Tổng công ty Dầu Việt Nam PVOIL là đơn vị mới nhất thông báo bị mã hóa dữ liệu. Sự cố diễn ra ngày 2/4, khiến hệ thống công nghệ thông tin bị ngưng trệ. Trước đó, ngày 24/3, công ty chứng khoán VNDirect bị một tổ chức quốc tế tấn công mã hóa dữ liệu, phải ngừng hoạt động nhiều ngày. Một số công ty bảo mật cho biết cũng đang tham gia hỗ trợ khắc phục hậu quả do mã độc tống tiền (ransomware) tại một số đơn vị nhỏ hơn.
Các vụ tấn công mã hóa dữ liệu xảy ra trong thời gian ngắn, khiến nhiều người cho rằng đang có chiến dịch nhắm vào tổ chức, doanh nghiệp Việt Nam.
Tuy nhiên, một chuyên gia an toàn thông tin đang tham gia ứng cứu sự cố cho một số doanh nghiệp nói chưa có dấu hiệu của một chiến dịch cụ thể. Nhận định ban đầu cho thấy cuộc tấn công diễn ra đơn lẻ, đến từ những nhóm tin tặc khác nhau, nhưng lại được kích hoạt liên tiếp trong thời gian gần nhau.
Theo người này, mã độc đã được các nhóm hacker cài cắm và ẩn mình trong hệ thống của nhiều tổ chức, doanh nghiệp một thời gian dài. "Công tắc" kích hoạt chuỗi tấn công có thể xuất phát từ sự cố của VnDirect. Sự việc gây ảnh hưởng lớn và kéo dài hơn một tuần khiến nhiều tổ chức, doanh nghiệp có xu hướng cảnh giác và quan tâm hơn đến hệ thống thông tin của mình. Cùng với động thái của cơ quan quản lý trong việc yêu cầu rà soát, kiểm tra lại hệ thống, các nhóm tấn công cảm thấy cần phải hành động ngay.
"Họ sẽ muốn hành động sớm trước khi nạn nhân phát hiện và triển khai các biện pháp ngăn chặn", chuyên gia này đánh giá.
Đồng quan điểm, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật công ty an ninh mạng NCS, cũng cho biết trong một số vụ thời gian qua, tác nhân tấn công có nguồn gốc khác nhau. Trong đó có những vụ mà kẻ tấn công đã xâm nhập hệ thống từ 1-2 năm trước khi tiến hành mã hóa dữ liệu.
"Khi thấy một nhóm đạt được mục tiêu, các nhóm sau cũng sẽ tiến hành theo", ông cho hay.
Vì lý do này, hai chuyên gia đều nhận định có thể sẽ còn những sự cố tiếp theo trong thời gian ngắn tới, trước khi các doanh nghiệp, tổ chức hoàn thành việc rà quét và có biện pháp bảo vệ nâng cao hơn.
Theo báo cáo của hãng bảo mật tại Việt Nam, năm ngoái, trong nước ghi nhận ít nhất 9 vụ tấn công ransomware trong lĩnh vực bán lẻ, sản xuất với hàng trăm GB dữ liệu bị mã hóa đòi tiền chuộc.
Tấn công ransomware diễn ra thế nào?
Mục tiêu chính của ransomware là tống tiền, vì vậy chúng thường xây dựng các kịch bản tấn công để có thể thu lời nhiều nhất.
Ban đầu, chúng nhắm tới nỗi lo của tổ chức, doanh nghiệp về việc bị mã hóa dữ liệu dẫn đến gián đoạn hoạt động, và đòi một số tiền lớn. Tuy nhiên, nhiều bên không làm theo yêu cầu này nếu họ đã có phương án sao lưu dữ liệu hệ thống từ trước.
Từ đó, một số nhóm hacker xây dựng một mô hình "tống tiền kép". Bên cạnh mã hóa, chúng sẽ cố gắng đánh cắp thông tin nhạy cảm, như thông tin người dùng, dữ liệu kinh doanh của doanh nghiệp, để rao bán hoặc đe dọa nạn nhân. Nếu nạn nhân không chịu chi tiền khi bị ransomware, chúng sẽ gây áp lực bằng cách dọa công khai dữ liệu bị đánh cắp, buộc họ phải đánh đổi nếu không muốn gặp vấn đề về pháp lý cũng như ảnh hưởng danh tiếng.
Để thực hiện các kịch bản trên, quy trình của các nhóm ransomware thường trải qua 3-4 giai đoạn và diễn ra trong thời gian dài.
Đầu tiên là chọn mục tiêu và tìm cách xâm nhập, thường là các tổ chức, doanh nghiệp có tiềm lực tài chính tốt. Hacker sẽ dụng phương thức cơ bản như email lừa đảo dẫn dụ cài mã độc, khai thác lỗ hổng phần mềm hoặc mua dữ liệu đăng nhập trên chợ đen. Sau khi vào được bên trong, hacker tiến hành trinh sát để lập bản đồ kiến trúc mạng, hiểu các biện pháp bảo mật của mạng và xác định mục tiêu có giá trị cao.
Với những nhóm hacker tống tiền kép, chúng sẽ tìm cách lấy cắp dữ liệu quan trọng, có thể là hồ sơ khách hàng, thông tin tài chính, sở hữu trí tuệ hoặc tài liệu mật. Dữ liệu này sau đó được nén, mã hóa để vượt qua các lớp bảo vệ và đưa ra bên ngoài.
Trong hai giai đoạn trên, kẻ tấn công thường thực hiện âm thầm, cố gắng thu thập và lây nhiễm vào nhiều hệ thống nhất có thể, đồng thời tìm cách xóa các bản sao lưu nếu có.
Khi đã có đầy đủ các điều kiện, kẻ tấn công bắt đầu giai đoạn mã hóa dữ liệu bằng thuật toán mạnh như AES-256, để không ai có thể mở được nếu không có khóa. Sau đó, chúng sẽ tống tiền nạn nhân, yêu cầu chuyển qua các hình thức ẩn danh như tiền số, chủ yếu là Bitcoin, nếu muốn nhận khóa giải mã.
Thậm chí ngay cả khi chấp nhận trả tiền, tổ chức và doanh nghiệp chưa chắc đã có thể khôi phục hoàn toàn hoạt động. Theo báo cáo của Sophos Labs năm 2021, chỉ 4% tổ chức khôi phục được toàn bộ dữ liệu sau khi trả tiền, giảm từ mức 8% vào năm 2020.