Phải làm gì khi bị ransomware của Nga tấn công?

Hôm thứ Năm vừa qua, Lockbit, một tổ chức ransomware có liên kết với Nga, đã chiếm các tập tin thuộc về ngân hàng lớn nhất Trung Quốc, buộc ngân hàng này phải hoàn thành một số giao dịch bằng USB trong khi làm gián đoạn các giao dịch thông qua Kho bạc Hoa Kỳ.

Các tin tặc đã gây ra sự hỗn loạn trên toàn hệ thống tài chính toàn cầu, một vấn đề có thể mất hàng tuần để giải quyết. Vậy bạn sẽ làm gì khi bị tấn công bởi ransomware của Nga này?

Lockbit, với nhãn hiệu thường có màu đỏ, trắng và đen, là cơn ác mộng tồi tệ nhất của mọi nhóm CNTT tại các công ty. Khi bị ransomware này tấn công, nạn nhân sẽ thấy màn hình với nội dung: “Nhiều tài liệu, cơ sở dữ liệu, video và các file quan trọng khác của bạn không thể truy cập được nữa vì chúng đã bị mã hóa”. “Không ai có thể khôi phục các file của bạn nếu không có dịch vụ mã hóa của chúng tôi”.

Các đội ứng phó sự cố đã được cử đến để giúp Ngân hàng Công thương Trung Quốc LTD rà soát mạng lưới công ty, xem những gì có thể phục hồi được. Các nhà đàm phán về ransomware – một ngành mới và đang bùng nổ – đã giúp đánh giá liệu yêu cầu đòi tiền chuộc có thật hay không, liệu kẻ tấn công có thể hạ giá tiền chuộc và tìm hiểu xem CEO của tổ chức bị tấn công có muốn trả tiền hay không. Các nhà đàm phán có trách nhiệm cầu xin những kẻ tấn công gia hạn thời hạn mà ICBC đã được yêu cầu phải thực hiện.

Arvind Parthasarathi, người sáng lập và Giám đốc điều hành của công ty an ninh mạng Cygnvs Inc., cho biết: “Bạn đang phải đối mặt với một tình huống rất phức tạp. Thực sự đang phải có rất nhiều người đang chạy đôn chạy đáo khắp nơi để cố gắng thực hiện tất cả những điều này”.

Vài ngày hoặc thậm chí vài tuần sau cuộc tấn công đầu tiên, ransomware này có thể vẫn tiếp tục ám ảnh bạn.

Theo nguồn tin từ một nhà môi giới bảo hiểm mạng quốc tế lớn, vào đầu năm nay rằng hệ thống khách hàng của họ đã ngừng hoạt động ít nhất trong nhiều ngày, đôi khi là hàng tuần, đồng thời mất đi lượng lớn doanh thu. Trang web phụ tùng máy bay của Boeing, nơi bị ransomware Lockbit tấn công hồi đầu tháng này, vẫn ngoại tuyến một tuần sau khi công ty xác nhận vi phạm, khiến khách hàng phải gọi điện trực tiếp để đặt hàng. Phải mất nhiều tuần MGM mới có thể tiếp tục hoạt động bình thường sau khi bị tấn công bởi ransomware – vì công ty đã gỡ bỏ hệ thống của chính mình để cố gắng ngăn chặn tin tặc lây lan trên mạng. Kết quả là họ đã mất rất nhiều đơn đặt hàng vì việc khôi phục hệ thống mất quá nhiều thời gian.

Trong trường hợp của ICBC, hội đồng quản trị sẽ đánh giá mức độ nghiêm trọng và lượng thông tin quan trọng đã bị mất. Hội đồng quản trị sẽ cần vạch ra các hệ thống chính sẽ ngoại tuyến trong bao lâu, chi phí là bao nhiêu, liệu công ty có đủ khả năng chi trả hay không và trên thực tế, liệu có nên làm như vậy hay không.

Vào thời điểm đó, các luật sư sẽ làm việc cật lực để xác định xem liệu khoản thanh toán tiền chuộc có vi phạm bất kỳ quy định trừng phạt nào hay không - các chuyên gia cho biết rằng chỉ riêng việc này cũng đã tốn rất nhiều thời gian.

Ngay cả khi ICBC có bản sao lưu mạnh, Lockbit vẫn có thể gây ra nguy cơ rò rỉ dữ liệu mà nó đã đánh cắp trên trang web lên web đen nếu nạn nhân từ chối trả tiền. Những kẻ tấn công ransomware nổi tiếng với việc làm cho tình hình có vẻ nghiêm trọng hơn thực tế để khiến nạn nhân buộc phải thanh toán. Tìm hiểu xem tin tặc có quyền truy cập vào những dữ liệu gì cũng là một bước quan trọng cần thực hiện.

Như ông Parthasarathi nói, sự thật sẽ bị xóa mờ khi bạn chơi theo luật của hacker. “Điều bạn đang giả định có thể đúng - và cũng có thể không”. Điều duy nhất mà chúng ta biết chắc chắn là sẽ mất ít nhất vài tuần để tìm hiểu mức độ thiệt hại mà Lockbit đã gây ra.