Ransomware là một loại phần mềm độc hại chiếm quyền kiểm soát hệ thống máy tính và ngăn chặn nạn nhân truy cập dữ liệu trên hệ thống đó. Các tệp hoặc toàn bộ hệ thống được giữ làm con tin thông qua mã hóa, cho đến khi nạn nhân trả tiền chuộc để đổi lấy khóa giải mã để có quyền truy cập vào hệ thống và dữ liệu của họ.

Mặc dù các cuộc tấn công Ransomware chỉ mới xuất hiện trong vài năm gần đây, nhưng cuộc tấn công Ransomware đầu tiên được ghi nhận đã xảy ra trước đó vào tháng 12/1989, khi một nhà sinh vật học xuất sắc phân phát đĩa mềm máy tính bị nhiễm mã độc cho những người tham dự hội nghị AIDS quốc tế. Phần mềm Ransomware được gọi là “PC Cyborg” (còn được gọi là AIDS Trojan), đòi tiền chuộc là 189 USD gửi đến một hộp thư bưu điện (P.O) ở Panama.

Các cuộc tấn công Ransomware bắt đầu nhắm mục tiêu nhỏ đến cả cá nhân và tổ chức, tuy nhiên, các cuộc tấn công này đã phát triển về mức độ tinh vi và phức tạp trong một thời gian do khả năng kiếm tiền và khả năng truy xuất nguồn gốc của chúng.

Có hai kiểu tấn công ransomware chính đang được sử dụng phổ biến hiện nay. Đó là Crypto ransomware và Locker Ransomware.

Trong kiểu tấn công Crypto Ransomware, kẻ tấn công mã hóa các tệp trên hệ thống máy tính. Và trong Locker Ransomware, kẻ tấn công mã hóa hệ thống máy tính chứ không phải mã hóa các tệp riêng lẻ và từ chối nạn nhân truy cập vào toàn bộ hệ thống.

Trong những năm gần đây, các nhóm tội phạm có tổ chức đã bắt đầu kiếm tiền bằng cách cung cấp Ransomware-as-a-Service (RaaS – Mã độc tống tiền như một dịch vụ) cho bọn tội phạm mạng có kỹ năng xâm nhập thấp. Họ đã phát triển một mô hình kinh doanh phức tạp bằng cách chia sẻ khoản tiền chuộc. Các bộ công cụ RaaS có thể được tìm thấy trên dark web(tầng web sâu của Internet) và có thể bao gồm các ưu đãi đi kèm, đánh giá của người dùng và hỗ trợ 24/7 cho các nhóm tội phạm khai thác ransomware.

Xu hướng hiện tại và tác động đến các tổ chức, doanh nghiệp

Một cuộc tấn công Ransomware lớn trên toàn thế giới đã diễn ra vào năm 2017 với sự bùng phát của mã độc WannaCry, và bắt đầu một cơn sốt Ransomware trong giới tội phạm, vì thủ phạm hiểu rằng có thể thực hiện các cuộc tấn công Ransomware quy mô lớn cho mục đích kiếm tiền.

Các cuộc tấn công đang phát triển với tốc độ nhanh chóng kể từ đó. Tổng số cuộc tấn công trong nửa đầu năm 2022 đã vượt qua tổng số cuộc tấn công của cả năm 2021, nhưng bao nhiêu trong số này đang được báo cáo?

Báo cáo của BlackFog’s The State of Ransomware năm 2022 đo lường các cuộc tấn công được tiết lộ công khai trên toàn cầu. Công ty này đã xuất bản các báo cáo hàng năm từ năm 2020, trong khi các xu hướng hàng tháng được nắm bắt cho báo cáo năm 2022. Các phát hiện của báo cáo liên quan đến xu hướng ngày càng tăng về số lượng các ca nhiễm mã độc hàng tháng trong cả ba năm.

Cơ quan An ninh mạng của Liên minh Châu Âu (ENISA) báo cáo rằng, hầu hết các cuộc tấn công đều không được báo cáo và trong nhiều trường hợp có tới 94,2%, không thể xác nhận được tiền chuộc có được trả hay không. Nhiều khả năng các tổ chức đang trả hàng triệu USD tiền chuộc để lấy lại dữ liệu của họ mà không bao giờ nói về nó để tránh sự giám sát của công chúng và tổn hại danh tiếng thông qua những tin xấu từ báo chí.

Đó không phải là khía cạnh duy nhất của Ransomware đang được báo cáo ít ỏi làm cho việc theo dõi sự cố trở nên khó khăn hoặc nhiều nạn nhân chỉ không báo cáo rằng họ là nạn nhân của một cuộc tấn công ransomware bởi vì họ "thích đối phó với vấn đề trong nội bộ và tránh dư luận xấu”.

Một số công ty đang tiến xa hơn khi thuê các nhà đàm phán ransomware để thương lượng thỏa thuận với thủ phạm và tạo điều kiện thuận lợi cho các khoản thanh toán bằng tiền điện tử.

Trong một số tình huống xấu nhất, các công ty đã buộc phải phá sản mà họ không thể phục hồi hoàn toàn sau một cuộc tấn công bất kể có trả tiền chuộc hay không.

Những điều trên dẫn đến việc thiếu dữ liệu đáng tin cậy để vẽ nên một bức tranh chân thực về tình trạng các cuộc tấn công ransomware.

Các chuyên gia an ninh mạng không khuyến khích các tổ chức trả tiền chuộc vì không có gì đảm bảo rằng có thể khôi phục và hoạt động bình thường trở lại. Trả tiền chuộc sẽ chỉ khuyến khích thủ phạm nhắm mục tiêu đến nhiều tổ chức hơn và sử dụng tiền để thúc đẩy các hoạt động bất hợp pháp khác.

Vào tháng 3/2022, Tổng thống Hoa Kỳ Biden đã ký thành lập Đạo luật báo cáo sự cố mạng cho cơ sở hạ tầng nghiêm trọng năm 2022 (CIRCIA), yêu cầu Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) phát triển và thực hiện các quy định yêu cầu báo cáo sự cố mạng và thanh toán ransomware cho CISA. Các báo cáo này sẽ cho phép CISA triển khai nhanh chóng các nguồn lực và hỗ trợ các nạn nhân bị tấn công, phân tích sâu các báo cáo trên các lĩnh vực để phát hiện xu hướng và nhanh chóng chia sẻ thông tin để cảnh báo các nạn nhân tiềm năng khác.

Phục hồi sau các cuộc tấn công Ransomware rất khó khăn và tốn kém

Cơ quan điều hành dịch vụ y tế (HSE), hệ thống chăm sóc sức khỏe cộng đồng của Ireland đã phải hứng chịu một cuộc tấn công ransomware vào năm 2021. HSE ước tính tổng chi phí hơn 100 triệu euro để khôi phục hoạt động mạng, nâng cấp hệ thống CNTT và sự gián đoạn gây ra cho bệnh nhân vì sự cố này. HSE đã xuất bản một đánh giá sự cố bài đăng độc lập do PwC(PricewaterhouseCoopers) thực hiện.

Vấn đề chỉ là ‘khi nào' chứ không phải ‘nếu’ bạn sẽ bị tấn công. Do đó, các tổ chức cần thực hiện các bước phòng bị trước để ngăn chặn hoàn toàn các cuộc tấn công ransomware.

Dưới đây là những gì tổ chức có thể thực hiện để cải thiện tình hình an ninh mạng

Triển khai làm cứng thông tin xác thực(Implement Credentials Hardening) – Bật xác thực đa yếu tố (MFA) cho tất cả người dùng truy cập từ xa vào hệ thống, thực thi mật khẩu mạnh và duy nhất, kích hoạt các giải pháp quản lý mật khẩu, kích hoạt tính năng khóa tài khoản và ngăn lộ thông tin xác thực trong hệ thống, tệp cấu hình và nhật ký.

Thực hiện và tuân thủ các Nguyên tắc An toàn theo Thiết kế, chẳng hạn như bảo vệ theo chiều sâu, nguyên tắc ít đặc quyền nhất, phân đoạn mạng (chia ra thành nhiều vùng mạng) để giữ thiệt hại ở mức tối thiểu thông qua giảm bán kính khi cuộc tấn công xảy ra và ngăn chặn sự gia tăng đối với các hệ thống khác; giống như trong quân sự chia làm nhiều cứ điểm để giảm thiệt hại tối thiểu nhất.

Phát triển Chương trình Quản lý Lỗ hổng - Xây dựng các chính sách và tiêu chuẩn quản lý lỗ hổng, thực hiện quét lỗ hổng thường xuyên ở cấp cơ sở hạ tầng và ứng dụng, triển khai hệ thống quản lý bản vá tập trung và ưu tiên quản lý bản vá cho các hệ thống và lỗ hổng quan trọng.

Thực hiện Bảo vệ Mạng và Điểm cuối (phía người dùng) - Cài đặt phần mềm chống vi-rút và cập nhật thường xuyên để cơ sở dữ liệu của phần mềm phát hiện mã độc mới, cài đặt tường lửa phía cổng ra internet, và dựng hệ thống phát hiện xâm nhập (IDS), ngăn chặn xâm nhập (IPS). Đảm bảo rằng các giao diện quản lý không bị lộ ra ngoài Internet.

Bật tính năng Giám sát và ghi nhật ký tập trung - Tạo hệ thống cảnh báo và quản lý nhật ký tập trung, chẳng hạn như SIEM(Security information and event management - Bảo mật thông tin và quản lý dữ kiện nhật ký). Ở cấp độ nâng cao, chúng ta cũng có thể xem xét triển khai hệ thống SOAR (Security Orchestration, Automation and Response - Điều phối bảo mật, Tự động hóa và Phản hồi) để tự động hóa các hoạt động vận hành bảo mật.

Xây dựng quy trình sao lưu và phục hồi - Thực hiện sao lưu thường xuyên và thường xuyên. Cùng với các bản sao lưu trực tuyến, hãy giữ các bản sao lưu ngoại tuyến ở một vị trí ngoại tuyến riêng biệt. Điều này sẽ giúp khôi phục trong trường hợp các bản sao lưu trực tuyến cũng được mã hóa thông qua một cuộc tấn công Ransomware.

Đào tạo nâng cao nhận thức cho người dùng - Đầu tư vào giáo dục người dùng để ngăn chặn các cuộc tấn công lừa đảo, đây thường là một trong những phương pháp chính để ngăn ngừa sự phát tán của phần mềm độc hại. Đảm bảo rằng nhân viên biết cách báo cáo hoạt động lừa đảo và đáng ngờ.

Một số mẹo nhỏ để bảo vệ chống lại cuộc tấn công của ransomware

1. Sử dụng phần mềm diệt virus mọi lúc

2. Giữ cho máy tính luôn cập nhật những bản vá mới nhất

3. Chặn truy cập các địa chỉ IP, tên trang web của ransomware

4. Chỉ cho phép các ứng dụng (apps) đã được ủy quyền

5. Hạn chế các cá nhân sử dụng các thiết bị riêng ở công ty

6. Sử dụng đúng, chuẩn những tài khoản đã được đăng ký

7. Tránh sử dụng các ứng dụng cá nhân

8. Đề phòng với những nguồn không xác định

Cho dù là một tổ chức lớn hay một doanh nghiệp vừa và nhỏ, không ai có thể miễn nhiễm với các cuộc tấn công Ransomware. Cách bảo vệ tốt nhất là thực hiện các cơ chế bảo vệ được đề ra ở trên, cùng với một kế hoạch ứng phó sự cố và quản lý khủng hoảng đã được suy nghĩ và thử nghiệm kỹ lưỡng.

Các kế hoạch phải được thử thách và kiểm tra thường xuyên để đảm bảo những kế hoạch này vẫn hiệu quả trong tình huống ransomware thảm khốc xảy ra. Đảm bảo rằng những điều này có thể hỗ trợ các hoạt động kinh doanh quan trọng trong thời gian dài bằng cách tuân theo các quy trình vận hành ngoài vùng bị tấn công, trong khi vẫn đang tiến hành khôi phục.