‘Con đường’ hacker thâm nhập hệ thống để tấn công mã hóa dữ liệu

Tấn công mạng vào hệ thống VNDIRECT ngày 24/3 đã được xác định là cuộc tấn công mã độc mã hóa dữ liệu - ransomware. Loại tấn công này là một mối lo ngại lớn của các doanh nghiệp, tổ chức trong kỷ nguyên số. Để độc giả biết thêm về tấn công ransomware, mức độ nguy hiểm cùng cách phòng chống và ứng phó, VietNamNet thực hiện tuyến bài “Mối nguy hiện hữu từ tấn công mã hóa dữ liệu”.

Nối dài “cơn ác mộng” mã độc mã hóa dữ liệu

Sự cố tấn công mạng vào hệ thống VNDIRECT, công ty nằm trong top 3 trên thị trường chứng khoán Việt, xảy ra sáng ngày 24/3 đến nay đã cơ bản được khắc phục. Hiện dữ liệu đã được giải mã và hệ thống tra cứu My Account đã hoạt động trở lại.

VNDIRECT đã thông tin sự cố ngày 24/3 được thực hiện bởi nhóm tấn công chuyên nghiệp, khiến toàn bộ dữ liệu công ty bị mã hóa. Tấn công mã độc mã hóa dữ liệu - ransomware những năm qua luôn là nỗi ám ảnh của các doanh nghiệp, tổ chức trên toàn cầu, bởi hậu quả nặng nề mà nó có thể gây ra. Các chuyên gia còn ví von ransomware là “cơn ác mộng”, “bóng ma” trên không gian mạng.

Theo lộ trình VNDIRECT thông báo tới khách hàng và đối tác, các hệ thống, sản phẩm cùng những tiện ích khác sẽ tiếp tục được đơn vị vận hành từng bước mở lại. Đơn vị này dự định kiểm tra thông luồng với các sở giao dịch chứng khoán trong ngày 28/3.

Dẫu vậy, từ phân tích của các chuyên gia an toàn thông tin, có thể thấy chuỗi ngày vất vả của đội ngũ công nghệ VNDIRECT cùng các chuyên gia rà quét lỗ hổng, khắc phục triệt để sự cố vẫn còn dài. Ransomware là hình thức tấn công mạng không mới nhưng rất phức tạp, đòi hỏi phải có nhiều thời gian mới có thể làm sạch các dữ liệu, khôi phục hoàn toàn hệ thống, đưa các hoạt động bình thường trở lại.

“Để khắc phục triệt để một sự cố tấn công ransomware, đôi khi đơn vị vận hành còn phải thay đổi cả kiến trúc hệ thống, đặc biệt là hệ thống dự phòng. Vì thế, với sự cố VNDIRECT đang gặp phải, chúng tôi cho rằng cần thêm nhiều thời gian, thậm chí là hàng tháng để hệ thống phục hồi hoàn toàn”, Giám đốc Kỹ thuật Công ty NCS Vũ Ngọc Sơn nêu quan điểm.

Ông Nguyễn Minh Hải, Giám đốc kỹ thuật của Fortinet Việt Nam cho hay, tùy thuộc vào mức độ nghiêm trọng của cuộc tấn công, khả năng chuẩn bị trước và hiệu quả của kế hoạch ứng phó, thời gian cần thiết để phục hồi hệ thống sau một cuộc tấn công ransomware có thể dao động rất lớn, có thể từ vài giờ cho đến vài tuần để khôi phục hoàn toàn, nhất là với trường hợp cần khôi phục một lượng lớn dữ liệu.

“Một phần của quá trình phục hồi này bao gồm việc đảm bảo rằng mã độc mã hóa dữ liệu đã được loại bỏ hoàn toàn khỏi mạng và rằng không có cửa hậu - backdoor nào bị bỏ lại có thể cho phép kẻ tấn công truy cập trở lại”, ông Nguyễn Minh Hải thông tin.

Các chuyên gia cũng nhận định rằng, ngoài tác dụng là “hồi chuông cảnh tỉnh” với đơn vị chủ quản, vận hành các hệ thống thông tin quan trọng tại Việt Nam, sự cố tấn công mạng vào VNDIRECT cũng một lần nữa cho thấy mức độ nguy hiểm của ransomware.

Cách đây hơn 6 năm, WannaCry cùng các biến thể của mã độc mã hóa dữ liệu này đã khiến nhiều doanh nghiệp, tổ chức “lao đao”, khi chúng lây lan nhanh vào hơn 300.000 máy tính tại gần 100 quốc gia và vùng lãnh thổ trên thế giới, trong đó có Việt Nam.

Những năm gần đây, các doanh nghiệp vẫn luôn thường trực mối lo bị tấn công ransomware. Năm ngoái, không gian mạng Việt Nam ghi nhận nhiều vụ tấn công ransomware gây hậu quả nghiêm trọng; trong đó, có những vụ hacker không chỉ mã hóa dữ liệu để đòi tiền chuộc, mà còn bán dữ liệu cho bên thứ ba để tối đa số tiền thu được. Theo thống kê của NCS, năm 2023 có tới 83.000 máy tính, máy chủ tại Việt Nam ghi nhận bị tấn công ransomware.

Những ‘con đường’ thâm nhập hệ thống phổ biến

Đội ngũ công nghệ của VNDIRECT đang cùng các chuyên gia an toàn thông tin triển khai các giải pháp nhằm khôi phục hoàn toàn, đồng thời đảm bảo an toàn cho hệ thống. Nguyên nhân sự cố và ‘con đường’ mà hacker đã dùng để thâm nhập hệ thống vẫn đang được điều tra.

Theo ông Ngô Tuấn Anh, CEO Công ty An ninh mạng thông minh SCS, để tấn công mã hóa dữ liệu, hacker thường chọn thâm nhập vào máy chủ chứa dữ liệu quan trọng và mã hoá dữ liệu. Có 2 cách thường được hacker sử dụng để thâm nhập hệ thống các đơn vị, đó là trực tiếp qua lỗ hổng, điểm yếu của hệ thống máy chủ; hoặc chọn “đi vòng” qua máy tính quản trị viên và từ đó chiếm quyền điều khiển hệ thống.

Trao đổi với VietNamNet, ông Vũ Thế Hải, Trưởng phòng Giám sát an toàn thông tin, Công ty VSEC cũng chỉ ra một số khả năng để hacker thâm nhập từ đó cài mã độc vào hệ thống: Khai thác lỗ hổng tồn tại trên hệ thống để chiếm quyền điều khiển, cài mã độc; gửi email đính kèm tệp chứa mã độc để lừa người dùng trong hệ thống mở, kích hoạt mã độc; đăng nhập vào hệ thống từ mật khẩu bị lộ lọt hoặc mật khẩu yếu của người dùng hệ thống.

Chuyên gia Vũ Ngọc Sơn phân tích, với tấn công ransomware, hacker thường vào hệ thống qua một số con đường như dò mật khẩu, khai thác lỗ hổng hệ thống, với chủ yếu là lỗ hổng zero-day (lỗ hổng nhà sản xuất chưa có bản vá - PV).

"Các công ty tài chính thường sẽ phải đáp ứng các tiêu chuẩn theo quy định nên khả năng dò mật khẩu gần như không xảy ra. Khả năng cao hơn cả là tấn công qua lỗ hổng zero-day. Theo đó, hacker gửi từ xa các đoạn dữ liệu gây lỗi khiến cho phần mềm khi xử lý sẽ rơi vào tình trạng không kiểm soát.

Kế tiếp, hacker chạy mã thực thi từ xa và chiếm quyền điều khiển máy chủ dịch vụ. Từ máy chủ này, hacker thu thập tiếp thông tin, dùng các tài khoản quản trị thu được để tấn công các máy chủ khác trong mạng, và cuối cùng là chạy các công cụ mã hóa dữ liệu để tống tiền”, chuyên gia Vũ Ngọc Sơn phân tích.

Khảo sát mới được hãng bảo mật Fortinet thực hiện với các doanh nghiệp khu vực Châu Á - Thái Bình Dương, trong đó có Việt Nam cho thấy: Ransomware hiện vẫn là mối lo ngại lớn. Tống tiền qua những cuộc tấn công ransomware là mối lo ngại an ninh mạng hàng đầu của các nhà sản xuất, với 36% tổ chức được khảo sát cho biết từng trải qua một cuộc tấn công ransomware trong năm vừa qua, tăng 23% so với khảo sát tương tự năm 2020 của Fortinet.

Bài 2 - Chuyên gia chỉ cách ứng phó tấn công mã hóa dữ liệu tống tiền