FBI cảnh báo khẩn cấp cho người dùng Gmail trước mã độc ransomware

Mã độc tống tiền ransomware là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. 

Ransomware đại diện cho một trong những mối đe dọa nguy hiểm nhất, đã phát triển thành một vũ khí mạng mạnh mẽ. Những phát triển mới trong công nghệ cùng với lợi nhuận cao mà kẻ tấn công nhận được từ ransomware đã góp phần vào việc làm cho chúng trở nên phức tạp và phổ biến hơn. 

Theo đó Cục Điều tra Liên bang Mỹ (FBI) đã khuyến nghị người dùng Gmail, Outlook và VPN cần thực hiện các biện pháp cần thiết để giảm thiểu rủi ro, đồng thời kêu gọi người dùng nhanh chóng hành động nhằm bảo vệ các hệ thống quan trọng trước loại mã độc này.

Hoạt động từ tháng 6/2021, Medusa được coi là một trong những nhóm ransomware nguy hiểm lớn nhất đối với cá nhân và doanh nghiệp thông qua hình thức ransomware-as-a-service (RaaS), với 300 nạn nhân đã được ghi nhận. Nhóm này sử dụng các kỹ thuật xã hội và khai thác lỗ hổng phần mềm chưa được vá để xâm nhập vào hệ thống.

Chuyên gia an ninh Tim Morris từ Tanium nhấn mạnh rằng, phương pháp của Medusa rất tinh vi, với khả năng "khai thác, kiên trì, di chuyển ngang và che giấu", điều này khiến việc xây dựng một kế hoạch bảo mật toàn diện trở nên vô cùng quan trọng.

Trong khi đó, CEO Jon Miller của Halcyon cho biết Medusa là một nhóm có chiến lược cao, thường nhắm đến các tổ chức cơ sở hạ tầng quan trọng vì họ không thể chịu đựng thời gian ngừng hoạt động.

Cuộc điều tra gần đây nhất vào tháng 2/2025 của FBI đối với hoạt động của Medusa cung cấp cái nhìn sâu sắc về cách thức hoạt động của nhóm này. FBI đã thu thập thông tin về chiến thuật, kỹ thuật và quy trình của Medusa trước khi công bố trong khuyến cáo an ninh mạng mang mã số AA25-071A vào ngày 12/3 vừa qua.

FBI đã đưa ra các biện pháp khẩn cấp để đối phó với mối đe dọa từ Medusa. Cơ quan này khuyến nghị người dùng nên kích hoạt xác thực hai yếu tố (2FA) cho tất cả các dịch vụ, đặc biệt là Gmail, Outlook và VPN. FBI nhấn mạnh việc này cần được thực hiện ngay lập tức để bảo vệ dữ liệu.

Ngoài ra, FBI cũng đưa ra một số mẹo quan trọng khác mà người dùng nên áp dụng để giữ an toàn, bao gồm: Sử dụng mật khẩu dài và mạnh cho tất cả các tài khoản. Lưu trữ nhiều bản sao lưu dữ liệu quan trọng ở nhiều vị trí an toàn khác nhau.

Luôn cập nhật hệ thống, phần mềm và chương trình cơ sở (firmware). Sử dụng các công cụ theo dõi mạng để phát hiện hoạt động lạ. Giới hạn quyền quản trị và thường xuyên kiểm tra các tài khoản này. Tắt các công cụ dòng lệnh và tập lệnh không cần thiết. Đóng các cổng mạng không sử dụng để giảm nguy cơ bị tấn công.

Tuy nhiên, một số chuyên gia cho rằng FBI đã bỏ qua một điểm quan trọng trong các biện pháp phòng chống: Đào tạo, bởi hầu hết các cuộc tấn công ransomware xảy ra do lỗi của con người. Dạy mọi người cách phát hiện rủi ro cũng quan trọng như học cách tránh lừa đảo, có thể tạo ra sự khác biệt lớn.

Ngoài ra cần yêu cầu nhiều yếu tố xác minh để truy cập vào hệ thống, giúp giảm thiểu rủi ro vi phạm tài khoản ngay cả khi mật khẩu bị đánh cắp. Sử dụng phần mềm diệt virus để nhận diện và ngăn chặn ransomware dựa trên cơ sở dữ liệu cập nhật thường xuyên. Chỉ cho phép các chương trình tin cậy chạy trên hệ thống.

Cài đặt tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS) để giám sát và kiểm tra lưu lượng mạng, phát hiện và ngăn chặn xâm nhập từ các máy chủ độc hại. Phân đoạn mạng nhằm giới hạn sự lây lan của ransomware bằng cách phân đoạn mạng, tạo ra các khu vực độc lập cho các hệ thống quan trọng. Nên sử dụng công nghệ VPN và Zero Trust Network Access (ZTNA) để truy cập an toàn vào mạng từ xa.

Nên sao lưu định kỳ để đảm bảo sao lưu dữ liệu thường xuyên để có thể khôi phục thông tin quan trọng sau khi bị tấn công. Thường xuyên kiểm tra tính khả thi của sao lưu và đảm bảo tổ chức có thể nhanh chóng khôi phục hoạt động sau khi bị tấn công. Thường xuyên cập nhật về các nguy cơ bảo mật như cách nhận diện email lừa đảo và duyệt web an toàn. Thiết lập quy trình rõ ràng để báo cáo và phản ứng kịp thời khi phát hiện các mối đe dọa. Tham gia vào các trung tâm chia sẻ thông tin các mối nguy cơ như ISACs để cập nhật các mối đe dọa mới nhất.

Chủ động tìm kiếm các dấu hiệu của ransomware trong môi trường tổ chức để ngăn chặn các cuộc tấn công trước khi chúng xảy ra. Sử dụng công nghệ đánh lừa để tạo ra các môi trường bẫy, thu hút kẻ tấn công và thu thập thông tin về cách thức hoạt động của chúng.

An Dương (T/h)