Sự bùng nổ của dịch vụ ransomware khiến kẻ xấu có thể tự thực hiện cuộc tấn công, trong khi sự chuẩn bị của các tổ chức còn yếu.
Tính đến đầu tháng 6, ít nhất bốn doanh nghiệp lớn tại Việt Nam trở thành nạn nhân của mã độc mã hóa dữ liệu tống tiền (ransomware), gây gián đoạn dịch vụ, ảnh hưởng đến tài chính và uy tín. Thống kê cho thấy các chiến dịch ransomware nhắm vào tổ chức, doanh nghiệp Việt trong quý I/2024 tăng 70% so với cùng kỳ năm ngoái.
Theo các chuyên gia, lợi nhuận hàng trăm triệu USD từ các vụ tống tiền trở thành động lực cho tin tặc hoạt động mạnh, trong khi xu hướng cung cấp ransomware dưới dạng dịch vụ khiến bất cứ ai có ý đồ xấu cũng thể thực hiện, khiến các nhóm tấn công nhỏ lẻ dần để ý đến các thị trường mới như Việt Nam, kéo theo số nạn nhân trong nước ngày càng tăng.
Từ chuyện chiếc chăn đến sự tiến hóa của tấn công ransomware
Tại tọa đàm “Giải mã câu chuyện ransomware” ngày 18/6, ông Nguyễn Công Cường, Giám đốc Trung tâm Giám sát và Phản ứng trên không gian mạng Viettel Cyber Security (VCS), kể về dụng cụ đặc biệt mà nhóm ông thường mang theo bên mình: “Mỗi khi nhận nhiệm vụ, chúng tôi nhắc nhau mang theo chăn”.
Dù không liên quan đến kỹ thuật, ông Cường cho biết điều này xuất phát từ thực tế các sự cố ransomware gần đây đều tấn công sâu đến mức hạ tầng, khiến việc ứng cứu không thể thực hiện được quan các kênh từ xa mà phải trực tiếp vào nơi đặt máy chủ để làm. Thời gian kéo dài, trong điều kiện nhiệt độ thấp của trung tâm dữ liệu khiến chiếc chăn trở thành vật dụng không thể thiếu.
Có hơn 17 năm kinh nghiệm và tham gia ứng cứu hơn 200 sự cố an ninh mạng, chuyên gia này nhận thấy sự thay đổi rõ rệt của hình thức tấn công mã độc tống tiền trong vài năm trở lại đây so với thờiWannaCrynăm 2017. Đặc biệt trong hơn nửa năm qua, các vụ tấn công mã hóa dữ liệu ở mức hạ tầng tăng mạnh cả về số lượng và tần suất.
Theo ông, mã độc tống tiến trước đây tập trung vào khả năng lây lan ra số lượng lớn, chủ yếu ảnh hưởng tới thiết bị cá nhân và một phần trong tổ chức, chưa đủ khiến họ trả tiền cho tin tặc. Tuy nhiên ở giai đoạn sau, ransomware chuyển dịch sang hướng tấn công vào doanh nghiệp tầm trung trở lên, khiến họ chịu tổn thất nặng nề, từ đó tăng khả năng thu được tiền chuộc dữ liệu.
Đồng quan điểm, ông Trần Minh Quảng, Giám đốc trung tâm phân tích và chia sẻ nguy cơ an ninh mạng VCS, đánh giá trong hai năm gần đây, xu hướng của tội phạm mạng là tấn công ransomware kết hợp tấn công có chủ đích APT. Khi xác định được con mồi, tin tặc sẵn sàng đầu tư kỹ thuật, như tìm lỗ hổng zero-day, kỹ năng xã hội để lừa người dùng và xâm nhập hệ thống, sau đó nằm vùng trong thời gian dài từ 6 tháng đến một năm để nắm dữ liệu quan trọng, trước khi kích hoạt việc mã hóa tống tiền.
Ransomware thành ngành dịch vụ tỷ USD
Để thực hiện tấn công ransomware kết hợp APT như trên, theo ông Quảng, các nhóm tin tặc cũng cần nhiều nguồn lực và kỹ năng. Các điều kiện cần có như hạ tầng ẩn danh chứa các máy chủ điều khiển, khả năng viết mã độc tinh vi để vượt qua lớp phòng thủ. Ngoài ra, cũng cần một loạt quy trình như rà quét để xâm nhập lây lan, mã hóa dữ liệu, sau đó tương tác với nạn nhân để lấy tiền chuộc.
“Trước đây số tổ chức làm được như vậy khá ít nên số lượng nạn nhân tại một thời điểm cũng không nhiều. Các doanh nghiệp Việt gần như không bị nhắm đến do quy mô nhỏ so với thế giới”, ông Quảng nói. “Tuy nhiên sau này, các nhóm sở hữu ransomware dần nhận ra vẫn còn rất nhiều mục tiêu ngoài kia, nên chuyển sang hướng cung cấp dịch vụ”.
Theo đó, chúng chỉ cần đảm bảo duy trì hạ tầng quản trị, công cụ tấn công, sau đó đóng gói thành dịch vụ cung cấp ra bên ngoài cho các nhóm nhỏ hơn. Hình thức này được gọi là ransomware as a service, hay kinh doanh tấn công mạng theo mô hình đại lý.
Mô hình này cho phép một người không cần biết duy trì hạ tầng hay lập trình mã độc, nhưng có thể thuê dịch vụ, đi tấn công mục tiêu, sau đó “ăn chia” với bên cung cấp. Điều này được thể hiện ở việc số lượng nhóm sở hữu ransomware vốn không gia tăng nhiều qua các năm, nhưng số vụ xâm nhập tăng hàng trăm lần, xuất hiện mạnh mẽ ở những thị trường mới như Việt Nam.
“Ngành công nghiệp này phát triển đến mức các nhóm cung cấp dịch vụ cạnh tranh nhau về tỷ lệ ăn chia. Thậm chí có bên chỉ nhận 10-15% số tiền thu được, còn lại là trả cho người đi cài cắm ransomware”, ông Quảng nói.
Với mô hình bán dịch vụ ransomware dưới dạng đại lý, thị trường dần xuất hiện những đại lý cấp 1-2-3 tương tự các ngành kinh doanh khác. Thực tế này khiến số nạn nhân liên tục mở rộng, trong khi việc điều tra thủ phạm khó khăn hơn. Nhờ cung cấp dưới dạng dịch vụ, nhiều nhóm tin tặc như Lockbit, Blackcat thu về hàng tỷ USD mỗi năm.
Lỗ hổng từ doanh nghiệp
Song song với sự phát triển của mã độc, lỗ hổng trong nhiều doanh nghiệp đã trở thành điểm yếu để hacker cài cắm và thực hiện tấn công.
Sau quá trình ứng cứu cho nhiều đơn vị tại Việt Nam, ông Nguyễn Công Cường đánh giá nạn nhân đều là những đơn vị quan tâm đến an ninh mạng và có đầu tư giải pháp chuyên dụng để chống tấn công. Tuy nhiên, quá trình vận hành tồn tại nhiều điểm yếu để hacker khai thác. Các lỗ hổng có thể kể đến như sử dụng tài khoản đặc quyền một cách thiếu kiểm soát, giúp tin tặc có thể dễ dàng thu thập và truy cập vào hệ thống với đặc quyền cao nhất. Việc sao lưu dữ liệu không được thực hiện đúng chuẩn, dẫn tới việc các bản backup này có thể xóa hoặc mã hóa và không thể khôi phục khi gặp sự cố.
Ví von ransomware tấn công doanh nghiệp cũng giống như một tác nhân gây bệnh trong cơ thể, các chuyên gia cho rằng việc việc “tầm soát” thường xuyên hệ thống sẽ giúp giảm thiểu tối đa nguy cơ bị mã hóa dữ liệu.
“Trong quá trình hỗ trợ doanh nghiệp, chúng tôi gặp không ít trường hợp bị xâm nhập nhưng chưa đến giai đoạn bị mã hóa nên vẫn kịp ngăn chặn”, ông Quảng nói. Trên thế giới, mô hình chống ransomware cũng dần chuyển từ hướng bảo vệ sang “phát hiện và xử lý sớm”, dần tiến lên mô hình phát hiện trước khi các nguy cơ xảy ra.
Theo chuyên gia của VCS, giải pháp tối ưu là giám sát 24/7 để phát hiện ngay nguy cơ, nhưng chi phí rất lớn và chủ yếu được dùng trong hệ thống tài chính ngân hàng, vốn cần được đảm bảo và đủ tiềm lực đầu tư. Hiện tin tặc thường nằm vùng thời gian vài tháng trước khi kích hoạt mã hóa. Do đó, các doanh nghiệp nếu chưa thể đầu tư hệ thống mạnh có thể rà soát định kỳ 3-6 tháng để phát hiện sớm nguy cơ và ngăn chặn kịp thời, sau đó dần rút ngắn chu kỳ này nếu có thể.