Mã độc mã hóa dữ liệu tống tiền - ransomware không phải là một nguy cơ bảo mật mới tại Việt Nam song đã liên tục phát triển cả số lượng cũng như mức độ nguy hại, tinh vi.Trao đổi tại Hội thảo “Nhận diện kịp thời các mối đe dọa bảo mật tiềm ẩn bên trong hệ thống thông tin quan trọng” được tổ chức mới đây, ông Phạm Hoàng Linh, Giám đốc khối sản phẩm lưu trữ khu vực phía Bắc của HPE Việt Nam cho hay, phần lớn các cuộc tấn công mạng ngày nay xuất phát từ mục tiêu tài chính, để đòi tiền chuộc từ doanh nghiệp.
Nhấn mạnh đây là thị trường rất lớn và đủ hấp dẫn để các tổ chức tội phạm tham gia, vị chuyên gia đến từ HPE Việt Nam thông tin: Theo một thống kê, thiệt hại do tấn công mạng có thể lên tới 265 tỷ USD vào năm 2031 và cứ mỗi 2 giây sẽ diễn ra một cuộc tấn công mạng vào hệ thống công nghệ của doanh nghiệp. Thống kê cũng cho thấy, trung bình cứ mỗi cuộc tấn công mã hóa dữ liệu đòi tiền chuộc gây thiệt hại khoảng 1,85 triệu USD để doanh nghiệp có thể khôi phục.
Tuy nhiên, ông Phạm Hoàng Linh cũng chỉ ra rằng, thiệt hại vật chất kể trên chỉ là phần nổi của tảng băng, còn phần chìm khiến doanh nghiệp bị tổn thất nhiều hơn cả chính là việc bị gián đoạn hoạt động do tấn công mạng: “Trung bình 1 doanh nghiệp bị tấn công mạng thì thời gian gián đoạn, dừng nghiệp vụ kinh doanh lên tới 21 ngày. Đây là thiệt hại rất đau đớn với doanh nghiệp bị tấn công”.
Ông Phạm Hoàng Linh phân tích, nhiều doanh nghiệp bị tấn công ransomware gây mất dữ liệu, không thể khôi phục được. Và thiệt hại này lớn hơn rất nhiều so với mất mát về vật chất.
Quy trình tấn công mạng cơ bản của hacker là tìm cách thâm nhập vào hệ thống mạng của doanh nghiệp bằng cách gửi email và chiếm quyền kiểm soát của người dùng ở cấp thấp, sau đó nâng cấp dần lên và tấn công vào tài khoản người dùng có quyền hạn lớn hơn trong hệ thống. Tiếp đó, đối tượng tấn công cài các phần mềm chứa mã độc, từ đó mã hóa dữ liệu và đòi tiền chuộc.
“Gần đây đối tượng tấn công mạng còn xâm nhập, nằm vùng rất lâu trong hệ thống. Họ tìm kiếm các dữ liệu quan trọng của doanh nghiệp. Không chỉ mã hóa dữ liệu, đối tượng tấn công còn xóa bỏ các bản ghi backup, bản ghi sao lưu dữ liệu, sau đó mới đòi tiền chuộc của doanh nghiệp”, ông Phạm Hoàng Linh chia sẻ thêm.
Đại diện HPE Việt Nam cũng thông tin thêm về 2 tình huống phổ biến khi doanh nghiệp phát hiện ra vụ tấn công, trong đó nhiều doanh nghiệp đã chấp nhận trả tiền chuộc cho hacker để lấy lại dữ liệu. Lựa chọn thứ hai là khôi phục lại dữ liệu từ bản ghi trước khi bị mã hóa, và quá trình này có thể kéo dài tới 180 ngày. “Việc mất dữ liệu trong 180 ngày gây ảnh hưởng rất lớn đến hoạt động của doanh nghiệp. Vì thế, các doanh nghiệp cần có giải pháp bảo vệ dữ liệu, phát hiện sớm tấn công nhằm giảm thiểu thiệt hại”, chuyên gia HPE Việt Nam nêu quan điểm.
Các chuyên gia bảo mật tại Việt Nam, từ hồi cuối năm ngoái, cũng đã dự báo rằng, nguồn lợi tài chính hấp dẫn sẽ khiến ransomware tiếp tục nở rộ trong năm 2023 và các năm tới. Các chuyên gia Fortinet, Bkav, NCS đều cho rằng ransomware vẫn là mối nguy lớn của các đơn vị, tuy nhiên có xu hướng chuyển dịch nhắm vào các hệ thống máy chủ - nơi lưu trữ dữ liệu quan trọng của cơ quan, tổ chức, doanh nghiệp.
Đề cập đến ransomware, chuyên gia hãng bảo mật toàn cầu Fortinet còn cảnh báo về sự thay đổi chiến lược của tội phạm tấn công các tổ chức, doanh nghiệp bằng mã độc tống tiền: “Trước đây, tội phạm mạng có xu hướng chỉ mã hóa những dữ liệu chiếm được. Giờ đây, chúng thay đổi chiến thuật khi những người bảo vệ không gian mạng tìm được cách hóa giải mối đe dọa mã độc tống tiền bằng cách khuyến nghị các tổ chức sao lưu lại dữ liệu. Chúng xóa sạch dữ liệu, cho dù nạn nhân có trả tiền chuộc hay không”.
Để phòng chống hình thức tấn công bằng ransomware, các chuyên gia cho rằng, quản trị viên cần thiết lập mật khẩu mạnh cho các tài khoản quản trị từ xa; nếu truy cập từ xa cần sử dụng kênh truyền riêng có mã hóa; đóng các cổng dịch vụ không cần thiết, đổi mật khẩu mặc định của các tài khoản quản trị cơ sở dữ liệu. Các tổ chức, doanh nghiệp cũng cần xây dựng hệ thống sao lưu dữ liệu thường xuyên và trang bị phần mềm diệt virus có tính năng ngăn chặn ransomware để được bảo vệ thường trực.