I – Tình hình hiện tại về vấn đề bảo mật và tấn công mã hóa dữ liệu tống tiền (ransomware)
Trong khoảng 2 tháng trở lại đây Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phát hiện xu hướng tấn công mạng, đặc biệt là mã hóa tấn công tống tiền (ransomware) tăng cao. Do đó, Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp trên toàn quốc rà soát và triển khai đảm bảo an toàn cho các hệ thống thông tin.
Từ tháng 02/2024, một số hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp tại Việt Nam bị sự cố tấn công bằng mã độc tống tiền, gây gián đoạn hoạt động và thiệt hại về vật chất, hình ảnh của các cơ quan, tổ chức, doanh nghiệp, cũng như hoạt động bảo đảm an toàn không gian mạng quốc gia.
Điển hình như vào ngày 24/03/2024, Công ty Chứng khoán VNDirect, Bảo hiểm PTI… tại Việt Nam đã trở thành điểm nóng mới nhất trên bản đồ của các cuộc tấn công ransomware quốc tế. Vụ tấn công này không phải trường hợp cá biệt.
Hay như 00h ngày 02/04/2024 Tổng công ty Dầu Việt Nam - CTCP (PVOIL) cũng bị tấn công có chủ đích theo hình thức mã hóa dữ liệu (ransomware).
Do đó, Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp rà soát và triển khai bảo đảm an toàn thông tin mạng cho các hệ thống thông tin thuộc phạm vi quản lý.
- Link tham khảo:
+ https://dantri.com.vn/suc-manh-so/pvoil-he-thong-bi-tan-cong-ma-hoa-du-lieu-20240402164118270.htm
1- Vậy Ransomware là gì?
Mã độc tống tiền (ransomware) là loại mã độc vô cùng nguy hiểm, nó thực hiện mã hóa các dữ liệu cá nhân hoặc khóa quyền truy cập thiết bị của người dùng, bao gồm cả máy chủ vật lý (Server),máy chủ ảo (VPS),máy tính và các thiết bị di động và yêu cầu một khoản tiền chuộc nhất định để mở khóa dữ liệu trả lại quyền truy cập thiết bị hoặc dữ liệu (không phải 100% lúc nào người dùng cũng lấy lại được dữ liệu khi thanh toán theo yêu cầu của kẻ tấn công). Nếu không đáp ứng được yêu cầu về tiền hoặc thời gian thì dữ liệu có thể sẽ bị kẻ tấn công xóa đi hoặc thậm chí hỏng cả thiết bị đang bị tấn công. Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bằng tiền điện tử hoặc chuyển khoản. Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng tiền điện tử vì tính bảo mật cao, ẩn danh và khó truy lùng dấu vết.
2- Quá trình tấn công và lây lan của Ransomware là gì?
- Lây nhiễm: Sau khi được gửi đến hệ thống qua email và các tệp tin lừa đảo, Ransomware sẽ tự cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng của người dùng mà nó có thể truy cập.
- Tạo khóa mã hóa: Vai trò của việc tạo mã hóa trên Ransomware là gì? Bằng cách này, nó sẽ chiếm được quyền kiểm soát và được điều khiển bởi các hacker để tạo ra các khóa được sử dụng trên hệ thống cục bộ.
- Mã hóa: Lúc này, Ransomware sẽ tiến hành mã hóa cho mọi dữ liệu nó có thể tìm thấy trên các máy cục bộ và mạng.
- Yêu cầu tiền chuộc: Với công việc mã hóa được thực hiện, Ransomware sẽ hiển thị các hướng dẫn về tống tiền và thanh toán tiền chuộc cũng như đe dọa hủy dữ liệu nếu thanh toán không được thực hiện đúng hạn.
- Mở khóa: Đến đây, để có thể được trả lại quyền truy cập các tệp bị ảnh hưởng, nạn nhân phải trả tiền chuộc mà hacker mong muốn để được họ mở khóa. Hay cách tốt hơn, người dùng có thể tự phục hồi bằng cách xóa các tệp và hệ thống bị nhiễm Ransomware và tiến hành khôi phục dữ liệu từ các bản sao lưu sạch.
3- Các biến thể phổ biến của Ransomware
Trong thế giới đầy rẫy mối đe dọa của ransomware, một số biến thể nổi bật vì sự phức tạp, khả năng lan truyền mạnh mẽ, và tác động nghiêm trọng đến các tổ chức trên toàn cầu. Dưới đây là mô tả về 7 biến thể phổ biến và cách thức hoạt động của chúng.
- LockBit: LockBit là một biến thể ransomware phổ biến, hoạt động dưới mô hình Ransomware-as-a-Service (RaaS), và nổi tiếng với các cuộc tấn công vào doanh nghiệp và tổ chức chính phủ. LockBit thực hiện các cuộc tấn công của mình qua ba giai đoạn chính: khai thác lỗ hổng, xâm nhập sâu vào hệ thống, và triển khai payload mã hóa.
- REvil (còn được gọi là Sodinokibi)
Đặc điểm: REvil là một biến thể của Ransomware-as-a-Service (RaaS), cho phép các tội phạm mạng "thuê" nó để thực hiện các cuộc tấn công của riêng mình. Điều này làm tăng đáng kể khả năng lan truyền và số lượng nạn nhân của ransomware này.
Phương thức lan truyền: Phân phối thông qua các lỗ hổng bảo mật, email lừa đảo, và các công cụ tấn công từ xa. REvil cũng sử dụng các phương pháp tấn công để tự động mã hóa hoặc đánh cắp dữ liệu.
- Ryuk:
Đặc điểm: Ryuk chủ yếu nhắm vào các tổ chức lớn để tối đa hóa tiền chuộc. Nó có khả năng tự tùy chỉnh cho mỗi cuộc tấn công, giúp nó trở nên khó phát hiện và loại bỏ.
Phương thức lan truyền: Thông qua email lừa đảo và mạng lưới đã bị nhiễm bởi malware khác, như Trickbot và Emotet, Ryuk lan truyền và mã hóa dữ liệu mạng.
- Robinhood:
Đặc điểm: Robinhood được biết đến với khả năng tấn công vào các hệ thống chính phủ và tổ chức lớn, sử dụng một chiến thuật mã hóa tinh vi để khóa các file và yêu cầu tiền chuộc lớn.
Phương thức lan truyền: Phát tán qua các chiến dịch phishing cũng như khai thác các lỗ hổng bảo mật trong phần mềm.
- DoppelPaymer:
Đặc điểm: DoppelPaymer là một biến thể ransomware độc lập với khả năng gây ra thiệt hại nghiêm trọng bằng cách mã hóa dữ liệu và đe dọa sẽ công bố thông tin nếu không nhận được tiền chuộc.
Phương thức lan truyền: Lan truyền thông qua các công cụ tấn công từ xa và email lừa đảo, đặc biệt là nhắm vào các lỗ hổng trong phần mềm không được vá.
- SNAKE (còn gọi là EKANS)
Đặc điểm: SNAKE được thiết kế để tấn công các hệ thống kiểm soát công nghiệp (ICS). Nó không chỉ mã hóa dữ liệu mà còn có thể gây rối loạn các quy trình công nghiệp.
Phương thức lan truyền: Qua các chiến dịch lừa đảo và khai thác lỗ hổng, nhấn mạnh vào việc nhắm mục tiêu vào các hệ thống công nghiệp cụ thể.
- Phobos
Đặc điểm: Phobos có nhiều điểm tương đồng với Dharma, một biến thể ransomware khác, và thường được sử dụng để tấn công các doanh nghiệp nhỏ thông qua RDP (Remote Desktop Protocol).
Phương thức lan truyền: Chủ yếu qua RDP bị lộ hoặc yếu kém, cho phép kẻ tấn công truy cập từ xa và triển khai ransomware.
I I – Khuyến cáo và biện pháp phòng tránh
Để phòng chống Ransomware cải tiến tinh vi hơn hàng ngày trên Internet, người dùng nên thực hiện một số khuyến nghị sau theo quan điểm ‘phòng hơn chống’
1- Rà soát, kiểm tra lại các hệ thống máy chủ vật lý (Server), máy chủ ảo (VPS)… đảm bảo cập nhật các bản vá đầy đủ và thường xuyên cập nhật hệ điều hành (OS)
2- Đặt mật khẩu mạnh với độ bảo mật cao ít nhất 8 ký tự cả chữ hoa, thường, số và ký tự đặc biệt gồm tối thiểu 3 trong 4 loại ký tự sau: Chữ cái viết hoa (A-Z); chữ cái viết thường (a-z); chữ số (0-9); các ký tự đặc biệt như (~!@#$;) và nên thay đổi mật khẩu sau mỗi 30, 60 hoặc 90 ngày
3- Luôn luôn bật tường lửa (Firewall), CSF (ConfigServer Security & Firewall) và cài đặt các phần mềm chống/scan virus ví dụ như Kaspersky, Bkav, Imunify…
4- Chỉ mở các port cần dùng. Ví dụ như port connect MSSQL 1433, port mysql 3306 có thể đóng lại nếu không sử dụng. Port remote deskop (Máy chủ Windows) mặc định là 3389 nên đổi sang Port khác, port ssh (Máy chủ Linux) mặc định là 22 cũng nên đổi sang port khác và chỉ allow cho phép 1 số IP có quyền ssh/remote vào hệ thống máy chủ hoặc có thể sử dụng SSH Key để kết nối tới máy chủ Linux…
5- Nên thực hiện nâng cấp phiên bản source code, cập nhật các bản vá lỗi cho website/phần mềm ứng dụng đang chạy trên máy chủ
6- Nên chủ động backup dữ liệu thường xuyên, Có thể download file backup về local (máy tính cá nhân) để dự phòng
7- Không mở file lạ, không nhấp vào liên kết (link) không rõ nguồn hay email/tin nhắn lạ
8- Sử dụng chế độ "Thông báo qua email" mỗi khi đăng nhập để phát hiện bất kỳ hoạt động đăng nhập bất thường nào và nên bật xác thực 2 yếu tố 2FA (Nếu hỗ trợ) là phương pháp hiệu quả để tạo thêm “bức tường bảo mật” cho tài khoản của bạn.
9- Không sử dụng các mạng Wifi miễn phí, không rõ nguồn gốc. Còn nếu sử dụng thì nên dùng VPN khi remote/ssh vào máy chủ hay truy cập vào hệ thống Email Server.
10- Sử dụng phần mềm bản quyền và luôn cập nhật các bản vá bảo mật của phần mềm đó
11- Hạn chế cài các phần mềm TeamViewer/Ultraview trên máy chủ và không nên để chế độ TeamViewer/Ultraview khởi động cùng máy chủ vì khi đó ID và Password không đổi.