|
Vụ công ty chứng khoán VnDirect bị hacker tấn công bằng mã độc tống tiền trong tuần qua đã làm dấy lên hồi chuông cảnh tỉnh đối với các tổ chức và doanh nghiệp đang nắm giữ các hệ thống thông tin quan trọng.
Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), số lượng các cuộc tấn công bằng mã độc tống tiền đang gia tăng trong thời gian gần đây. Cục đã có văn bản yêu cầu các tổ chức, doanh nghiệp rà soát và triển khai bổ sung các biện pháp bảo đảm an toàn an ninh hệ thống.
Trong trường hợp của VnDirect, mã độc tống tiền không chỉ khiến hệ thống của công ty này bị gián đoạn hoạt động, mà một số công ty liên quan đến chủ sở hữu của VnDirect cũng bị tấn công mạng, bao gồm Tổng Công ty cổ phần Bảo hiểm Bưu điện (PTI), Tập đoàn Đầu tư I.P.A (IPA) và Công ty Quản lý quỹ đầu tư chứng khoán I.P.A (IPAAM).
Mã độc tống tiền là gì?
Mã độc tống tiền, hay ransomware, là một phần mềm độc hại được sinh ra với mục đích chính là tống tiền nạn nhân. Sau khi xâm nhập vào thiết bị (máy tính/điện thoại), mã độc thường mã hóa dữ liệu quan trọng, hoặc chặn các phần mềm hợp pháp để người dùng không thể sử dụng thiết bị một cách bình thường. Đôi khi, mã độc tống tiền còn tạo ra một hộp thoại che khuất màn hình gây khó khăn cho người sử dụng.
Mã độc sẽ để lại một tin nhắn ở đâu đó trên máy tính yêu cầu người dùng phải trả tiền chuộc mới có thể được giải mã dữ liệu và sử dụng thiết bị như bình thường.
Mã độc tống tiền lây nhiễm vào máy tính hoặc điện thoại như thế nào?
Mã độc tống tiền ẩn nấp trong các phần mềm, đường link, tập tin khi người dùng thực hiện các thao tác gồm:
- Sử dụng các phần mềm crack.
- Bấm vào quảng cáo.
- Truy cập vào các trang web giả mạo.
- Bấm vào các file đính kèm email.
- Tải về các phần mềm không rõ nguồn gốc.
- Sử dụng USB chứa file nhiễm mã độc .
Những thiệt hại mà mã độc tống tiền gây ra
Nhiều người lần đầu tiên biết đến sự hiện diện của mã độc tống tiền là vào ngày 12/5/2017 khi WannaCry xuất hiện. Mã độc này đã lây nhiễm vào hơn 200.000 máy tính trên 150 quốc gia, ước tính gây thiệt hại cho nền kinh tế toàn cầu khoảng 4 tỉ USD. Đây được coi là đại dịch ransomware lớn nhất trong lịch sử và ngày 12/5 sau đó đã được ấn định là "Ngày chống mã độc tống tiền" (Anti-Ransomware Day).
WannaCry ban đầu lây nhiễm vào hệ thống máy tính của hãng viễn thông Telefónica và một số công ty lớn khác ở Tây Ban Nha. Sau đó nó lây lan sang hệ thống máy chủ Dịch vụ y tế quốc gia (NHS) của Anh, Bộ Nội vụ Nga, hãng FedEx của Mỹ và các mục tiêu khác ở 99 quốc gia.
Nhóm tin tặc điều khiển WannaCry được cho là đã khai thác lỗ hổng EternalBlue, được Cơ quan An ninh quốc gia Mỹ (NSA) phát triển để tấn công máy tính chạy hệ điều hành Windows. Mặc dù bản vá đã được phát hành vào ngày 14/3/2017, song sự chậm trễ trong việc cập nhật bản vá đã làm cho nhiều người dùng và các tổ chức, doanh nghiệp bị tấn công tiếp sau đó.
Cũng trong năm 2017, một mã độc tống tiền khác là Petya cũng đã lây nhiễm rộng khắp trên toàn cầu. Trong cuộc tấn công bắt đầu vào ngày 27/6/2017, hệ thống giám sát bức xạ tại Nhà máy điện hạt nhân Chernobyl của Ukraine đã ngừng hoạt động. Một số bộ của Ukraine, ngân hàng và hệ thống tàu điện ngầm cũng bị ảnh hưởng. Mã độc sau đó đã tấn công hãng vận tải Maersk Line, công ty dược phẩm Mỹ Merck & Co., Công ty dầu khí Nga Rosneft, Công ty luật đa quốc gia DLA Piper...
Đặc biệt, Petya không chỉ mã hóa file, nó còn phá hủy ổ cứng của nạn nhân đến mức không thể khôi phục được dù cho có trả tiền chuộc hay không.
Hệ thống máy tính của nhiều công ty lớn trên thế giới cũng từng "dính" mã độc tống tiền. Có thể kể đến công ty Garmin (bị lây nhiễm vào năm 2020), hãng máy tính Acer (năm 2021), hãng sản xuất chip Nvidia (năm 2022) hay tập đoàn khách sạn nghỉ dưỡng MGM Resorts (năm 2023).
Các công ty lớn khi bị nhiễm ransomware sẽ mất nhiều thời gian để khắc phục do lượng dữ liệu lớn. Quá trình khắc phục đã được các chuyên gia của Pure Storage thống kê mức trung bình là 24 ngày. Các doanh nghiệp bị thiệt hại nghiêm trọng bởi quá trình hoạt động bị gián đoạn và tốn nhiều chi phí để khắc phục các lỗ hổng bảo mật cũng như thay thế các hệ thống bị mã hóa dữ liệu.
Làm thế nào để phòng chống mã độc tống tiền?
Đối với các cơ quan, doanh nghiệp, để không trở thành nạn nhân của mã độc tống tiền, người lãnh đạo doanh nghiệp cần chú ý đến 5 yếu tố sau đây:
1. Đào tạo nhân viên
Đây chính là "lá chắn" đầu tiên và quan trọng nhất của doanh nghiệp đối với mã độc, bởi chính nhân viên là kẽ hở lớn nhất để mã độc có thể xâm nhập vào hệ thống máy tính của công ty.
Trong báo cáo tổng kết tình hình an ninh mạng Việt Nam năm 2023, Công ty Công nghệ An ninh mạng quốc gia Việt Nam đã chỉ ra 3 điểm yếu khiến các hệ thống thông tin bị tấn công nhiều nhất. Theo đó, điểm yếu lớn nhất là con người chiếm tới 32,6% vụ việc (trên tổng số 13.900 vụ tấn công mạng vào các cơ quan, tổ chức).
Điều quan trọng là phải đào tạo định kỳ và nâng cao kiến thức bảo mật cho mỗi nhân viên để họ không vô tình click vào các đường link lạ hoặc các file đính kèm, hoặc có hành động vô tình mở ra cánh cửa cho mã độc xâm nhập vào hệ thống.
2. Xây dựng đội chuyên trách về bảo mật của công ty
Một đội ngũ bảo mật mạnh, liên tục cập nhật kiến thức sẽ là nền tảng cho sự vững vàng của hệ thống công nghệ thông tin. Chính đội ngũ này cũng sẽ giúp đào tạo cho nhân viên của công ty về những kỹ năng bảo vệ máy tính tránh sự xâm nhập của mã độc và hacker.
Theo chuyên gia bảo mật Nguyễn Minh Hiếu (Hiếu PC), với những công ty có hệ thống thông tin lớn, có thể xây dựng 2 đội bảo mật. Một đội chuyên giả lập tấn công vào hệ thống để tìm lỗ hổng và một đội tìm cách chống lại sự xâm nhập đó. Điều này giúp công ty sớm phát hiện được lỗ hổng trong hệ thống của mình cũng như ngăn chặn rủi ro tiềm năng.
3. Cập nhật thường kỳ phần mềm và thiết bị
Các loại mã độc tống tiền cũng giống như virus, thường xâm nhập qua các lỗ hổng chưa được vá trong hệ thống. Vì thế, đội ngũ bảo mật của cơ quan, doanh nghiệp cần thường xuyên cập nhật các bản vá lỗi cũng như thay thế thiết bị mạng lỗi thời để ngăn không cho kẻ xấu xâm nhập vào hệ thống.
4. Phân cấp, phân quyền tài khoản
Cần có chính sách phân cấp, phân quyền rõ ràng để những nhân viên ít liên quan không được phép truy cập rộng rãi vào hệ thống, nhất là truy cập vào điểm cuối. Đối với các nút hệ thống quan trọng, chỉ số ít người được phép truy cập.
5. Sao lưu dữ liệu, tạo lập hệ thống dự phòng
Hệ thống cơ sở dữ liệu dự phòng là vô cùng quan trọng đối với mỗi cơ quan, doanh nghiệp. Nó phải được thiết lập để chạy song song với hệ thống chính. Khi hệ thống chính bị tấn công hoặc đánh sập, có thể nhanh chóng dùng hệ thống dự phòng để phục hồi hoạt động.
Hệ thống dự phòng này cần có cơ chế bảo mật riêng để không bị ảnh hưởng khi hệ thống chính bị tấn công. Một vài chuyên gia cho rằng, trong trường hợp của VnDirect, dường như hệ thống dữ liệu dự phòng cũng đã bị mã độc tấn công, mã hóa, khiến cho đơn vị này không thể khôi phục hoạt động trong thời gian ngắn.
