Doanh nghiêp Việt Nam cần làm gì để đối phó với các cuộc tấn công mạng bằng ransomware

Mã độc tống tiền ransomware

Trong thời đại kỹ thuật số hiện nay, dữ liệu được coi là một trong những tài sản quý giá nhất của doanh nghiệp. Và khi công nghệ ngày càng tiến bộ, các tổ chức càng cần chú ý hơn rằng các loại hình tấn công ransomware nhắm vào dữ liệu doanh nghiệp đang phát triển phức tạp và đa dạng, phát sinh nhiều nguy cơ hơn.

Virus và Ransomware đều là phần mềm độc hại (hay còn gọi là mã độc, tiếng Anh là ‘malware’). Virus là thuật ngữ chỉ những malware có khả năng phát tán và lây lan cực kỳ nhanh, tới mức không thể kiểm soát nổi. Trong khi đó, Ransomware là những phần mềm được thiết kế với mục đích “tống tiền nạn nhân”. Thông thường, để phát tán ransomware, kẻ xấu cần sử dụng các phương thức lừa đảo phishing để dụ người dùng “cắn câu”. Do 2 đặc tính khác nhau kể trên, chỉ một số rất ít phần mềm độc hại được xét vào loại virus ransomware. Thuật ngữ virus ransomware được sử dụng để chỉ những phần mềm tống tiền có tốc độ lây lan “đặc biệt khủng khiếp”. Nổi bật trong đó là virus ransomware có tên WannaCry.

Máy tính người dùng thường bị nhiễm ransomware chỉ ngay sau một thao tác nhỏ mà chính họ cũng không để ý. Hacker tạo cho những file chứa mã độc tống tiền một vẻ ngoài vô hại, giống như một file word, excel hay PDF. Tuy nhiên, thực tế thì đây lại là các file thực thi mã (.exe). Một khi người dùng click vào chúng, các file này sẽ ngay lập tức chạy ngầm trên nền máy tính. Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakware. Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.

Theo nghiên cứu mới được công bố gần đây, 3/4 các tổ chức đã phát hiện các cuộc tấn công ransomware nhắm đến tổ chức của mình. Ảnh minh họa

Ông Nguyễn Gia Đức, Giám đốc quốc gia Fortinet Việt Nam cho biết, theo nghiên cứu mới được công bố gần đây của Fortinet - Công ty cung cấp dịch vụ bảo mật mạng lớn tại Mỹ, 3/4 các tổ chức đã phát hiện các cuộc tấn công ransomware nhắm đến tổ chức của mình, và một nửa trong số đó đã thành nạn nhân của hackers. Các cuộc tấn công ransomware có nhiều hình thức, nhưng có thể được phân loại thành 5 loại chính: Crypto Ransomware hoặc Encryptors: Loại malware này mã hóa các tệp và dữ liệu trong hệ thống, làm cho nội dung bị nhiễm không thể truy cập được nếu không có khóa giải mã; Lockers: Tương tự như encryptors, nhưng loại hình này khóa người dùng hoàn toàn ra khỏi hệ thống.

Scareware: Một phần mềm giả mạo thông báo phát hiện virus hoặc sự cố và yêu cầu người dùng trả tiền để giải quyết vấn đề. Một số biến thể sẽ khóa người dùng khỏi các chức năng khác của hệ thống, trong khi một số biến thể khác sẽ tràn ngập màn hình với các cảnh báo pop-up bật lên liên tục nhưng không gây thiệt hại.

Doxware/Leakware: Mã độc này đe dọa phổ biến thông tin nhạy cảm hoặc tệp công ty trên mạng và buộc người dùng phải trả phí để ngăn dữ liệu bị công khai; Dịch vụ cung cấp mã độc tống tiền (RaaS): Loại malware này được thực hiện và quản lý bởi các tin tặc chuyên nghiệp, thường do một cá nhân trả tiền để thực hiện tất cả các khâu trong cuộc tấn công, từ phân phối đến nhận tiền và khôi phục quyền truy cập.

Các cuộc tấn công ransomware không phân biệt đối tượng và nhắm vào bất kỳ ai có kết nối internet, cho dù đó là cá nhân, doanh nghiệp hay bất kỳ thực thể nào. Mọi cá nhân và tổ chức cần đảm bảo hệ thống kết nối của họ là tin cậy và được bảo vệ đúng cách.

Việc một doanh nghiệp bị tấn công ransomware mà không xử lý kịp thời và triệt để có thể dẫn đến những thiệt hại vô cùng nặng nề, kéo theo nhiều hệ quả như đình trệ hoạt động, sụt giảm kinh doanh, đánh mất hình ảnh và lòng tin của khách hàng…

Doanh nghiệp cần làm gì khi bị mã độc rasomware tấn công

Trong trường hợp bị mã độc ransomware tấn công, bước đầu tiên là thông báo cho đội ngũ quản lý an ninh mạng hoặc phụ trách bảo mật để yêu cầu hỗ trợ từ trung tâm điều hành bảo mật (SOC) nội bộ. Điều quan trọng nhằm giảm thiểu phạm vi ảnh hưởng và hiểu rõ vấn đề trước khi ứng phó. Các tổ chức nên yêu cầu nhân viên tuân theo các quy định pháp lý hoặc thông báo nội bộ để đảm bảo quy trình giải quyết hậu quả tấn công được nhanh chóng và chuẩn mực nhất.

Ông Nguyễn Gia Đức chia sẻ, một trong những thiếu sót phổ biến mà các tổ chức thường gặp phải là không bảo vệ đầy đủ cho hệ thống của mình trong bối cảnh bề mặt tấn công ngày càng mở rộng như hiện nay. Điều này có thể tạo ra những điểm yếu cho hacker dễ dàng khai thác, đặc biệt là khi các tổ chức, doanh nghiệp áp dụng phổ biến phương thức làm việc từ xa.

Các tổ chức cần đảm bảo những biện pháp bảo mật thích hợp phải được triển khai và tích hợp vào một nền tảng an ninh mạng nhằm duy trì khả năng theo dõi liên tục giúp nhanh chóng ứng phó và giảm thiểu, khắc phục hậu quả khi bị tấn công.

Các biện pháp giúp phòng tránh bị tấn công ransomware gồm: Trang bị cho toàn bộ hệ thống các giải pháp phát hiện và bảo vệ an ninh mạng mới nhất, chẳng hạn như công nghệ phát hiện và phản ứng điểm cuối (EDR) tiên tiến. Đào tạo nhân viên về xu hướng của các mối đe dọa qua đó giúp họ phòng tránh và kịp thời báo cáo hoạt động đáng ngờ.

Liên tục cập nhật và vá lỗi hệ thống, giới hạn truy cập mạng và thường xuyên sao lưu dữ liệu. Tập huấn cách triển khai kế hoạch khắc phục hậu quả trong trường hợp bị tấn công và thường xuyên kiểm tra nhằm đảm bảo kế hoạch là cập nhật và hiệu quả.

Khánh Mai (t/h)