Trong thời gian qua, các tổ chức và doanh nghiệp Việt Nam đã trở thành nạn nhân của mã độc tống tiền ransomware, và mới đây nhất là Tập đoàn công nghệ CMC.
Theo đó, Trang phân tích HookPhish cho biết, hệ thống của Tập đoàn CMC tại Việt Nam đã trở thành nạn nhân của một cuộc tấn công ransomware, được thực hiện bởi nhóm tin tặc Crypto24. Nhóm này cũng tuyên bố kiểm soát khoảng 2 TB dữ liệu từ hệ thống của CMC, trong đó có nhiều thông tin liên quan đến website và khóa token..
Phía CMC xác nhận có phát hiện dấu hiện tấn công vào một dịch vụ kỹ thuật quy mô nhỏ trong hệ thống. Ngay sau đó, đơn vị đã kích hoạt quy trình ứng cứu khẩn cấp theo quy định, từ đó rút ngắn thời gian gián đoạn xuống mức tối thiểu, không gây ảnh hưởng tới người dùng.
Theo báo cáo cuối năm 2024 của Hiệp hội An ninh mạng quốc gia (NCA), có tới 46,15% cơ quan, doanh nghiệp cho biết từng bị tấn công mạng ít nhất 1 lần trong năm 2024. Trong đó 6,77% thường xuyên bị tấn công. Tổng số vụ tấn công mạng trong năm ước tính lên tới hơn 659.000 vụ. Hình thức này có thể gây thất thoát dữ liệu, làm gián đoạn dịch vụ và ảnh hưởng uy tín của các đơn vị.
Vậy ransomware là gì? Hãy cùng ASIC Cybersecurity hiểu rõ hơn về mối nguy này và cách để phòng tránh
Ransomware là gì?
Ransomware là một loại phần mềm độc hại được thiết kế nhằm mục đích tống tiền người dùng. Nó chặn quyền truy cập vào hệ thống máy tính hoặc mã hóa dữ liệu của người dùng, sau đó yêu cầu trả tiền chuộc để giải mã hoặc mở khóa. Khiến việc khôi phục dữ liệu mà không có khóa giải mã là gần như không thể.
Nó thường xâm nhập vào máy tính thông qua các tệp đính kèm email độc hại, các liên kết từ các trang web lừa đảo, hoặc lỗ hổng bảo mật trong phần mềm. Khi đã nhiễm vào một hệ thống, ransomware sẽ mã hóa các tập tin trên đó với một khóa duy nhất. Nó sẽ hiển thị một thông báo yêu cầu thanh toán một khoản tiền (thường bằng tiền ảo như Bitcoin để ẩn danh) để nhận được khóa giải mã.
Đồng thời gây ra tổn thất tài chính và ảnh hưởng đến uy tín cho cá nhân và doanh nghiệp. Trong một số trường hợp, kẻ tấn công còn đe dọa sẽ công bố dữ liệu cá nhân hoặc thông tin doanh nghiệp nếu không nhận được tiền chuộc.
Cơ chế hoạt động
Ransomware thường xâm nhập vào máy tính thông qua những hành động đơn giản. Điều đáng nói là hầu như người dùng không nhận ra đó là nguy hiểm. Loại mã độc đặc biệt nguy hiểm đối với người làm việc văn phòng. Vì các hacker thường che giấu mã độc dưới dạng các file trông có vẻ an toàn như tài liệu Word, bảng tính Excel hay PDF.
Thực chất đây lại là các file thực thi (.exe). Chỉ cần một cú click, chúng sẽ tự động hoạt động mà không cần sự cho phép của người dùng. Sau khi xâm nhập vào máy tính, nó mã hóa hoàn toàn các tập tin Word, Excel và các loại tập tin khác. Điều này khiến cho nạn nhân không thể truy cập vào các file của mình.
Các loại mã độc ransomware
Ransomware được phân loại thành ba nhóm chính dựa trên cách thức hoạt động: mã hóa, không mã hóa và Leakware.
Ransomware mã hóa (Encrypting hay Crypto): Loại này là phần mềm tống tiền phổ biến nhất. Khi xâm nhập vào máy tính, nó sẽ kết nối với server của hacker. Chúng kết nối với server của kẻ tấn công để tạo ra hai khóa. Một khóa công khai để mã hóa các file của bạn. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi bạn cố gắng mở. Còn lại là một khóa riêng dùng để giải mã. Lúc này chúng sẽ yêu cầu nạn nhân một khoản tiền chuộc để giải mã.
Ransomware không mã hóa (Non-encrypting hay Locker): Loại này không mã hóa dữ liệu nhưng lại khóa người dùng ra khỏi thiết bị của họ. Lúc này, nạn nhân chỉ có thể thực hiện các tương tác giới hạn như bật và tắt màn hình. Sau đó, trên màn hình chỉ hiển thị hướng dẫn cách thanh toán tiền chuộc. Nếu muốn lại quyền truy cập vào máy tính của chính mình, họ phải thực hiện theo những yêu cầu của kẻ tấn công.
Leakware (Doxware): Đối với những người dùng lưu trữ thông tin nhạy cảm trên máy tính, leakware sẽ đe dọa sẽ công bố dữ liệu cá nhân của họ nếu không nhận được tiền chuộc.
Ngăn chặn và bảo vệ trước ransomware
Để bảo vệ bản thân khỏi sự đe dọa của ransomware, việc bảo vệ và backup dữ liệu thường xuyên là vô cùng quan trọng. Bởi việc diệt trừ hoàn toàn các phần mềm đòi tiền chuộc này là một nhiệm vụ khó khăn. Dưới đây là một số biện pháp bạn có thể thực hiện để tăng cường bảo vệ cho dữ liệu của mình:
- Tránh kết nối với các mạng wifi công cộng không an toàn hoặc có nguồn gốc không xác định.
- Cẩn trọng không nhấn vào liên kết đáng ngờ hoặc mở email từ nguồn không tin cậy.
- Định kỳ sao chép dự phòng dữ liệu và cài đặt phần mềm diệt virus, đồng thời không quên cập nhật chúng.
- Thay đổi mật khẩu được cài đặt sẵn trên các thiết bị kết nối mạng .
- Xây dựng các tầng bảo vệ cho hệ thống mạng để tăng khả năng chống chịu.
- Phát triển một chiến lược khôi phục dữ liệu trong trường hợp dữ liệu bị mất hoặc hỏng.
Ngoài ra bạn có thể tham khảo thêm các giải pháp bảo vệ dữ liệu như Coverity, BlackDuck và Whitehat của Black Duck.
