Ransomware: Những điều không thể bỏ qua

Ở thời điểm hiện tại, bức tranh an ninh mạng (ANM) đang thay đổi nhanh chóng, với những mối nguy cũ khoác lớp áo mới - nguy hiểm hơn, tinh vi hơn.

Nếu bạn đứng đầu bộ phận ANM (CISO) hay đơn giản chỉ là người chịu trách nhiệm bảo vệ dữ liệu trong tổ chức của mình thì đây là năm bản lề để nhìn lại chiến lược phòng thủ của mình.

AI tạo sinh thu hút sự chú ý nhưng hãy cảnh giác chính những rủi ro quen thuộc

AI tạo sinh như ChatGPT hay Gemini đang tạo nên cơn sốt trong giới công nghệ. Và dĩ nhiên, chúng cũng trở thành "tâm điểm chú ý" của giới ANM, với hàng loạt cảnh báo về việc sử dụng deepfake để tạo ra các video, hình ảnh hoặc âm thanh giả mạo với độ chân thực cao, nhằm chiếm đoạt tài sản, xúc phạm danh dự hoặc phá hoại uy tín của người khác.

Tuy nhiên, sự tập trung quá mức vào AI có thể khiến bạn mất cảnh giác với những rủi ro cũ kỹ nhưng vẫn cực kỳ hiệu quả. Phishing, email giả mạo, lỗ hổng chưa vá, mật khẩu yếu –-chính những thứ này vẫn đang là con đường ngắn nhất dẫn ransomware vào hệ thống.

Aaron Bugal, Giám đốc công nghệ khu vực châu Á - Thái Bình Dương và Nhật Bản (APJ) của Sophos, thẳng thắn nói: “Chúng ta đang bỏ quên những nguyên tắc cơ bản vì bị cuốn vào làn sóng AI. Trong khi đó, kẻ tấn công chỉ cần một cấu hình sai hoặc tài khoản không bảo vệ MFA để tiến vào”.

Doanh nghiệp tầm trung - “con mồi” mới trong thế giới ransomware

Bạn nghĩ chỉ những công ty nghìn tỷ mới bị ransomware nhắm đến? Nghĩ lại đi. Theo báo cáo của Rapid7, các công ty có doanh thu khoảng 5 triệu USD đang bị tấn công gấp đôi so với các doanh nghiệp (DN) 30 - 50 triệu USD và gấp 5 lần so với nhóm 100 triệu USD.

Tại sao? Vì chúng vừa đủ lớn để nắm giữ dữ liệu giá trị nhưng lại không đủ nguồn lực để tự bảo vệ. Nhiều công ty vẫn không có CISO, thiếu đội ngũ bảo mật, và gần như "mù mờ" trước những tín hiệu sắp xảy ra sự cố.

Christiaan Beek từ Rapid7 cho biết: “Đây là nhóm dễ tổn thương nhất. Và nếu bạn là đối tác của họ thì bạn cũng đang bị kéo vào rủi ro này”.

Lời khuyên là hãy mô phỏng tấn công ransomware ít nhất 2 lần một năm. Không phải để "làm cho có", mà là để kiểm tra xem bạn có thực sự sẵn sàng khi biến cố xảy ra hay không.

Khi ransomware không còn mã hóa mà là đánh cắp để tống tiền

Thời của những dòng chữ “Your files have been encrypted” (Các tệp tin của bạn đã bị mã hóa) của tội phạm ransomware đang dần nhường chỗ cho một chiến thuật mới: đánh cắp dữ liệu rồi dọa tung hê tất cả lên mạng.

87% vụ ransomware xảy ra vào thời điểm cuối năm 2024 có yếu tố đánh cắp dữ liệu - con số gây sốc nhưng phản ánh đúng thực tế. Đối với ngành y tế, đó có thể là hồ sơ bệnh nhân. Với ngân hàng, là thông tin cá nhân và giao dịch tài chính. Với DN là hợp đồng, chiến lược, dữ liệu khách hàng.

Một số nhóm tội phạm thậm chí còn tạo cả “chợ đen dữ liệu” riêng để rao bán thông tin lấy được.

Điều này buộc các CISO phải thay đổi chiến lược. Không còn là bảo vệ dữ liệu khỏi bị mã hóa, mà là phát hiện xem dữ liệu có bị lấy đi hay không, ngay cả khi hệ thống vẫn vận hành bình thường. Bạn cần đầu tư vào công cụ giám sát dữ liệu, nhận diện hành vi bất thường, đặc biệt là ưu tiên bảo vệ những dữ liệu mang tính “sống còn” với tổ chức.

Hạ tầng trọng yếu - điểm nóng mới của chiến tranh mạng

Từ các bệnh viện cho đến mạng lưới điện quốc gia, những hệ thống từng được coi là “không thể chạm tới” giờ lại trở thành mục tiêu ưa thích của tin tặc.

Vì sao? Vì đây là những nơi có hệ thống cũ kỹ, phần mềm lỗi thời, thiết bị khó nâng cấp và khi bị tấn công, hậu quả sẽ là khôn lường.

“Chúng ta đang kết nối nhiều hơn bao giờ hết và điều đó mang lại nhiều điểm yếu hơn bao giờ hết”, Aaron Bugal của Sophos nhận định. Các tổ chức trong ngành năng lượng, tiện ích và sản xuất đặc biệt dễ tổn thương vì tốc độ chuyển đổi số nhanh, nhưng hệ thống hạ tầng chưa kịp thích nghi.

Một mối nguy âm ỉ khác: nhiều vụ tấn công vào cơ sở hạ tầng thực chất là vỏ bọc cho hoạt động gián điệp - nơi mục tiêu không phải tiền, mà là xây dựng “cửa hậu” để xâm nhập lâu dài, thậm chí chuẩn bị cho chiến tranh số.

Giải pháp là gì? Kiểm tra toàn bộ hệ thống OT/IT (CNTT/công nghệ vận hành), xác định các thiết bị EOL (đến cuối vòng đời), cải thiện khả năng phát hiện sớm xâm nhập và đảm bảo các bản vá lỗi không bị trì hoãn quá lâu.

Sự cố phòng thủ

Trước đây, bảo mật là xây một bức tường chắn bên ngoài. Ngày nay, bức tường đó có hàng trăm cánh cửa, từ IoT, VPN, ứng dụng đám mây đến thiết bị của nhân viên làm việc từ xa. Và tin tặc thì chỉ cần một cánh cửa không khóa.

Năm 2024 chứng kiến hàng loạt lỗ hổng trong thiết bị bảo mật như Palo Alto và SonicWall bị khai thác để phát động ransomware. Trong khi đó, báo cáo từ Arctic Wolf Labs cảnh báo xu hướng này sẽ còn tiếp diễn, với nhiều lỗ hổng zero-day xuất hiện ở các thiết bị phòng thủ chu vi mạng.

MFA (xác thức đa yếu tố) chưa bật. Mật khẩu yếu. Quyền truy cập quá rộng. Những lỗi tưởng nhỏ đó lại chính là điểm bắt đầu cho một chuỗi tấn công phức tạp.

Christiaan Beek nhấn mạnh: “Bảo mật bắt đầu từ cửa trước. Nếu bạn không thể kiểm soát ai ra vào, bạn chẳng thể bảo vệ bên trong”.

Cảnh giác nhưng không hoảng loạn

Ransomware sẽ không biến mất trong một sớm một chiều. Tuy nhiên, với chiến lược đúng đắn, đội ngũ được huấn luyện và công cụ phù hợp, bạn có thể biến tổ chức của mình từ mục tiêu dễ bị tổn thương thành pháo đài kiên cố.

Và trong thời đại số, đôi khi chỉ cần một bước đi sai là phải trả giá bằng cả danh tiếng, dữ liệu và cả tương lai DN.

“

Tài liệu tham khảo:

1. https://www.csoonline.com/article/575329/law-enforcement-crackdowns-and-new-techniques-are-forcing-cybercriminals-to-pivot.html

2. https://www.verizon.com/business/resources/reports/dbir/

3. https://www.sophos.com/en-us/content/state-of-ransomware

4. https://www.computerworld.com/article/1616171/ransomware-is-a-threat-even-for-the-smallest-of-businesses.html