Cảnh báo nguy cơ tấn công ransomeware tiếp diễn tại Việt Nam
Tấn công mã hóa dữ liệu (ransomeware) đang mối lo ngại lớn nhất của doanh nghiệp Việt Nam, sau khi VNDIRECT và PVOIL lần lượt bị tấn công.
Vì sao doanh nghiệp nghìn tỷ vẫn bị tấn công ransomeware?
Trong thời gian gần đây, các vụ tấn công mạng vào hệ thống các doanh nghiệp Việt Nam liên tục xảy ra. Mới đây nhất là Tổng công ty Dầu Việt Nam (PVOIL) bất ngờ bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu, ngày 2/4.
Trước đó, ngày 24/3, Công ty CP Chứng khoán VNDIRECT cũng đã bị tấn công với hình thức tương tự.
Điều này khiến nhiều người không khỏi thắc mắc về tấn công mã hóa dữ liệu, chúng làm cách nào có thể tấn công được hệ thống an ninh của các doanh nghiệp lớn tại Việt Nam.
Trả lời câu hỏi này, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty Công nghệ An ninh mạng Quốc gia Việt Nam, để thực hiện mã hoá dữ liệu, tin tặc cần phải có đủ thời gian để biết dữ liệu nào quan trọng. Vì vậy, tin tặc sẽ phải cài các mã độc nằm vùng, thu thập thông tin hàng ngày, từ đó phân tích, đánh giá và lựa chọn mục tiêu để mã hoá dữ liệu. Với tổ chức có càng nhiều thành phần và càng phức tạp thì thời gian nằm vùng phải càng lâu.
Mặc dù nhận thức về đảm bảo an ninh mạng của các doanh nghiệp, tổ chức tại Việt nam đã nâng cao đáng kể, tuy nhiên, việc triển khai các giải pháp đề phòng vẫn chưa thực sự tương xứng. Trong khi các cuộc tấn công mạng ngày càng tinh vi, đặc biệt có sự tham gia của các nhóm tội phạm lớn quốc tế. Vì vậy các hệ thống tại Việt Nam luôn ở trong tình trạng có thể bị tấn công bất cứ lúc nào.
"Thời gian qua, một số doanh nghiệp tại Việt Nam đã bị tấn công theo hình thức mã hóa dữ liệu nâng cao. Về bản chất, đây là hình thức tấn công APT kết hợp mã hóa dữ liệu, không phải chỉ mã hóa dữ liệu đơn thuần.
Những đối tượng tấn công sẽ nằm vùng từ trước ở trong hệ thống của nạn nhân, sau đó sẽ lựa chọn thời điểm thích hợp để tiến hành mã hóa dữ liệu", ông Sơn nói.
Vị chuyên gia an ninh mạng này cho biết thêm, có những trường hợp tin tặc đã nằm vùng trong hệ thống 1-2 năm rồi mới thực hiện việc tấn công. Việc tin tặc ẩn nấp bên trong hệ thống từ rất lâu cho thấy hệ thống đã tồn tại những lỗ hổng từ trước.
"Có thể sau vụ việc của VNDirect, các nhóm tin tặc nhận thấy có khả năng lấy được tiền nên có thể đã thực hiện tấn công mã hóa. Còn việc tấn công xâm nhập hệ thống đã diễn ra thời gian dài trước đó", ông Sơn tiết lộ thêm.
Các doanh nghiệp cần nâng cao bảo mật theo mô hình phòng thủ 4 lớp
Từ sự cố của VNDIRECT, ngày 27/3 vừa qua, Cục An toàn thông tin (Bộ TT&TT) đã đề nghị các cơ quan, sở, tổ chức tài chính, ngân hàng... cần tăng cường đảm bảo an toàn các hệ thống thông tin với 7 nhiệm vụ chính.
Đầu tiên, các doanh nghiệp phải tổ chức thực thi hiệu quả, thực chất, thường xuyên, liên tục công tác bảo đảm an toàn thông tin theo mô hình 4 lớp, đặc biệt là nâng cao năng lực của lớp giám sát, bảo vệ chuyên nghiệp và duy trì liên tục, ổn định kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia.
Song song với đó là xây dựng kế hoạch ứng phó sự cố của hệ thống thông tin thuộc phạm vi quản lý, công ty chứng khoán cũng cần triển khai phương án sao lưu định kỳ hệ thống và dữ liệu quan trọng để kịp thời khôi phục khi bị tấn công mã hóa dữ liệu.
Ngoài ra, cần rà soát, đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam; Thực hiện định kỳ săn lùng mối nguy hại để phát hiện kịp thời các dấu hiệu hệ thống bị xâm nhập...
Chuyên gia An ninh mạng Vũ Ngọc Sơn cũng cho rằng, các doanh nghiệp cần chủ động hơn trong việc phòng chống tấn công mạng. Ngoài việc rà soát lỗ hổng, tăng cường các giải pháp công nghệ, các doanh nghiệp, tổ chức lớn cần xây dựng một đội ngũ chuyên trách về an ninh mạng để bảo vệ hệ thống.
Ông Sơn cho biết thêm, các doanh nghiệp cần thực hiện ngay 5 việc: Khẩn trương đưa các hệ thống quan trọng vào giám sát an ninh mạng 24/7; Thực hiện backup dữ liệu quan trọng, tốt nhất là thiết lập hệ thống dự phòng backup định kỳ; Sẵn sàng quy trình ứng phó sự cố; Đào tạo nhận thức an toàn, an ninh mạng và nâng cao kỹ năng cho người dùng; Rà soát, kiểm tra an ninh định kỳ cho toàn bộ hệ thống.
Năm 2023, hệ thống giám sát và cảnh báo virus của Bkav ghi nhận hơn 19.000 máy chủ bị tấn công ransomware từ 130.000 địa chỉ IP độc hại trên thế giới, tăng 35% so với 2022.
Các chuyên gia của Bkav cho biết, nguyên nhân khiến máy chủ trở thành mục tiêu của ransomware vì thường chứa dữ liệu quan trọng, nhạy cảm, có giá trị cao. Máy chủ bị mã hóa có thể gây ngưng trệ toàn bộ doanh nghiệp trong thời gian dài, tạo áp lực lớn, buộc nạn nhân trả tiền chuộc, thậm chí bằng mọi giá.