Mã hóa đòi tiền chuộc (ransomware) đang có dấu hiệu bùng nổ trên toàn thế giới, trả tiền không còn là phương án hữu hiệu nhất

Một loạt các cuộc tấn công ransomware đã được báo cáo trong tuần vừa qua, gây ảnh hưởng nghiêm trọng đến nhiều hệ thống máy tính ở Mỹ, bao gồm các tiểu bang Georgia, New York, Tennessee và Florida. Cùng với đó là những tin tức về tình hình thiệt hại gây ra bởi ransomware trên phạm vi toàn cầu cũng đang tăng nhanh chóng mặt, khiến hình thức tấn công đòi tiền chuộc này không còn đơn giản chỉ là 1 vấn đề thuộc lĩnh vực an ninh mạng, mà còn trở thành mối nguy hại, ảnh hưởng trực tiếp đến nhiều lĩnh vực khác của đời sống.

Phần mềm độc hại mã hóa tệp đã, đang, và sẽ còn phát triển rầm rộ trong thời gian tới. Gần đây, sau khi Wannacry, GandCrab chính thức ngừng hoạt động, những cái tên nguy hiểm khác đã gần như ngay lập tức xuất hiện và thế chân, với thủ đoạn thậm chí còn tinh vi hơn, có thể kể đến như Ryuk, Sodinokibi Dharma/Phobos hay thậm chí là cả Shade… Những mã độc này không chỉ nhắm mục tiêu đến các doanh nghiệp như truyền thống, mà còn có xu hướng gây thiệt hại nhiều hơn cho các hệ thống cá nhân.

Ransomware là hình thức tấn công mã hóa dữ liệu đòi tiền chuộc

Các tác nhân đứng sau những mối đe dọa nêu trên hoàn toàn không có sự phân biệt, chọn lọc giữa các mục tiêu. Tuy nhiên số liệu thống kê từ Coveware, công ty nổi tiếng trong lĩnh vực ứng phó sự cố ransomware, cho thấy nạn nhân đến từ các khu vực công lập (thuộc quyền sở hữu của nhà nước) thường phải trả số tiền chuộc dữ liệu cao gấp 10 lần so với các công ty thuộc khu vực tư nhân. Cụ thể, mức trung bình tính cho quý 2 năm nay là 338.700 USD (chỉ tính riêng tại Hoa Kỳ).

Cùng điểm qua một số trường hợp tấn công đòi tiền chuộc đáng chú ý diễn ra gần đây tại một số tiểu bang Hoa Kỳ để nắm rõ hơn tình hình cũng như xu hướng của hình thức tấn công độc hại này.

• Shade ransomware, cơn ác mộng của 5 năm trước đang có dấu hiệu quay trở lại

Ryuk ransomware hoành hành ở tiểu bang Tennessee

Hôm 18/07 vừa qua, các quan chức Collierville, một thị trấn thuộc hạt Shelby, Tennessee, Hoa Kỳ, đã lên tiếng xác nhận rằng nhiều hệ thống máy tính của các cơ quan công lập tại thị trấn này đã bị nhiễm một chủng ransomware khó chịu.

Bộ phận quản lý IT của Collierville đã nỗ lực làm giảm thiểu tác động của mã độc, đồng thời cho cách ly một số máy chủ bị tấn công. Tuy nhiên một vài dịch vụ (giấy phép, yêu cầu hồ sơ công cộng và dịch vụ kinh doanh) đã bị ảnh hưởng nghiêm trọng.

Theo trang tin News Channel 3, vụ tấn công xảy ra vào buổi sáng và không ảnh hưởng đến các dịch vụ khẩn cấp. Quá tình điều tra đã ngay lập tức được tiến hành và theo báo cáo, chủng ransomware đứng sau vụ việc này chính là Ryuk - một cái tên vốn đã gây ám ảnh trên toàn thế giới trong vài tháng trở lại đây.

• Ryuk Ransomware được bổ sung thêm khả năng mã hóa "có chọn lọc"

Ransomware tấn công trung tâm phát thanh ở Florida

Hệ thống máy tính của đài phát thanh cộng đồng WMNF 88.5-FM tại thành phố Tampa, bang Florida đã được tăng cường an ninh ở cấp cao nhất sau vụ tấn công ransomware đáng báo động xảy ra vào giữa tháng trước.

Hệ thống máy tính của đài phát thanh cộng đồng WMNF bị lây nhiễm ransomware

Cụ thể, vụ việc diễn ra vào ngày 18 tháng 6 vừa qua và không ảnh hưởng nghiêm trọng đến bất kỳ dữ liệu nhạy cảm nào. Tuy nhiên mã độc đã tiếp cận được một hệ thống lưu trữ tài liệu âm thanh dành riêng cho mục quảng cáo, các chương trình tin tức và công việc đã được ghi lại từ trước.

Các hệ thống phát sóng chương trình trực tiếp cũng đã bị lây nhiễm mã độc, gây ra những sự cố ảnh hưởng nghiêm trọng đến lịch phát sóng của đài, đặc biệt là một số chương trình đã được lên kế hoặc từ trước (WMNF 88.5-FM sẽ phải bồi thường). Thiệt hại về mặt kinh tế là điều chắc chắn.

Báo cáo của tờ Tampa Bay Times cho biết mặc dù không sở hữu bản sao lưu đối với những dữ liệu đã bị phần mềm độc hại mã hóa, tuy nhiên phía WMNF đã quyết định không trả tiền chuộc. Nguyên nhân được cho là bởi cơ quan Thực thi Pháp luật Florida đã lên tiếng cảnh báo WMNF rằng khả năng thất thoát dữ liệu vẫn có thể xảy ra ngay cả khi họ đã trả tiền chuộc cho những kẻ tấn công.

Trong một tin tức đáng chú ý khác, vụ việc của WMNF không phải là trường hợp liên quan đến ransomware duy nhất ở Florida trong tháng 6 vừa qua. Trước đó ít lâu, những tên tội phạm mạng được cho là đã đút túi ít nhất 1 triệu đô la (bitcoin) sau khi lây nhiễm thành công mã độc vào các hệ thống máy tính ở Thành phố Lake City (đã trả 42 bitcoin) và tại Bãi biển Riviera (đã trả 65 bitcoin tiền chuộc dữ liệu).

• Sau WannaCry, mã độc "tống tiền" Petya đang hoành hành, đây là cách khắc phục, phòng ngừa

Ryuk ransomware tấn công thư viện New York

Thêm một cái tên đáng chú ý khác gia nhập vào danh sách nạn nhân của Ryuk ransomware trong năm nay. Theo đó, mã độc này đã được tìm thấy trong gần như toàn bộ hệ thống máy tính của các thư viện thuộc Quận Onondaga (OCPL), New York, vào thứ sáu tuần trước. Khiến cho hoạt động của các thư viện này tê liệt hoàn toàn.

Hệ thống máy tính của các thư viện thuộc Quận Onondaga ngừng hoạt động hoàn toàn

FBI đã nhanh chóng tham gia vào vụ việc, gửi các nhóm điều tra về công nghệ thông tin đến thu thập dữ liệu và khôi phục lại hoạt độc của phần lớn hệ thống máy tính trong các thư viện này.

Tính đến hôm qua, 21/7, phía OCPL cho biết hệ thống trực tuyến của họ đã bắt đầu trở lại hoạt động bình thường. Thành viên thư viện hiện có thể truy cập vào tài khoản OverDrive và kiểm tra các mục bằng trình duyệt web.

OCPL không tiết lộ rõ về việc họ đã trả tiền chuộc để lấy lại dữ liệu hay FBI đã làm điều đó. Tuy nhiên theo các chuyên gia, nhiều khả năng OCPL đã phải chấp nhận chi trả một số tiền khá lớn bởi kho tài liệu lưu trữ kỹ thuật số trong các thư viện này có giá trị rất cao.

Trong một động thái liên quan, Ryuk cũng chính là chủng ransomware chịu trách nhiệm về vụ tấn công vào Khu học chánh thành phố Syracuse quận Onondaga, New York tuần trước. Khiến việc học tập và giảng dạy tê liệt cục bộ.

• Cr1ptT0r Ransomware lây lan trên các thiết bị NAS D-Link, nhắm mục tiêu hệ thống nhúng

Ransomware càn quét tiểu bang Georgia

Georgia cũng mà một trong những tiểu bảng chịu thiệt hại năng nề nhất từ các cuộc tấn công mã hóa dữ liệu đòi tiền chuộc vốn đang hoành hành khắp nước Mỹ cũng như tại nhiều quốc gia khác trên toàn thế giới từ đầu năm 2019 đến nay.

Theo thông tin mới nhất từ giới chức Quận Henry, Georgia, hệ thống máy tính công của quận này đã bị mã hóa hoàn toàn. Vụ tấn công xảy ra vào sáng thứ tư (khoảng 3 hoặc 4 giờ sáng) và các hệ thống máy tính vẫn chưa thể hoạt động được tính đến chiều hôm qua, 21/7.

Mã độc đã kiến cho hệ thống mạng hành chính của Quận Henry tê liệt

Nguy hiểm hơn, đa số các hệ thống máy tính bị mã hóa đang được sử dụng trong một số lĩnh vực thiết yếu như quản lý ngân sách, chi tiêu, kế hoạch quản lý và hành chính. Như vậy, những dữ liệu bị mã hóa có giá trị khá cao và nhiều khả năng giới chức địa phương sẽ chấp nhận chi tiền chuộc trong thời gian tới.

Melissa Robinson, nhân viên thông tin công cộng Quận Henry nói với hãng tin địa phương rằng một số ban, ngành của quận này sẽ phải chuyển sang hoạt động cầm chừng, chỉ làm việc trên giấy tờ thông thường nếu tình hình hiện tại vẫn còn tiếp diễn. Người này không giải thích rõ ràng bản chất của vụ việc nhưng tuyên bố rằng FBI đã chủ động liên lạc với Quận Henry và họ sẽ tiếp quản hệ thống máy tính địa phương nếu cần thiết.

• Phát hiện ransomware mới không chỉ mã hóa tệp mà còn giúp ‘dọn dẹp’ hệ thống

Trả tiền chuộc chỉ là giải pháp tình thế

Ransomware đã, đang và sẽ còn là một mối đe dọa nghiêm trọng cho các hệ thống máy tính trên toàn thế giới. Tuy nhiên, loại mã độc này cũng có thể dễ dàng bị kìm hãm và ứng phó nếu nạn nhân sở hữu kế hoạch sao lưu dự phòng đầy đủ cho hệ thống dữ liệu của mình, và quan trọng là không chấp nhận trả tiền chuộc, bởi như chúng ta điều biết, mục đích cuối cùng của ransomware là khiến nạn nhân phải móc hầu bao. Không trả tiền chuộc dữ liệu đồng nghĩa với việc nguồn thu nhập của mã độc bị cắt đứt, kẻ tấn công sẽ không thể thu về lợi nhuận phi pháp.

Đáng nói hơn, việc trả tiền đổi lấy key giải mã dữ liệu chỉ là giải pháp tình thế trong trường hợp dữ liệu bị mã hóa quá quan trọng, hay việc hệ thống bị tê liệt gây ra thiệt hại quá lớn, chứ không thể giúp giải quyết gốc rễ vấn đề về lâu về dài. Mặt khác, trả tiền chuộc còn có thể được coi là hành động khuyến khích những kẻ tấn công tiếp tục đẩy mạnh hoạt động kiếm lời thông qua các hành vi phi pháp của mình.

• [Infographic] 7 cách hiệu quả để bảo vệ doanh nghiệp khỏi Ransomware

Chi trả tiền chuộc dữ liệu chỉ là giải pháp tình thế, không có giá trị lâu dài

Kể cả sau khi chi trả tiền chuộc dữ liệu, kịch bản chung mà nạn nhân sẽ phải chấp nhận đó là tổn thất tài chính và khoản đầu tư vào một hệ thống an ninh tốt hơn nhằm bảo vệ mình khỏi các kiểu tấn công khác trong tương lai.

Chẳng hạn như trường hợp tại Riviera Beach, Florida, Hoa Kỳ. Cuộc tấn công bằng mã độc ransomware vào hệ thống máy tính của thành phố này đã kết thúc với việc giới chức địa phương chấp nhận bỏ ra một số tiền khổng lồ, lên tới khoảng 600.000 đô la để có được các key giải mã từ tin tặc, đồng thời họ tiếp tục phải đầu tư thêm gần 1 triệu đô la vào việc củng cố hệ thống máy tính và nâng cấp trang thiết phần cứng mới để mang lại khả năng bảo mật tốt hơn trong tương lai.

Trên thực tế, hầu hết các cuộc tấn công mạng đều có thể được triển khai thành công bằng cách khai thác các lỗ hổng đã được báo cáo nhưng chưa xử lý, do đó việc cài đặt các bản cập nhật bảo mật mới nhất sẽ giúp giảm đáng kể khả năng bị tấn công. Đây đồng thời cũng là biện pháp phòng vệ hiệu quả và ít tốn kém nhất.

Ngoài ra, cũng cần lưu ý rằng có những dự án, tổ chức chuyên nghiên cứu về mã độc tống tiền như No More Ransom có thể cung cấp cho bạn key giải mã miễn phí đối với nhiều phiên bản khác nhau của một số chủng ransomware đã biết.

Một dự án khác có tên ID Ransomware, lại chuyên mang đến các giải pháp xác định chủng ransomware cho doanh nghiệp bằng cách kiểm tra ghi chú tiền chuộc hoặc một tệp đã bị mã hóa. Đối với các sự cố liên quan đến một vài chủng ransomware phổ biến hiện nay như Ryuk, Emisoft có thể hỗ trợ giải mã các tệp trong 3% đến 5% trường hợp được ghi nhận. Đồng thời ID Ransomware cũng có thể giúp xác định hiệu quả của các phương án giải mã tùy theo từng mẫu mã độc cụ thể.

• Tổng quan về xây dựng hệ thống phát hiện và phản hồi bảo mật doanh nghiệp

Về mặt bảo mật cũng như an minh mạng, các tổ chức, doanh nghiệp, và thậm chí cả cá nhân nên đảm bảo nắm trong tay một kế hoạch sao lưu dữ liệu thích hợp, được cập nhật và thay đổi thường xuyên theo hoạt động thực tế của hệ thống, và trên tất cả, nó phải được cách ly khỏi hệ thống mạng chính.

Ransomware là một hình thức tấn công mạng đáng sợ, nhưng cũng chẳng có gì to tát nếu bạn nắm trong tay hệ thống bảo mật được xây dựng chặt chẽ, cũng như kế hoạch sao lưu dữ liệu hợp lý. Việc xây dựng một hệ thống như vậy cũng không quá khó khăn.