Mã độc tống tiền (Ransomware) là một dạng phần mềm độc hại ngày càng phát triển. Chúng được thiết kế để mã hóa các tệp tin trên bất kỳ thiết bị nào bị lây nhiễm khiến cho mọi hoạt động tương tác với các file này bị gián đoạn.
Tấn công Ransomware ngày càng trở nên phổ biến với nhiều biến thể nguy hiểm sau sự bùng phát của WannaCry năm 2017. Trong đa số các kịch bản tấn công, trước tiên, hacker có quyền truy cập vào thiết bị hoặc mạng cho phép chạy mã độc, tùy thuộc vào loại ransomware sẽ có những cách phát tán khác nhau trên hệ thống. Sau đó, thủ phạm sẽ yêu cầu một khoản tiền đổi lấy các tập file đã bị mã hóa. Lựa chọn có trả tiền chuộc hay không là một thách thức và phải được cấp hội đồng quản trị công ty quyết định. Hiểu điều gì sẽ xảy ra nếu bạn trả tiền chuộc là chìa khóa để đưa đến quyết định đó.
Điều gì sẽ xảy ra nếu doanh nghiệp trả tiền chuộc?
Theo đúng quy trình, nếu doanh nghiệp đồng ý với khoản tiền chuộc và trả tiền, kẻ tấn công sẽ cung cấp một công cụ giải mã và từ bỏ các mối đe dọa trước đó. Tuy nhiên những khoản thanh toán này không đảm bảo rằng tất cả dữ liệu của bạn sẽ được khôi phục bởi vì có thể tin tặc sẽ lấy dữ liệu của bạn rồi bỏ chạy. Do đó, cần phải xem xét kỹ lưỡng thực tế của tình huống bị ransomware tấn công có thể xảy ra:
- Thông thường, chỉ 65% dữ liệu được khôi phục, chỉ 8% các tổ chức có để khôi phục tất cả dữ liệu của họ.
- Đa số các file đã bị mã hóa không thể khôi phục. Bên cạnh đó, các phương pháp giải mã do kẻ tấn công cung cấp có thể bị lỗi hoặc không thành công, khiến các tệp bị mất vĩnh viễn. Trong trường hợp đó, nhóm bảo mật CNTT của bạn có thể cần xây dựng một công cụ giải mã mới bằng cách trích xuất chìa khóa (key) từ công cụ mà kẻ tấn công cung cấp.
- Việc khôi phục dữ liệu có thể mất nhiều tuần hoặc nhiều tháng, đặc biệt nếu một lượng lớn dữ liệu bị mã hóa thì việc giải mã có thể mất nhiều thời gian hơn. Không có gì đảm bảo rằng tin tặc sẽ xóa dữ liệu mà chúng đã đánh cắp. Thay vào đó, chúng có thể bán hoặc thậm chí tiết lộ thông tin nếu nó có giá trị. Trước khi tương tác hoặc đàm phán với những kẻ tấn công, cách tiếp cận tốt nhất là tham khảo ý kiến của cơ quan thực thi pháp luật, nhóm ứng phó sự cố ATTT chuyên nghiệp và các cơ quan quản lý.
Ransomware là một mô hình kinh doanh bền vững và sinh lợi, nó khiến mọi tổ chức sử dụng công nghệ gặp rủi ro rất lớn. Thay vì khôi phục từ các bản sao lưu, trong hầu hết các trường hợp, việc chỉ cần trả tiền chuộc sẽ là cách giải quyết dễ dàng hơn và rẻ hơn. Tuy nhiên, mặt trái của cách tiếp cận đó các tổ chức này sẽ tiếp tục trở thành miếng mồi béo bở của kẻ tấn công.
Các cơ quan thực thi pháp luật khuyên các doanh nghiệp không nên trả tiền nhằm ngăn cản loại hình hoạt động tội phạm này. Trong nhiều trường hợp, trả tiền chuộc cho tội phạm mạng sẽ là bất hợp pháp bởi nó vô tình trở thành hành vi tài trợ cho các hoạt động tội phạm.
Phòng bệnh hơn chữa bệnh, doanh nghiệp cần làm gì để ngăn ransomware đánh cắp dữ liệu quan trọng của mình?
1.Thường xuyên sao lưu dữ liệu
Thường xuyên sao lưu là cách hiệu quả nhất để khôi phục sau một cuộc tấn công ransomware.Trước tiên, cần phải thường xuyên sao lưu dữ liệu trong máy tính. Đối với lượng dữ liệu cần sao lưu lớn, ổ cứng tách rời là một lựa chọn phù hợp. Đối với lượng dữ liệu cần sao lưu dưới 50GB, bạn có thể bắt đầu với các dịch vụ lưu trữ dữ liệu trên đám mây như Dropbox, Google Drive, Mega hoặc One Drive. Nếu mỗi ngày bạn đều làm việc với các dữ liệu quan trọng thì nên thực hiện backup dữ liệu hàng ngày. Trong trường hợp máy tính bị tấn công, điều này sẽ giúp bạn không cần lo lắng về việc dữ liệu bị phá hủy.
2. Không nhấp vào các liên kết không rõ nguồn gốc
Có thể giảm thiểu nguy cơ nội dung độc hại lây nhiễm vào thiết bị của bạn bằng cách kết hợp lọc và chặn các trang web độc hại, luôn kiểm tra nội dung và sử dụng chữ ký để chặn các mã độc hại đã biết
3. Ngăn chặn phần mềm độc hại chạy trên thiết bị
Phương pháp tiếp cận ‘phòng thủ theo chiều sâu’ giả định rằng phần mềm độc hại sẽ nhắm vào thiết bị của bạn. Do đó, bạn cần trang bị kỹ năng để có thể ngăn phần mềm độc hại lây nhiễm vào máy tính. Từng thiết bị sẽ áp dụng các biện pháp khác nhau, nhưng nhìn chung, bạn sẽ cần sử dụng các tính năng bảo mật ở cùng cấp độ với thiết bị.
4. Chuẩn bị ứng phó sự cố
Một cuộc tấn công ransomware có thể phá hoại nhiều thứ, kể đến như làm ngưng trệ hệ thống vận hành và gây tổn hại đến uy tín thương hiệu. Để ngăn chặn một cuộc tấn công ransomware, bạn nên thực hiện các bước dưới đây:
4.1. Đánh giá trước mức độ rủi ro ransomware có thể gây ra cho hoạt động vận hành
4.2. Phát triển kế hoạch đảm bảo kinh doanh liên tục
4.3. Lập kế hoạch chi tiêu
4.4. Chú trọng phòng chống ransomware
Để đảm bảo an toàn thông tin doanh nghiệp trên không gian mạng, quý khách hàng có thể tham khảo các dịch vụ và giải pháp của VNCS Global tại đây:
Dịch vụ giám sát và vận hành ATTT: TẠI ĐÂY
Dịch vụ kiểm tra, đánh giá ATTT: TẠI ĐÂY
Dịch vụ phản ứng và xử lý sự cố ATTT: TẠI ĐÂY
Dịch vụ Threat Intelligence: TẠI ĐÂY
Dịch vụ giám sát nguy cơ số: TẠI ĐÂY