Có nên trả tiền cho các hacker khi bị nhiễm mã độc?
Diễn đàn - Ngày đăng : 17:24, 23/07/2019
Gần đây nhất, Thị trưởng Baltimore Jack Young thông báo rằng Hội nghị Thị trưởng Mỹ (UCSM) đã thông qua nghị quyết kêu gọi các thị trưởng không thanh toán cho những kẻ tấn công mã độc tống tiền. Nghị quyết nêu rằng “ít nhất 170 hệ thống của chính quyền quận, thành phố và các bang đã trải qua một cuộc tấn công mã độc từ năm 2013” với 22 cuộc tấn công xảy ra trong năm 2019.
Một trong các thành phố đó là Baltimore của Young. Một cuộc tấn công mã độc Robbinhood vào ngày 7/5 đã gây ra sự xáo trộn suốt hơn 1 tháng làm tê liệt các dịch vụ thành phố và làm giảm giá bất động sản. Ước tính số tiền 18 triệu dollar là doanh thu bị mất và là chi phí để phục hồi. Baltimore đã nộp đơn cho quỹ thảm họa liên bang và lãnh đạo IT của thành phố đã công khai xin lỗi vì đã làm một việc tồi tệ khi liên lạc sau cuộc tấn công. Thị trưởng Young và các chuyên gia IT nói cần vài tháng để hệ thống của Baltimore phụ hồi đầy đủ chức năng.
Trên lý thuyết, thảm họa mã độc của Baltimore có thể được giảm thiểu nếu thành phố trả cho hacker số tiền ban đầu là 76,000 dolllar bitcoin, ít hơn 1% chi phí cuối cùng của cuộc tấn công. Ít nhất hai thành phố khác cũng bị tấn công bởi mã độc đã tính toán và quyết định trả tiền.
Thành phố Riviera Beach, bang Florida với dân số 35,000 người bị tấn công ngày 29/5 bởi mã độc Ryuk. Thành phố đồng ý trả cho những kẻ tấn công 65 bitcoin, trị giá khoảng 600 dollar tại thời điểm đó để chúng khôi phục mạng lưới của họ, mặc dù bảo hiểm khấu trừ ch Riviera Beach là 25,000 dollar.
Vào ngày 10/6, thành phố Lake City, bang Floria với dân số 12,000 cũng bị tấn công bởi mã độc “Triple Threat”, một cuộc tấn công kết hợp các virus Trojan ngân hàng Emotet và TrickBot để cung cấp mã độc Ryuk. Cũng giống như Riviera Beach, Lake City kết luận sẽ dễ dàng hơn khi trả cho hacker 42 Bitcoin, tương đương 46,000 dollar để các hệ thống bị tê liệt có thể hoạt động trở lại, dù bảo hiểm trả 32,000 dollar.
Riviera Beach và Lake City không phải là duy nhất khi quyết định trả tiền cho hacker thay vì mất hàng tuần hay hàng tháng khắc phụ tốn kém và xây dựng lại hệ thống sau các cuộc tấn công. Nghiên cứu của Sentinel One chỉ ra có khoảng 45% các tổ chức trả ít nhất một khoản tiền khi bị tấn công bởi các mã độc, và có các câu chuyện về một số tổ chức tạo ngân sách hàng năm để mua bitcoin trả tiền cho các hacker.
Khi nào thì trả tiền để tránh mã độc? FBI trả lời rằng “Không bao giờ”
Câu hỏi được đưa ra là khi nào thì nên trả tiền tránh mã độc? Theo FBI và hầu hết các chuyên gia an ninh mạng, không ai nên trả tiền cho hacker. Họ nói việc trả tiền cho hacker như là phần thưởng cho hành động phá hoại của chúng và nuôi dưỡng mầm mống các cuộc tấn công tiếp theo.
FBI khuyến khích các nạn nhân không trả tiền cho các yêu cầu tống tiền của hacker, FBI viết trong email gửi cho CSO. “Việc thanh toán các yêu cầu đòi tiền khuyến khích các hành động phạm pháp tiếp tục dẫn đến sẽ có các nạn nhân khác và có thể được sử dụng để thực hiện các tội ác nghiêm trọng.
Jim Trainor, cựu lãnh đạo của bộ phận mạng tại trụ sở FBI và giờ là phó chủ tịch cấp cao của tập đoàn giải pháp mạng tại công ty quản lý rủi ro và môi giới bảo hiểm Aon đồng ý. Trainor đã dành một khoảng thời gian để xử lý các cuộc tấn công mã độc khi ông còn ở Cục nói với CSO “tôi sẽ khuyên mọi người không trả tiền chuộc. Nó là vấn đề cực kì khó giải quyết.
Sao lưu dự phòng đúng cách làm giảm nhu cầu cần trả tiền chuộc
Ông thừa nhận quyết định trả hay không trả tiền cho hacker là quyết định kinh doanh, điểm mấu chốt luôn là liệu các nạn nhân có truy cập được vào các bản sao lưu dự phòng đầy đủ được không. “Lý do vì mọi người trả tiền chuộc chính là họ không có bản sao lưu dự phòng an toàn và bảo mật, nghĩa là họ không có lựa chọn thay thế. Tôi nghĩ một trong các vấn đề lớn là các công ty chưa thật sự chuẩn bị đối phó cho việc bị tấn công này”.
Việc thiếu các bản sao đầy đủ là trường hợp của Lake City. Dù Lake City có các bản sao nhưng chúng đều nằm cùng trên một hệ thống bị nhiễm mã độc nên không thể truy cập vào được.
Các nạn nhân bị nhiễm mã độc nên làm việc với chính quyền
Dù quyết định là gì, tôi rất khuyến khích nạn nhân của một cuộc tấn công mã độc làm việc cùng FBI và báo cáo lại vụ việc, Trainor nói. “Họ là nạn nhân của một tội ác và FBI có thể cung cấp các nguồn lực để hỗ trợ họ”. Với hiểu biết của họ về kẻ đe dọa, FBI có thể cung cấp các công cụ hỗ trợ vụ việc. Nó không giống việc FBI cáo buộc họ.
Hơn nữa, thông tin tập hợp được về người gây ra các hoạt động này cho Cục có thể giúp họ bắt giữ các cá nhân chịu trách nhiệm thực hiện các hoạt động này.
FBI đồng ý rằng “FBI khuyến khích mạnh mẽ các doanh nghiệp liên hệ với văn phòng FBI tại địa phương khi phát hiện ra sự lây nhiễm mã độc và nộp đơn khiếu nại chi tiết tại www.ic3.gov”, FBI tuyên bố với CSO.
Các hoạt động tốt làm sạch không gian mạng
Giải pháp thực tế cho vấn đề nan giải “trả tiền hay không trả” là để bảo toàn tốt việc làm sạch bảo mật mạng và hệ thống ngay từ đầu để hậu quả của cuộc tấn công không đáng kể và việc khắc phục cũng dễ dàng hơn. Theo FBI, duy trì thói quen bảo mật tốt là cách tốt nhất để giải quyết các cuộc tấn công mã độc. FBI nói với CSO “Cách tiếp cận tốt nhất là tập trung vào phòng vệ sâu và có vài lớp bảo vệ khi không có phương pháp nào ngăn chặn sự thỏa hiệp hoặc khai thác”. Sự đẩy mạnh chương trình tiếp cận mã độc của FBI là thông báo cho người dân rằng hầu hết các mã độc có thể được ngăn chặn bằng cách thực hiện các bước như cập nhật hệ thống điều hành lên phiên bản mới nhất hay rút ngắn chu kì vá lỗi, sử dụng xác thực nhiều yếu tố, mật khẩu phức tạp duy nhất cho mỗi lần truy cập và không sử dụng các dịch vụ mạng không cần thiết. Tương tự, giá tiền do mã độc đưa ra có thể được giảm bằng cách duy trì sao lưu dự phòng ngoại tuyến bất kì dữ liệu quan trọng nào.
Trong khi đó, các tổ chức chính phủ hay tổ chức tư nhân có thể chuẩn bị dự phòng trước khi các cuộc tấn công mã độc xảy ra. “Bạn nên có quan hệ với các công ty an ninh mạng hay các Cục chính quyền. Bạn cũng nên biết văn phòng FBI tại địa phương”, Trainor nói. “Sau đó, khi vụ việc xảy ra, bạn sẽ cần đến các đội ngũ nội bộ của mình”.
Ngay cả khi các tổ chức trả tiền chuộc, sẽ không có gì đảm bảo họ sẽ lấy lại được dữ liệu được mã hóa. Theo FBI, trả tiền chuộc không đảm bảo nạn nhận sẽ lấy lại được quyền truy cập vào dữ liệu của họ”.