền chuộc được cho là có nhiều rủi ra. "Có nhiều trường hợp trả tiền rồi nhưng không lấy được khóa, hoặc khóa không thể giải toàn bộ dữ liệu. Nếu không bịt đường vào sẽ còn bị tấn công lần nữa", ông Lê Xuân Thuỷ khuyến cáo.
Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia cho rằng: Trả tiền chuộc tạo nên những tiền lệ nguy hiểm. Sau đó, hacker sẽ có thể lặp lại cuộc tấn công với các nạn nhân khác hoặc chính nạn nhân đó khi đã lấy được tiền. “Một lần hacker lấy được tiền tức là nạn nhân có tiền. Hacker có thể quay lại với danh nghĩa nhóm này hay nhóm khác. Đây là các cuộc tấn công kiểu triệt hạ, vừa mất dữ liệu vừa mất tiền, thậm chí trở thành mục tiêu cho các đối tượng tấn công khác”, ông Vũ Ngọc Sơn nhận định.
Phân tích các bước tấn công, ông Vũ Ngọc Sơn, đối với một cuộc tấn công mã hóa dữ liệu của hacker gồm 8 bước bắt đầu từ công đoạn dò tìm, xâm nhập, nằm vùng, chạy công cụ mã hóa dữ liệu, dọn dẹp, đòi tiền chuộc, rửa tiền (hacker sẽ chọn hình thức thanh toán bằng tiền số để che dấu hành vi phạm tội).
“Dựa vào các bước như trên, thông thường, trước khi công khai đòi tiền chuộc, các nhóm đối tượng đã nằm vùng trong hệ thống từ trước đó ít nhất 6 tháng để tìm hiểu quy trình hoạt động của “con mồi”. Đôi khi đối tượng còn am hiểu hệ thống còn hơn cả những quản trị viên”, ông Vũ Ngọc Sơn cho biết.
Lấy ví dụ về việc "nằm vùng", ông Lê Xuân Thủy cho biết, năm ngoái, một ngân hàng tại Việt Nam đã thiệt hại lớn vì mã độc ẩn sâu trong hệ thống. Mã độc âm thầm thu thập dữ liệu khách hàng, hiểu rõ cấu trúc dữ liệu. Nhóm hacker thâm chí còn sàng lọc một số khách hàng có nhiều tiền trong hơn triệu tài khoản. Hacker sau đó tiến hành giao dịch bằng cách vào tài khoản của nạn nhân, đổi số điện thoại đăng ký sang số khác và cài smart banking lên thiết bị mới để làm thử nghiệm chuyển tiền của một số khách hàng. Sau khi hoàn tất chuyển tiền, hacker lại vào hệ thống đổi về số điện thoại cũ. Lúc đó có bằng chứng về tấn công tài khoản, hacker mới ra tay đòi tiền chuộc.
Ông Lê Xuân Thủy cho biết, đang tồn tại một thị trường chuyên rao bán, cung cấp mã độc và lỗ hổng bảo mật. Nhờ đó, các nhóm tấn công không cần quá giỏi vẫn có thể có được quyền sử dụng, truy cập mã độc để phục vụ mục đích bất chính.
Đồng quan điểm, theo ông Vũ Ngọc Sơn, trên thị trường "chợ đen", có những nhóm chuyên đi xâm nhập hệ thống rồi bán lại quyền khai thác cho nhóm khác. Thậm chí, những người phát hiện lỗ hổng bảo mật cũng có hai lựa chọn: Bán lại cho nhà phát triển hệ thống để nhận tiền thưởng, hoặc bán trên chợ đen với mức giá cao hơn. Tuy nhiên, hiện nay, 90% nạn nhân các vụ tấn công mã hóa dữ liệu trên thế giới lựa chọn phương án không trả tiền cho hacker.
Cứu dữ liệu bằng cách nào?
Khi một hệ thống đã bị mã hóa dữ liệu, chỉ có 2 cách để "cứu" dữ liệu là trả tiền chuộc cho hacker và sử dụng các dữ liệu đã được sao lưu dự phòng trước đó để khôi phục. Hiện nay chưa có cách nào để bẻ khóa thuật toán của hacker để tự mở dữ liệu.
Ông Lê Xuân Thuỷ khẳng định, việc “phá khoá” dữ liệu khi bị tấn công gần như không thể được. Do đó, phương án phòng ngừa sao lưu dữ liệu là hướng được nhiều đơn vị lựa chọn.
Đồng quan điểm này, ông Phạm Thái Sơn cho rằng, sao lưu dữ liệu là phương án tốt nhất để phòng ngừa tấn công mã hóa dữ liệu, nhưng phải đúng cách. Khi có bản sao lưu tốt, doanh nghiệp có thể dễ dàng khôi phục hoạt động mà không phải trả tiền chuộc.
Theo đó, các đơn vị phải chuẩn bị phương án phục hồi như sao lưu backup dữ liệu thường xuyên. Việc sao lưu này do doanh nghiệp chủ động lựa chọn chiến lược phù hợp với điều kiện, khả năng, ít nhất với dữ liệu quan trọng nên theo chiến thuật 3+2+1 (tức là sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản offline). Cùng với đó các tổ chức doanh nghiệp cần phải có biện pháp giám sát liên tục…
Các chuyên gia khuyến cáo khi bị tấn công phải báo cáo các cơ quan chức năng liên quan đển xử lý. Bên cạnh tìm cách khôi phục lại hệ thống, cần phải bảo vệ chứng cứ, xác minh điều tra yếu tố bên trong và bên ngoài, làm rõ trách nhiệm và có biện pháp răn đe để tránh xảy ra chuyện tương tự với cơ quan khác.
Ông Lê Xuân Thủy dẫn chứng, trong một số trường hợp như một đơn vị trong lĩnh vực năng lượng ở TP Hồ Chí Minh, sau khi phối hợp với cơ quan chức năng của Mỹ triệt phá được vào hạ tầng của nhóm ransomware, thu được key giải mã mà không cần trả tiền chuộc. Tuy nhiên, theo chuyên gia này, không phải đơn vị nào cũng may mắn như vậy.
Việc rà soát, đảm bảo an toàn hệ thống cần được làm thường xuyên để vá những lỗ hổng. “Hoạt động này cũng giống như đi khám sức khoẻ định kỳ của con người để chủ động phòng tránh. Từ thực tế giám sát định kỳ vừa qua, đơn vị đã phát hiện và xử lý nhiều trường hợp lỗi hệ thống và sai quy trình từ nhân viên sử dụng. Với tình hình tấn công mạng như hiện nay, chi phí phòng ngừa sẽ thấp hơn chi phí khắc phục xử lý sự cố”, ông Vũ Ngọc Sơn cho biết.