Ngành y tế trở thành mục tiêu tấn công mạng hàng đầu năm 2025

Tin tặc lợi dụng nền tảng đáng tin cậy để phát tán mã độc

Ngành y tế đang trở thành “miếng mồi béo bở” cho các cuộc tấn công mạng tinh vi trong năm 2025. Theo các phát hiện mới nhất từ nhóm nghiên cứu an ninh mạng Netskope, các nhóm tin tặc đang thay đổi chiến thuật, tận dụng các nền tảng đám mây phổ biến và đáng tin cậy để phát tán phần mềm độc hại, đặc biệt là nhắm vào cơ sở hạ tầng số hóa và các quy trình dựa trên điện toán đám mây trong lĩnh vực chăm sóc sức khỏe.

Đáng chú ý, GitHub - nền tảng được cộng đồng phát triển phần mềm toàn cầu tín nhiệm đã bất ngờ trở thành kênh phân phối mã độc hàng đầu nhắm đến các tổ chức y tế, với khoảng 13% cơ sở trong ngành ghi nhận có hoạt động tải phần mềm độc hại từ nền tảng này mỗi tháng.

Điều này đánh dấu một bước ngoặt đáng lo ngại trong phương pháp tấn công, khi các đối tượng xấu tận dụng chính sự tin tưởng lâu nay vào GitHub như một công cụ phát triển hợp pháp. “Chúng tôi nhận thấy các tin tặc tạo ra các kho lưu trữ (repository) có tên và giao diện bắt chước phần mềm y tế chính thống, thậm chí sử dụng thuật ngữ chuyên ngành y để tăng tính thuyết phục,” TS Elena Kaprov - nhà nghiên cứu bảo mật hàng đầu tại Netskope Threat Labs cảnh báo.

Những kho mã độc này khi được tải về sẽ thực hiện các hành vi xâm nhập hệ thống như tạo tác vụ theo lịch hoặc thay đổi registry nhằm duy trì sự hiện diện trái phép trong mạng nội bộ bệnh viện. Lệnh tải xuống trông như hoạt động hợp pháp, nhưng thực tế chứa đoạn mã độc tinh vi.

Ngoài GitHub, tin tặc cũng khai thác các nền tảng lưu trữ đám mây quen thuộc như Microsoft OneDrive, Amazon S3 và Google Drive những công cụ được sử dụng rộng rãi trong môi trường làm việc, do đó ít bị phần mềm bảo mật cảnh báo khi có tệp lạ được tải về.

81% vi phạm dữ liệu liên quan đến thông tin bệnh nhân

Tác động từ các cuộc tấn công này là rất nghiêm trọng. Netskope cho biết, 81% các vụ vi phạm chính sách dữ liệu tại các tổ chức y tế có liên quan đến dữ liệu bệnh nhân - loại thông tin được bảo vệ nghiêm ngặt theo các quy định như HIPAA (Mỹ) và các đạo luật tương tự trên thế giới.

Hệ quả không chỉ là mất mát dữ liệu mà còn kéo theo những rủi ro pháp lý và ảnh hưởng lớn đến uy tín tổ chức. Đặc biệt, khi mã độc đã xâm nhập được qua các lỗ hổng ít bị để ý chẳng hạn như lập trình viên hoặc nhân viên IT tìm kiếm kho mã nguồn y tế trên GitHub rồi dùng lệnh clone để tải về một kho mã chứa mã độc.

Từ đó, mã độc được thực thi thông qua các đoạn script PowerShell tưởng như vô hại, nhưng thực chất lại kích hoạt chuỗi tấn công nhằm thu thập thông tin hệ thống, dữ liệu bệnh nhân và gửi về máy chủ điều khiển. Điểm đáng lo ngại là phương pháp này gần như không gây báo động trong các hệ thống bảo mật truyền thống, bởi các thao tác đều sử dụng công cụ chính thống và truy cập vào tên miền trông có vẻ hợp pháp.

Đại diện Netskope cho rằng, tin tặc đang hiểu rất rõ luồng công việc, quy trình vận hành và điểm mù trong hệ thống bảo mật ngành y tế, từ đó thiết kế các chiến dịch tấn công chính xác và hiệu quả cao hơn.

Trước tình hình trên, giới chuyên gia an ninh mạng khuyến nghị các tổ chức y tế cần tăng cường chính sách kiểm duyệt mã nguồn nghiêm ngặt, đặc biệt đối với các kho mã tải từ bên ngoài. Một số giải pháp hiệu quả khác gồm:

Một, áp dụng công nghệ cô lập trình duyệt từ xa (Remote Browser Isolation - RBI): đảm bảo mã độc không thể trực tiếp ảnh hưởng tới hệ thống khi người dùng truy cập các liên kết hoặc kho mã khả nghi.

Hai, đào tạo nhân viên IT và phát triển phần mềm nhận biết các chiến thuật giả mạo repository trên GitHub.

Ba, giám sát lưu lượng truy cập đám mây để phát hiện sớm hành vi bất thường.

Bốn, triển khai công cụ kiểm tra mã độc ngay trong pipeline phát triển phần mềm (DevSecOps) để phát hiện sớm và ngăn chặn mã nguy hiểm trước khi đi vào môi trường thật.

Các cuộc tấn công vào lĩnh vực y tế không chỉ gây gián đoạn hoạt động, mà còn đe dọa nghiêm trọng đến quyền riêng tư và tính mạng bệnh nhân. Trong thời đại mà công nghệ đám mây và AI đang ngày càng gắn bó mật thiết với y tế, bảo mật mạng không còn là lựa chọn mà là yêu cầu sống còn.

Duy Trinh (theo Cyber Security News)