Từ vụ VNDirect bị hack: Mã độc ransomware là gì, sao ai cũng phải khiếp sợ?
Vụ tấn công mạng bằng ransomware vào công ty chứng khoán lớn thứ ba tại Việt Nam - VNDirect, đã gây xôn xao thị trường tài chính.
VNDirect vẫn đang "chết đứng"
Vụ tấn công mạng bằng mã độc tống tiền (ransomware) nhắm vào công ty chứng khoán lớn thứ ba tại Việt Nam - VNDirect, đã gây xôn xao thị trường tài chính. Các nhà đầu tư chỉ tạm "thở phào" khi VNDirect thông báo đã có khóa giải mã, đã giải mã dữ liệu thành công và đang trong quá trình chạy lại dữ liệu để đưa hệ thống hoạt động trở lại.
Tuy nhiên, tính tới 12h ngày 27/3 - tức sau hơn 3 ngày kể từ khi VNDirect bị tấn công, hệ thống của VNDirect vẫn chưa hoạt động trở lại. Theo kế hoạch dự kiến mà VNDirect đưa ra hôm qua (ngày 26/3), khách hàng VNDirect có thể giao dịch trở lại kể từ ngày 28/3.
Thông báo này đã tồn tại trên website của VNDirect hơn 3 ngày qua. (Ảnh chụp màn hình lúc 12h ngày 27/3)
Để cập nhật tiến độ xử lý vụ việc, PV đã liên hệ với đại diện truyền thông của VNDirect vào sáng 27/3. Trước câu hỏi "Tính hình cho tới lúc này, liệu VNDirect có kịp trở lại phục vụ khách hàng kể từ ngày 28/3 như dự kiến hay không?", đại diện VNDirect trả lời rằng: "VNDirect đang gấp rút xử lý sự cố" và những thông tin mới "sẽ lập tức được gửi ngay khi có thông báo của lãnh đạo công ty".
Liên quan tới vấn nạn ransomware mà VNDirect gặp phải, những người trong cuộc chưa tiết lộ họ đã lấy khóa giải mã từ đâu và như thế nào. Song từ góc nhìn bên ngoài, nhiều chuyên gia bảo mật cùng nhận định hacker đã xâm nhập hệ thống VNDirect từ một lỗ hổng nào đó - khả năng là lỗ hổng "zero day" (chỉ các lỗ hổng chưa từng được biết đến), sau đó cài ransomware để mã hóa dữ liệu đòi tiền chuộc.
"Một tổ chức tài chính lớn như VNDirect thì hệ thống bảo mật không thể tầm thường. Khả năng hacker có thể đã xâm nhập bằng một lỗ hổng zero-day mới khiến VNDirect rơi vào trạng thái như bây giờ, đồng thời cũng có khả năng VNDirect đã phải trả tiền chuộc cho hacker để giải mã dữ liệu", một chuyên gia công nghệ nhận định.
Sự nguy hiểm của ransomware
Từ vụ việc này, trả lời phỏng vấn của PV, bà Võ Dương Tú Diễm - Giám đốc khu vực Việt Nam của hãng bảo mật Kaspersky cảnh báo các tổ chức về mối nguy tiềm ẩn của loại hình tấn công bằng ransomware.
Bà Võ Dương Tú Diễm - Giám đốc khu vực Việt Nam của Kaspersky. (Ảnh: NVCC)
Theo bà Diễm, kẻ tấn công sử dụng ransomware để kiểm soát quyền truy cập vào các tài sản quan trọng của doanh nghiệp và yêu cầu khoản tiền chuộc để khôi phục quyền truy cập đó. Để bảo vệ doanh nghiệp, người dùng cần phân biệt hai loại ransomware cơ bản:
- Locker ransomware: Hình thức này sẽ vô hiệu hóa một phần chuột và bàn phím của người dùng, nhưng vẫn cho phép họ xem màn hình hiển thị yêu cầu tiền chuộc. Tuy nhiên, các chức năng khác của máy tính sẽ không thể sử dụng được.
- Crypto ransomware: Thay vì chặn các chức năng cơ bản của máy tính, phần mềm độc hại này mã hóa dữ liệu quan trọng của doanh nghiệp, chẳng hạn như thông tin của khách hàng, đối tác, chuỗi cung ứng, nhân viên, chiến lược kinh doanh, hình ảnh, video,… Kẻ tấn công lợi dụng tầm quan trọng của dữ liệu để yêu cầu tiền chuộc, nếu không thì tất cả thông tin quan trọng sẽ bị xóa.
"Suốt cả thập kỷ qua, tội phạm mạng đã gây ra các cuộc tấn công ransomware và sử dụng nhiều cách thức để phát tán chúng ở nhiều doanh nghiệp", Giám đốc khu vực Việt Nam của Kaspersky cho biết.
Những vụ tấn công bằng ransomware
Bà Võ Dương Tú Diễm dẫn một số ví dụ điển hình về những nguy hiểm, rủi ro mà các cuộc tấn công ransomware gây ra cho doanh nghiệp:
- Tấn công lừa đảo qua email (Email phising): Năm 2016, một loạt các cuộc tấn công ransomware mang tên Locky nhắm vào các bệnh viện lớn khiến các cơ sở này không thể truy cập dữ liệu bệnh nhân và trong một số trường hợp, buộc phải chuyển bệnh nhân sang các bệnh viện khác. Thông thường, nạn nhân bị lừa đảo qua email và cuộc tấn công này mã hóa tất cả các tài liệu và hình ảnh quan trọng, chẳng hạn như hồ sơ bệnh nhân, cho đến khi tiền chuộc (thường là Bitcoin) được thanh toán.
- Lỗ hổng hệ điều hành: Hệ thống lỗi thời là một trong những lý do chính khiến doanh nghiệp dễ bị tấn công ransomware, điển hình là cuộc tấn công ransomware WannaCry đình đám năm 2017. Cuộc tấn công này bắt đầu từ Anh và lan rộng ra gần 150 quốc gia trên toàn thế giới, chủ yếu nhắm vào các cơ quan nhà nước và đơn vị doanh nghiệp lớn.
Theo Interpol, phần mềm độc hại WannaCry đã tấn công 230.000 máy tính trên 150 quốc gia. Hệ quả là mạng điện thoại Telefonica ở Tây Ban Nha bị tê liệt, cùng với lịch trình khởi hành của nhiều chuyến tàu và máy bán vé tự động bị gián đoạn nghiêm trọng.
- Tấn công "Drive-by-attacks": Sau vụ tấn công ransomware WannaCry năm 2017, một loại ransomware khác mang tên Bad Rabbit đã xuất hiện, chủ yếu tấn công vào các quốc gia như Nga và khu vực Đông Âu. Thủ đoạn của Bad Rabbit rất tinh vi khi chúng yêu cầu người dùng chạy trình cài đặt Adobe Flash (được ngụy trang dưới dạng phần mềm độc hại từ một trang web đã bị tấn công), từ đó phần mềm độc hại đã lây nhiễm vào máy tính của người dùng. Kẻ tấn công đằng sau Bad Rabbit đã yêu cầu khoản tiền chuộc 0,05 Bitcoin, tương đương với 280 USD theo tỷ giá thời điểm ấy.
4 biện pháp nên tham khảo để đề phòng ransomware
Sau vụ tấn công ransomware gần đây, các chuyên gia của Kaspersky đã đưa ra các khuyến nghị sau để giúp doanh nghiệp tự bảo vệ mình trước những cuộc tấn công tương tự:
- Sao lưu dữ liệu: Đảm bảo dữ liệu doanh nghiệp luôn được sao lưu để ngăn chặn dữ liệu bị mất, đánh cắp hoặc vô tình bị xóa. Khi sao lưu, hãy sử dụng các thiết bị bên ngoài và ngắt kết nối chúng khỏi máy tính ngay sau đó, vì dữ liệu sẽ bị mã hóa nếu chúng được kết nối với thiết bị bị nhiễm phần mềm độc hại. Việc sao lưu sẽ giúp doanh nghiệp tránh mất dữ liệu và bị yêu cầu tiền chuộc.
- Cập nhật hệ thống thường xuyên: Cuộc tấn công WannaCry 2017 xảy ra phần lớn là do doanh nghiệp không cập nhật hệ thống thường xuyên. Điều này tạo điều kiện cho kẻ tấn công khai thác lỗ hổng. Hệ quả là các lỗ hổng này vẫn tồn tại và có thể bị tấn công ransomware.
- Đầu tư đào tạo an ninh mạng cho nhân viên: Nhân viên được trang bị đầy đủ kiến thức về an ninh mạng sẽ có khả năng ứng phó trước các cuộc tấn công mạng.
- Sử dụng giải pháp an ninh mạng: Các giải pháp bảo mật có thể góp phần giúp phát hiện và bảo vệ người dùng khỏi các cuộc tấn công ransomware ở mọi giai đoạn của cuộc tấn công với hệ thống bảo mật nhiều lớp.
Trước đó, theo thông báo của VNDirect, họ bị một tổ chức quốc tế tấn công mạng từ 10h sáng ngày 24/3. Hiện, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, thuộc Bộ Công an) đang phối hợp cùng cơ quan chủ quản điều tra, xử lý. VNDirect là công ty chứng khoán có thị phần môi giới cổ phiếu đứng thứ ba trên sàn HoSE với 7,01% (số liệu tính tới năm 2023), chỉ sau VPS và SSI. Do vậy, số lượng nhà đầu tư sử dụng tài khoản VNDirect chiếm không hề nhỏ. Tới cuối 2023, tổng tài sản của công ty đạt hơn 41.000 tỷ đồng, vốn chủ sở hữu trên 12.100 tỷ. VNDirect quản lý hơn 83.000 tỷ đồng tài sản và các khoản phải trả về tài sản của khách hàng. Cùng xảy ra tương tự với VNDirect còn có Tổng Công ty CP Bảo hiểm Bưu điện (PTI) và Công ty TNHH MTV quản lý quỹ đầu tư chứng khoán I.P.A (IPAAM). Cả hai công ty PTI và IPAAM đều có liên quan tới VNDirect. |
Nguồn: [Link nguồn]
Chuyên gia an ninh mạng đặt dấu hỏi lớn về hệ thống bảo mật của một công ty chứng khoán tầm cỡ như VNDirect.