Singapore chuẩn bị như thế nào nếu xảy ra tấn công ransomware như Colonial Pipeline?

Hai tháng trước, một cuộc tấn công ransomware nhằm vào Colonial Pipeline, một công ty năng lượng của Mỹ, đã buộc công ty này phải tạm dừng mọi hoạt động trên một đường ống chính cung cấp gần một nửa lượng nhiên liệu tiêu thụ trên bờ biển phía đông nước Mỹ.

Năm nay, Singapore chưa bị ảnh hưởng bởi các cuộc tấn công quy mô tương tự. Hồi tháng 2, một nhóm ransomware đã đánh cắp dữ liệu cá nhân của khoảng 129.000 khách hàng của Singtel sau khi xâm phạm hệ thống chia sẻ tệp của bên thứ ba. Thông tin bị đánh cắp bao gồm tên, địa chỉ, số điện thoại, số nhận dạng và ngày sinh, cũng như chi tiết tài khoản ngân hàng của 28 cựu nhân viên Singtel.

Tấn công ransomware gia tăng mạnh

Đầu tháng này, Cơ quan An ninh mạng Singapore (CSA) đã công bố báo cáo thường niên về tình hình không gian mạng của Singapore. Có 89 sự cố ransomware trong năm 2020 được báo cáo, tăng 154% so với 35 trường hợp được báo cáo trong năm trước.

Trong báo cáo, CSA nêu rõ: "Dựa trên các vụ việc ransomware được báo cáo, những sự cố trong nước có thể liên quan và là hậu quả của sự bùng phát ransomware trên toàn cầu. Sức lan tỏa của ransomware chưa bao giờ rõ rệt hơn năm 2020, khi các băng đảng ransomware đổi mới chiến thuật của mình với tốc độ ngày càng nhanh để vượt làn sóng đại dịch".

Cũng theo báo cáo, các vụ tấn công ransomware trên toàn cầu đã tăng 715% so với cùng kỳ năm ngoái trong nửa đầu năm 2020. Đến quý 3 cùng năm, mức trung bình hàng ngày của các cuộc tấn công ransomware tăng 50% so với 6 tháng đầu năm. Các khoản thanh toán tiền chuộc trung bình cũng tăng lên, do bọn tội phạm nhắm mục tiêu vào các DN lớn hơn.

Trên trang web của mình, CSA lưu ý rằng ransomware thường lây lan qua các email lừa đảo với các liên kết hoặc tệp đính kèm độc hại. Khi nạn nhân nhấp vào các liên kết hoặc tệp đính kèm đó, họ sẽ tải xuống phần mềm tống tiền từ một máy chủ bên ngoài.

CSA cho biết: "Các cuộc tấn công bằng mã độc tống tiền đang làm gián đoạn hoạt động kinh doanh vì nhân viên không thể truy cập vào các tệp bị nhiễm mã độc. Rất khó để khôi phục các tệp bị nhiễm vì mỗi loại ransomware yêu cầu một bộ giải mã duy nhất, có thể không có sẵn cho các biến thể ransomware mới hơn. Thông tin nhạy cảm và độc quyền có thể bị mất nếu dữ liệu không được sao lưu. Để gây áp lực buộc nạn nhân trả tiền chuộc, những kẻ tấn công cũng có thể đe dọa công bố dữ liệu trực tuyến".

Chiến thuật tấn công ransomware ngày càng tinh vi

Một xu hướng chính của ransomware là sự tinh vi ngày càng tăng của các tác nhân đe dọa và chiến thuật của chúng. Trước đây, nhóm ransomware chỉ mã hóa dữ liệu. Ông Yeo Siang Tiong, Tổng giám đốc Kapersky khu vực Đông Nam Á cho biết nhóm ransomware sẽ cung cấp chìa khóa để giải mã dữ liệu bị khóa sau khi nạn nhân trả tiền chuộc. Kể từ hai năm trước, Kaspersky đã quan sát thấy các nhóm tội phạm có tổ chức tham gia và thực hiện nhiều cuộc tấn công có chủ đích hơn.

Ông Yeo nói: "Những gì các nhóm tội phạm mạng làm là sử dụng ransomware như một công cụ. Chúng thâm nhập, khóa, và trước khi khóa là lọc và rút dữ liệu ra. Sau đó, các nhóm này bắt đầu tống tiền. Trước đây, nếu bạn không trả tiền, sẽ bị mất tệp, và phải tạo lại (dữ liệu) từ bản sao lưu của mình. Nhưng bây giờ, tội phạm mạng sẽ công bố dữ liệu lên web".

Lấy ví dụ nhóm ransomware Maze, đóng cửa vào năm 2020, ông Yeo lưu ý rằng nhóm này có một trang web nơi chúng dần dần tiết lộ thêm thông tin cho đến khi khách hàng của họ chấp nhận phải trả tiền. "Đó là điều đáng lo ngại. Việc tấn công không chỉ đơn thuần là ransomware, mà còn là lọc dữ liệu và tống tiền".

Steven Ng, Giám đốc thông tin kiêm phó chủ tịch điều hành tại công ty an ninh mạng Ensign InfoSecurity cho biết hiện còn có chiến thuật tống tiền kép, có nghĩa là bọn tội phạm mã hóa, đánh cắp dữ liệu và yêu cầu tiền chuộc hai lần - một lần để giải mã dữ liệu và một lần nữa để ngăn chặn nhóm công bố dữ liệu trực tuyến.

Một xu hướng khác mà Ensign InfoSecurity nhận thấy là sự gia tăng của các cuộc tấn công ransomware như một hoạt động phức tạp, tinh vi với nhiều bên tham gia. Những kẻ khai thác ransomware hợp tác với các "cộng sự" khác, một số trong số chúng nghiên cứu môi trường của các nạn nhân cũng như khả năng tài chính của họ để chi trả. Một số khác phát triển ransomware, và sẽ có những kẻ chỉ làm việc để tấn công mạng.

Ông Ng cho biết: "Chúng tôi thực sự đang xem xét sự phát triển của hoạt động kinh doanh ransomware với tư cách là một ngành kinh doanh tội phạm có tổ chức, và điều đó đã thành công đáng kể trong vài năm qua, và đặc biệt tăng tốc trong thời gian COVID-19 ở Singapore".

Singapore: Mục tiêu tiềm năng

Theo các chuyên gia an ninh mạng, Singapore đã là mục tiêu hấp dẫn của các nhóm ransomware. Là một "xã hội được số hóa cao" với mức độ thâm nhập Internet "rất cao", Singapore có thể gặp phải nhiều cuộc tấn công ransomware. Số hóa nhiều hơn cũng có nghĩa là "các bề mặt tấn công luôn mở rộng cho kẻ tấn công. Như vậy, các tổ chức cần chú ý đến các biện pháp an ninh mạng để tự bảo vệ mình", ông Ng cho hay.

Tổng giám đốc Kapersky Đông Nam Á Yeo cho biết: Singapore cũng là trụ sở chính tại châu Á - Thái Bình Dương của nhiều công ty, theo đó, là nơi "nơi tập trung dữ liệu, cũng như con người". Điều này khiến quốc gia này trở thành "mục tiêu ngọt ngào" cho các nhóm ransomware.

Theo đánh giá của ông Nagel, Cybereason, Singapore "dễ bị tấn công" bởi các cuộc tấn công ransomware. "Thực sự, cách duy nhất để giải quyết vấn đề này là áp dụng công nghệ ngày nay cao hơn. Nếu điều đó xảy ra, thì tôi nghĩ bạn giảm rủi ro, nhưng chúng tôi chưa thấy tỷ lệ chấp nhận đủ cao". Nhiều công ty ở Singapore, giống như ở các quốc gia khác, vẫn sử dụng các công nghệ chống virus truyền thống của Symantec và McAfee, "để bảo vệ chống những rủi ro cũ".

Theo ông Yeo, mục tiêu ưa thích là các ngân hàng và công ty viễn thông. Mặc dù các nhà cung cấp dịch vụ - chẳng hạn như những người cung cấp dịch vụ lưu trữ hoặc thuê ngoài - thường bị bỏ qua, nhưng các công ty này cũng là mục tiêu hàng đầu.

Trong vụ hack Solarwinds vào năm ngoái, tin tặc đã có được quyền truy cập vào các mạng của chính phủ và công ty Mỹ bằng cách xâm nhập hệ thống của Solarwinds. Công ty cung cấp phần mềm quản lý CNTT và khách hàng của họ bao gồm các cơ quan chính phủ Hoa Kỳ và các công ty lớn như Microsoft, FireEye và Cisco Systems.

Ông Ng cho biết: Với việc ứng dụng nhiều hơn công nghệ và dịch vụ số, các nhà cung cấp dịch vụ công nghệ trở thành mục tiêu vì các nhà cung cấp này có thể "tiếp cận toàn diện" với nhiều DN khác. Những kẻ tấn công cũng săn lùng các công ty sản xuất. Các công ty này "rất căng thẳng" về sự gián đoạn chuỗi cung ứng do COVID-19 gây ra.

"Tập trung nhiều vào việc duy trì tính liên tục của chuỗi cung ứng", những kẻ tấn công ransomware coi đây là một "cơ hội tuyệt vời. Bởi vì những công ty này sẽ nhanh chóng phục hồi hoạt động và do đó sẽ sẵn sàng chi trả hơn", ông Ng cho hay.

Theo báo cáo của CSA, đa số các DN nhỏ và vừa (SME) gặp phải các vụ việc ransomware, mặc dù các nhà khai thác ransomware cũng đang tìm kiếm những nạn nhân lớn hơn trong lĩnh vực sản xuất, bán lẻ và chăm sóc sức khỏe.

Ông Yeo nói, các SME trở thành mục tiêu hấp dẫn đối với ransomware hơn vì CNTT có lẽ không phải là mối quan tâm hàng đầu của họ. Nhưng điều này không đúng. Các SME thường trở thành nạn nhân của chiến thuật "spray and pray", có nghĩa là những kẻ tấn công gửi càng nhiều thư rác, email độc hại hoặc quảng cáo giả càng tốt để khiến người dùng tải xuống phần mềm tống tiền.

"Chúng tôi luôn nói rằng 90% các cuộc tấn công là các cuộc tấn công hàng loạt mà các công cụ có thể giải quyết. Vì vậy, các công cụ đơn giản - công cụ chống virus, công cụ EDR (Endpoint Detection and Response) có khả năng phát hiện ra các mối đe dọa tiên tiến, khả năng điều tra chi tiết, và phản ứng nhanh chóng – hay cài đặt thứ gì đó có thể đặt ra đường bảo vệ để giảm thiểu bị ảnh hưởng", ông nói.

Bảo vệ cơ sở hạ tầng trọng yếu của Singapore

Các công ty không phải là tổ chức duy nhất nằm trong danh sách của tin tặc. Trên toàn cầu, những kẻ tấn công đã làm gián đoạn cơ sở hạ tầng trọng yếu và hành động của chúng khiến khả năng của các cơ sở hạ tầng gặp nguy hiểm. Năm ngoái, một cuộc tấn công ransomware đã khiến hệ thống CNTT tại một bệnh viện ở Đức bị lỗi. Một bệnh nhân cần được chăm sóc khẩn cấp phải được đưa đến một thành phố khác, điều này đã khiến việc điều trị của bệnh nhân này bị trì hoãn và dẫn đến tử vong.

Trong cuộc họp tại Quốc hội Singapore vào tháng này, Bộ trưởng TT&TT Josephine Teo lưu ý rằng các cuộc tấn công ransomware không còn nằm trong phạm vi kỹ thuật số nữa. "Giờ đây chúng tràn sang lĩnh vực vật chất, với những hậu quả trong thế giới thực. Chúng tôi đã thấy điều này trên toàn cầu, với sự gia tăng gần đây của các cuộc tấn công ransomware quốc tế".

Bộ trưởng Josephine Teo lấy ví dụ vụ tấn công Colonial Pipeline đã khiến công ty nhiên liệu này ngừng hoạt động kéo dài một tuần, gây ảnh hưởng đến việc cung cấp nhiên liệu cho khoảng 50 triệu khách hàng. Các cuộc tấn công ransomware vào các dịch vụ chăm sóc sức khỏe ở Ireland và New Zealand vào tháng 5 đã làm ngừng hoạt động của các hệ thống CNTT bị ảnh hưởng. Khi hồ sơ bệnh nhân không thể truy cập được, các ca phẫu thuật đã bị hoãn và các dịch vụ ngoại trú bị đình chỉ.

"Những vụ việc này là lời nhắc nhở rõ ràng rằng tất cả chúng ta phải luôn cảnh giác trước các cuộc tấn công ransomware. Điều này không chỉ cảnh báo các cơ quan nhà nước cung cấp các dịch vụ thiết yếu mà cả các tổ chức tư nhân, khi đều phải phụ thuộc vào hệ thống CNTT cho bất kỳ công đoạn hoạt động kinh doanh cốt lõi nào của họ", Bộ trưởng nói.

Trả lời các câu hỏi của Channel news asia (CNA) về các cuộc tấn công vào cơ sở hạ tầng trọng yếu, CSA cho biết cho đến nay vẫn chưa có dấu hiệu nào cho thấy Singapore đã bị nhắm mục tiêu bởi bất kỳ nhóm ransomware nào. "Tuy nhiên, chúng tôi không mất cảnh giác", người phát ngôn của CSA cho hay.

Cho đến nay, Singapore cũng chưa trải qua bất kỳ cuộc tấn công ransomware quy mô lớn và có tính hệ thống, hoặc bất kỳ cuộc tấn công nào ảnh hưởng đến các nhà khai thác cơ sở hạ tầng thông tin trọng yếu (CII) của nước này.

Trong Đạo luật An ninh mạng, CII được định nghĩa là một máy tính hoặc một máy tính được đặt toàn bộ hoặc một phần tại Singapore, cần thiết để cung cấp liên tục một dịch vụ thiết yếu. Việc máy tính hoặc hệ thống máy tính bị mất hoặc bị xâm phạm sẽ có "tác động làm suy yếu" tính khả dụng của các dịch vụ thiết yếu ở Singapore.

Các lĩnh vực trọng yếu bao gồm năng lượng, nước, ngân hàng và tài chính, y tế, giao thông vận tải, chính phủ, thông tin - truyền thông và các dịch vụ an ninh và khẩn cấp.

Với sự gia tăng của các sự cố ransomware trên toàn cầu, CSA cho biết đã thực hiện "các bước chủ động" để bảo vệ CII của quốc gia và chỉ đạo các ngành này "nâng cao vị thế an ninh mạng" và thực hiện các biện pháp cần thiết để giảm thiểu các mối đe dọa ransomware.

Một số biện pháp cần thiết bao gồm cải thiện khả năng phát hiện hoạt động bất thường một cách nhanh chóng, sao lưu dữ liệu thường xuyên, giữ bản sao lưu ngoại tuyến và thực hiện kế hoạch ứng phó sự cố và liên tục kinh doanh trong trường hợp bị tấn công bằng ransomware. Người phát ngôn CSA cũng cho biết: "Đây là những biện pháp ứng phó với không gian mạng hiện nay được yêu cầu đối với các lĩnh vực CII theo Đạo luật An ninh mạng".

Ông Nagel của Cybereason cho rằng Singapore "không còn bao xa nữa" đối với một cuộc tấn công cấp cao vào các hệ thống của họ. Theo ông, việc triển khai EDR của Singapore là khoảng 40%, tương tự như phần còn lại của thế giới. Vì vậy, thực tế là hầu hết các công ty vẫn chưa triển khai các giải pháp mạng mới hơn tạo cơ hội cho các công ty bị tấn công bởi ransomware hoặc một số hình thức tấn công khác".

Ông dẫn chứng vụ xâm phạm dữ liệu cá nhân SingHealth năm 2018 là ví dụ về một cuộc tấn công mạng. Khoảng 1,5 triệu hồ sơ bệnh nhân của SingHealth đã được truy cập và sao chép, trong khi 160.000 người trong số đó đã lấy hồ sơ thuốc cấp phát ngoại trú của họ. Dữ liệu được lấy bao gồm tên, số chứng minh nhân dân (NRIC), địa chỉ, giới tính, chủng tộc và ngày sinh.

Mặc dù ông nhận thấy rằng CSA đã thực hiện "rất tốt" trong việc nâng cao nhận thức, thảo luận với khu vực công và tư nhân cũng như thúc đẩy chương trình nghị sự về an ninh mạng, các tổ chức vẫn cần áp dụng các giải pháp EDR. "Tôi nghĩ rằng vẫn còn nhiều việc phải làm trong việc áp dụng và điều đó sẽ giảm thiểu rủi ro đối với cơ sở hạ tầng trọng yếu và các DN lớn ở Singapore", ông nói.

Còn theo ông Yeo, các cuộc tấn công có tính hệ thống và quy mô là không thể tránh khỏi, đồng thời cho biết thêm rằng vấn đề chỉ là "khi nào và như thế nào". Không phải là bạn có bị tấn công hay không mà là cách bạn bảo vệ, cách giảm thiểu nếu gặp phải sự cố".

Đặc điểm an ninh mạng của Singapore

Ông Yeo cho biết an ninh mạng của Singapore có "một điểm vượt trội" so với các nước khác. "Nhưng điều đó không có nghĩa là chúng ta nên mất cảnh giác". Áp lực pháp lý ở Singapore là đang "đi trước", với việc CSA xác định an ninh mạng là ngành công nghiệp trọng yếu của quốc gia và ai sẽ điều tiết ngành, với các quy định bao gồm bảo vệ dữ liệu.

Singapore cũng đi đầu trong nhận thức, tiếp thu công nghệ và kỹ năng mạng. Là một trung tâm khu vực của nhiều trung tâm dữ liệu và nhiều văn phòng châu Á - Thái Bình Dương, có nghĩa là có "sự tập trung tinh hoa CNTT ở đây", bao gồm cả sự tinh hoa về an ninh mạng, ông Yeo nói.

Tuy nhiên, điều mà các công ty cần phải làm tốt hơn là phải chịu trách nhiệm. Theo quan sát của ông Yeo, các công ty sẽ thuê ngoài các dịch vụ như tài chính hoặc nhân sự và sau đó bỏ qua vấn đề an ninh mạng trong các lĩnh vực này.

"Điều quan trọng là họ phải hiểu rằng họ không thuê ngoài việc bảo mật. Các công ty nên thực hiện kiểm tra nhà cung cấp dịch vụ hoặc mua gói bảo mật bổ sung nếu nhà cung cấp dịch vụ cung cấp dịch vụ này", ông nói.

Ngoài ra, các cá nhân không thực hiện các bước cần thiết để bảo mật mạng gia đình của chính họ, đặc biệt là với các cam kết làm việc tại nhà hiện nay của Singapore.

Ông Ng cho biết Singapore phải tiếp tục nâng cao cảnh giác và nhận thức về các mối đe dọa đang tăng lên vì những kẻ tấn công sẽ tiếp tục tìm kiếm các lỗ hổng mới và khai thác điểm yếu.

"Khi có thể làm như vậy, mới có thể tự giúp giảm nguy cơ bị tấn công mạng và phát hiện ra dấu vết, xác định khả năng xâm phạm dữ liệu… các lỗ hổng tiềm ẩn. Nó có thể giúp giảm thiểu rủi ro của chính mình, cho dù là tổ chức của bạn, bên thứ ba hay chuỗi cung ứng, trước khi những kẻ tấn công có thể làm như vậy", ông nói.

Singapore đã chuẩn bị như thế nào?

Về việc liệu Singapore có nên lo lắng về các vụ hack ransomware hay không, ông Nagel nói: "Tôi nghĩ các công ty nói chung (chưa) chuẩn bị đủ. Các công ty nên có kế hoạch ứng phó trong trường hợp họ bị tấn công bởi ransomware.

"Thực tế là nhiều công ty vẫn chưa làm được điều đó, vì vậy không thể thực hiện những kế hoạch tiếp theo khi bị tấn công. Nếu đó là một cuộc tấn công ransomware có hệ thống, thì thậm chí không có quyền truy cập vào hệ thống của mình nữa, vì vậy không thể gửi email cho nhau", ông nói.

"Nếu có ransomware, tức là bạn đã bị tấn công và thậm chí đã bị tấn công trong một khoảng thời gian. Khi công ty phải dừng hoạt động kinh doanh hoặc ngừng hoạt động thì đã quá muộn".

Nhấn mạnh rằng tin tặc đã chuyển từ nhắm mục tiêu đến các SME sang các DN lớn hơn và cơ sở hạ tầng trọng yếu, ông Nagel cho hay: "Khi phải đối mặt với càng nhiều tổn thất, thì khả năng phải trả tiền để giải quyết vấn đề ngay lập tức càng cao… Vì vậy, tôi nghĩ mọi người nên lo lắng"./.