Doanh nghiệp cần áp dụng ngay 9 điều cần làm khi bị tấn công bởi Ransomware ngay khi bị tấn công bởi kẻ gian thông qua mã độc tống tiền nhằm tối thiểu hóa thiệt hại gây ra.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu khoản tiền chuộc để giải mã. Kẻ tấn công có thể xâm nhập vào hệ thống máy tính của nạn nhân thông qua nhiều cách khác nhau, chẳng hạn như email lừa đảo, lỗ hổng phần mềm hoặc các trang web độc hại. Sau khi xâm nhập, ransomware sẽ mã hóa các tệp quan trọng của nạn nhân, khiến họ không thể truy cập được. Kẻ tấn công sau đó sẽ yêu cầu một khoản tiền chuộc, thường là dưới dạng tiền mã hóa, để cung cấp khóa giải mã.
Ransomware hoạt động như thế nào?
Ransomware thường hoạt động theo các bước sau:
- Lây nhiễm: Ransomware xâm nhập vào hệ thống máy tính của nạn nhân thông qua email lừa đảo, lỗ hổng phần mềm hoặc các trang web độc hại.
- Mã hóa dữ liệu: Ransomware sử dụng thuật toán mã hóa mạnh để mã hóa các tệp quan trọng của nạn nhân, chẳng hạn như tài liệu, hình ảnh và cơ sở dữ liệu.
- Yêu cầu tiền chuộc: Kẻ tấn công hiển thị thông báo trên màn hình máy tính của nạn nhân, thông báo rằng dữ liệu của họ đã bị mã hóa và yêu cầu khoản tiền chuộc để giải mã.
- Thanh toán: Nạn nhân có thể chọn thanh toán tiền chuộc để lấy lại dữ liệu của họ. Tuy nhiên, không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp khóa giải mã sau khi nhận được thanh toán.
Ransomware gây thiệt hại như thế nào cho doanh nghiệp?
Ransomware có thể gây thiệt hại nghiêm trọng cho doanh nghiệp theo nhiều cách:
- Mất dữ liệu: Ransomware có thể mã hóa các tệp quan trọng, khiến doanh nghiệp không thể truy cập được vào dữ liệu cần thiết để hoạt động. Điều này có thể dẫn đến mất doanh thu, năng suất giảm và thậm chí phá sản.
- Gián đoạn hoạt động: Ransomware có thể khiến các hệ thống máy tính của doanh nghiệp ngừng hoạt động, khiến họ không thể cung cấp sản phẩm hoặc dịch vụ cho khách hàng. Điều này có thể làm hỏng danh tiếng của doanh nghiệp và dẫn đến mất khách hàng.
- Chi phí khôi phục: Doanh nghiệp có thể phải chi trả một khoản tiền lớn để khôi phục dữ liệu và hệ thống máy tính của họ sau khi bị tấn công ransomware.
- Thiệt hại về uy tín: Bị tấn công ransomware có thể làm tổn thương danh tiếng của doanh nghiệp với các bên đối tác và khách hàng, khiến khách hàng mất lòng tin.
Ngoài ra, ransomware còn có thể khiến doanh nghiệp phải tuân thủ các quy định và luật pháp về bảo mật dữ liệu, điều này có thể dẫn đến thêm chi phí và gánh nặng pháp lý.
Cần làm gì để phòng chống Ransomware?
Phòng bệnh hơn chữa bệnh. Các doanh nghiệp và cá nhân cần nâng cao nhận thức về sự nguy hiểm và phiền phức của ransomware và áp dụng các phương pháp tốt nhất để phòng tránh sự tấn công của mã độc tống tiền. Hãy áp dụng các biện pháp dưới đây để bảo vệ thiết bị, dữ liệu và hệ thống của mình khỏi ransomware:
9 điều cần làm khi bị tấn công bởi Ransomware
Thực hiện tất cả các biện pháp phòng tránh trên là điều nên làm và cần làm, tuy nhiên, rủi ro hệ thống nhiễm ransomware là không thể tránh khỏi. Nếu bạn nghi ngờ bị tấn công, hãy hành động nhanh chóng. Sau đây là 9 điều cần làm khi bị tấn công bởi Ransomware có thể thực hiện để giảm thiểu thiệt hại và nhanh chóng khôi phục hoạt động bình thường.
1. Ngắt kết nối thiết bị bị nhiễm
Khi Ransomware chỉ tấn công một thiết bị sẽ không gây ra thiệt hại quá lớn so với quy mô tổ chức. Nhưng nếu nó lây lan sang tất cả các thiết bị trong doanh nghiệp, hậu quả có thể rất nghiêm trọng. Khác biệt giữa hai trường hợp này phụ thuộc nhiều vào thời gian phản ứng. Để đảm bảo an toàn cho mạng nội bộ, ổ đĩa chung và các thiết bị khác, ngay lập tức ngắt kết nối thiết bị bị nhiễm khỏi mạng, internet và các thiết bị khác. Ngắt kết nối càng sớm, các thiết bị khác càng ít có nguy cơ bị lây nhiễm.
2. Ngăn chặn sự lây lan
Ransomware lan truyền nhanh chóng, và không dễ để xác định thiết bị đầu tiên bị nhiễm. Do đó, việc ngắt kết nối thiết bị bị nhiễm ngay lập tức không đảm bảo ransomware không tồn tại ở các nơi khác trên mạng của bạn.
Để hạn chế phạm vi thiệt hại, bạn cần ngắt kết nối khỏi mạng tất cả các thiết bị hoạt động bất thường, bao gồm cả những thiết bị hoạt động bên ngoài văn phòng. Nếu được kết nối với mạng, chúng đều có nguy cơ bị nhiễm. Bạn cũng được khuyến cáo tắt các kết nối không dây (Wi-Fi, Bluetooth, v.v.) vào thời điểm này.
3. Đánh giá thiệt hại
Hãy kiểm tra các file được mã hóa gần đây với extension lạ để xác định thiết bị nào đã bị nhiễm. Ngoài ra, hãy tìm kiếm báo cáo về tên file bất thường hoặc khi người dùng gặp sự cố khi mở file. Nếu phát hiện bất kỳ thiết bị nào chưa bị mã hóa hoàn toàn, tắt và cách ly để bảo vệ chúng cuộc tấn công và tránh mất thêm dữ liệu.
Khi này, bạn cần tạo danh sách toàn diện về tất cả các hệ thống bị ảnh hưởng, bao gồm thiết bị lưu trữ mạng, lưu trữ đám mây, ổ cứng ngoài (bao gồm cả USB), laptop, điện thoại thông minh và bất kỳ phương tiện lưu trữ nào khác. Lúc này, việc khóa các ổ đĩa dùng chung là cần thiết.
Hạn chế truy cập vào tất cả các ổ đĩa nếu có thể; nếu không, hãy hạn chế càng nhiều càng tốt. Điều này sẽ dừng bất kỳ quá trình mã hóa đang diễn ra và ngăn chặn các ổ đĩa khác bị nhiễm trong khi khắc phục sự cố. Nhưng trước khi thực hiện, hãy kiểm tra các ổ đĩa dùng chung đã được mã hóa. Bởi vì nếu một thiết bị có số lượng file mở cao bất thường so với thông thường, bạn có thể đã tìm thấy thiết bị đầu tiên bị nhiễm (Patient Zero).
4. Xác định thiết bị Patient Zero
Việc theo dõi quá trình lây nhiễm sẽ dễ dàng hơn đáng kể khi xác định được nguồn gốc. Hãy kiểm tra mọi cảnh báo có thể đến từ phần mềm diệt virus/phần mềm chống phần mềm độc hại, EDR hoặc bất kỳ nền tảng giám sát nào đang hoạt động.
Ngoài ra, vì hầu hết ransomware xâm nhập vào mạng thông qua các liên kết và tệp đính kèm email độc hại, yêu cầu người dùng cuối phải thực hiện hành động, hãy hỏi thẳng mọi người về hoạt động của họ (chẳng hạn như mở email đáng ngờ) và những gì họ nhận thấy cũng có thể hữu ích. Cuối cùng, việc kiểm tra thuộc tính của chính các file cũng có thể cung cấp manh mối – người được liệt kê là chủ sở hữu có thể là điểm vào. Không loại trừ trường hợp có thể có nhiều hơn một thiết bị Patient Zero!)
5. Xác định loại ransomware
Trước khi tiến hành bất kỳ bước nào khác, hãy xác định bạn đang đối mặt với biến thể ransomware nào, sử dụng các công cụ như No More Ransom. Trang web này có một bộ công cụ giúp bạn giải phóng dữ liệu, bao gồm công cụ Crypto Sheriff: Chỉ cần tải lên một trong các file được mã hóa của bạn và nó sẽ quét để tìm kiếm sự phù hợp.
Bạn cũng có thể sử dụng thông tin được bao gồm trong ghi chú yêu cầu tiền chuộc: Nếu nó không nêu rõ biến thể ransomware trực tiếp, hãy sử dụng công cụ tìm kiếm để truy vấn địa chỉ email hoặc chính ghi chú đó. Sau khi xác định được ransomware và nghiên cứu nhanh về hành vi của nó, bạn nên cảnh báo cho tất cả nhân viên không bị ảnh hưởng càng sớm càng tốt để họ biết cách nhận biết các dấu hiệu nhiễm.
6. Báo cáo ransomware cho nhà chức trách
Ngay khi ransomware bị cô lập, hãy liên hệ với cơ quan chức năng và thực thi pháp luật có liên quan, cụ thể ở Việt Nam là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an. Vì ransomware là hành vi vi phạm pháp luật – và giống như bất kỳ tội phạm nào khác, nó cần được báo cáo cho các cơ quan chức năng thích hợp.
Căn cứ khoản 4 Điều 2 Luật An ninh mạng 2018 quy định như sau: Tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự. Tại Bộ luật Hình sự 2015 quy định các loại tội phạm mạng, các hành vi đã có mức xử phạt rõ ràng lên tới 300 triệu VNĐ tiền phạt và/hoặc phạt tù đến 20 năm tùy vào khung vi phạm.
7. Đánh giá bản sao lưu
Bây giờ là lúc bắt đầu quá trình phục hồi. Cách nhanh nhất và dễ nhất để thực hiện việc này là khôi phục hệ thống từ bản sao lưu. Lý tưởng nhất là bạn sẽ có một bản sao lưu hoàn chỉnh và không bị nhiễm được tạo gần đây. Nếu vậy, bước tiếp theo là sử dụng giải pháp diệt virus/phần mềm chống malware để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm được xóa sạch ransomware – nếu không, nó sẽ tiếp tục khóa hệ thống và mã hóa các file của bạn, có khả năng làm hỏng bản sao lưu của bạn.
Sau khi loại bỏ tất cả dấu vết của phần mềm độc hại, bạn sẽ có thể khôi phục hệ thống của mình từ bản sao lưu này và – một khi bạn xác nhận rằng tất cả dữ liệu được khôi phục và tất cả các ứng dụng và quy trình đều hoạt động bình thường – quay trở lại hoạt động kinh doanh như thường lệ.
Tuy nhiên, không nhiều tổ chức nhận ra tầm quan trọng của việc tạo và duy trì bản sao lưu cho đến khi cần đến và chúng không có ở đó. Tệ hơn, vì ransomware hiện đại ngày càng tinh vi và linh hoạt, một số tổ chức có tạo bản sao lưu cũng sớm phát hiện ra rằng ransomware đã làm hỏng hoặc mã hóa chúng, khiến chúng hoàn toàn vô dụng.
8. Tìm kiếm công cụ giải mã
Nếu bạn không có bản sao lưu khả dụng, vẫn còn cơ hội để lấy lại dữ liệu. Ngày càng có nhiều khóa giải mã miễn phí được tìm thấy tại No More Ransom. Nếu có sẵn cho biến thể ransomware bạn đang gặp phải (và giả sử bạn đã xóa sạch tất cả dấu vết của phần mềm độc hại khỏi hệ thống), bạn có thể sử dụng khóa giải mã để mở khóa dữ liệu của mình. Tuy nhiên, ngay cả khi may mắn tìm thấy công cụ giải mã, bạn vẫn chưa hoàn thành – bạn vẫn có thể mất hàng giờ hoặc hàng ngày để khắc phục sự cố.
9. Hãy chấp nhận và bước tiếp!
Thật không may, nếu bạn không có bản sao lưu khả dụng và không thể tìm thấy khóa giải mã, lựa chọn duy nhất của bạn có thể là chấp nhận mất mát và bắt đầu lại từ đầu. Việc xây dựng lại hệ thống sẽ không phải là một quá trình nhanh chóng hoặc tốn kém, nhưng một khi bạn đã sử dụng hết các tùy chọn khác, thì đó là điều tốt nhất bạn có thể làm.
Tại sao không nên trả tiền chuộc?
Trước nguy cơ mất hàng tuần hoặc hàng tháng để khôi phục dữ liệu, việc chấp nhận yêu cầu trả tiền chuộc có thể rất hấp dẫn. Nhưng có một số lý do khiến đây không phải một lựa chọn sáng suốt:
Không đảm bảo nhận được khóa giải mã
Khi bạn trả tiền chuộc ransomware, bạn sẽ nhận được khóa giải mã để khôi phục dữ liệu. Tuy nhiên, khi giao dịch với kẻ tấn công ransomware, bạn đang phụ thuộc vào sự liêm chính của tội phạm. Nhiều cá nhân và tổ chức đã trả tiền chuộc nhưng không nhận được gì cả – họ mất hàng chục hoặc hàng trăm nghìn USD và vẫn phải xây dựng lại hệ thống từ đầu.
Bị đòi tiền chuộc nhiều lần
Một khi bạn trả tiền chuộc, tội phạm mạng tung ra ransomware sẽ biết bạn phụ thuộc vào chúng. Chúng có thể cung cấp cho bạn khóa giải mã hoạt động nếu bạn sẵn sàng trả thêm tiền.
Nhận được khóa giải mã không hoàn toàn hoạt động
Kẻ tạo ra ransomware không kinh doanh phục hồi file; họ kinh doanh kiếm tiền. Nói cách khác, trình giải mã bạn nhận được có thể chỉ đủ tốt để tội phạm nói rằng chúng đã hoàn thành thỏa thuận. Hơn nữa, quá trình mã hóa đôi khi làm hỏng một số file không thể sửa chữa. Nếu điều này xảy ra, ngay cả một khóa giải mã tốt cũng không thể mở khóa các file của bạn – chúng sẽ biến mất vĩnh viễn.
Trở thành mục tiêu tấn công
Khi bạn trả tiền chuộc, tội phạm biết bạn là khoản đầu tư tốt. Một tổ chức có lịch sử trả tiền chuộc sẽ là mục tiêu hấp dẫn hơn so với mục tiêu mới có thể trả hoặc không trả. Điều gì có thể ngăn chặn nhóm tội phạm tấn công lại trong một hoặc hai năm tới, hoặc đăng thông báo trên các diễn đàn và nói cho các tội phạm mạng khác biết bạn là một mục tiêu dễ dàng?
Tài trợ cho hoạt động tội phạm
Ngay cả khi mọi thứ suôn sẻ, bạn vẫn đang tài trợ cho hoạt động tội phạm. Giả sử bạn trả tiền chuộc, nhận được khóa giải mã tốt và khôi phục mọi thứ. Đây chỉ là kịch bản tồi tệ nhất (và không chỉ vì bạn mất nhiều tiền). Khi bạn trả tiền chuộc, bạn đang tài trợ cho hoạt động tội phạm. Bỏ qua những vấn đề đạo đức rõ ràng, bạn đang củng cố quan niệm rằng ransomware là một mô hình kinh doanh hiệu quả. (Hãy suy nghĩ về điều này – nếu không ai trả tiền chuộc, bạn có nghĩ chúng sẽ tiếp tục phát tán ransomware không?)
Được thúc đẩy bởi thành công và khoản tiền chuộc khổng lồ, những kẻ tội phạm này sẽ tiếp tục gây ra thiệt hại cho các doanh nghiệp không nghi ngờ và tiếp tục đầu tư thời gian và tiền bạc để phát triển các biến thể ransomware mới và thậm chí còn độc hại hơn – một trong số đó có thể xâm nhập vào thiết bị của bạn trong tương lai.
Kết luận
Ransomware là mối đe dọa nghiêm trọng đối với cá nhân, doanh nghiệp và tổ chức. Việc hiểu biết về cách thức hoạt động của ransomware và cách thức phản ứng khi bị tấn công là rất quan trọng để giảm thiểu thiệt hại và bảo vệ dữ liệu của bạn.
Bằng cách thực hiện các biện pháp phòng ngừa và biết cách phản ứng khi bị tấn công, bạn có thể giúp bảo vệ bản thân và doanh nghiệp của mình khỏi ransomware. Bên cạnh đó, các doanh nghiệp cần có sự hợp tác chặt chẽ giữa các cá nhân, doanh nghiệp, chính phủ và các cơ quan thực thi pháp luật để chống lại ransomware. Các cơ quan chức năng cần tăng cường điều tra và truy tố tội phạm mạng, đồng thời phát triển các công cụ và giải pháp mới để chống lại ransomware.
Trong bối cảnh nhiều vụ tấn công mạng bằng ransomware nhằm vào doanh nghiệp, OSAM phối hợp cùng AWS Việt Nam, VSEC và Sapo tổ chức sự kiện: Ransomware Defense 2024: Bảo vệ Doanh nghiệp trong Thời đại Số nhằm giúp các doanh nghiệp có cái nhìn rõ ràng hơn về các hiểm họa Ransomware, cũng như cách thức áp dụng các biện pháp phòng chống mã độc tống tiền vào doanh nghiệp. Quý doanh nghiệp có nhu cầu đăng ký và tìm thêm thông tin về sự kiện, vui lòng tham khảo tại đây.
