'Thời gian ngừng hoạt động trung bình sau một cuộc tấn công mã độc là 24 ngày'

HỮU BẬT
18:01 31/03/2024

Theo Pure Storage, thời gian ngừng hoạt động trung bình sau một cuộc tấn công bằng mã độc là 24 ngày. Nếu trả tiền chuộc, có thể mất thêm vài ngày để nhận được khóa giải mã và đảo ngược quá trình mã hóa. Dù vậy, không có gì đảm bảo rằng kẻ tấn công sẽ khôi phục dữ liệu hoặc giữ lời hứa.

Screen Shot 2024-03-31 at 6.04.27 PM

Rủi ro từ những cuộc tấn công mã độc. Ảnh: Shutterstock

Tội phạm mạng ngày nay ngày càng trở nên tinh vi hơn, chúng có nhiều dạng mã độc (ransomware) để thực hiện cuộc tấn công vào các tổ chức. Ngay cả khi các doanh nghiệp, tổ chức phát triển nhiều biện pháp hiệu quả hơn để đối phó, tội phạm mạng vẫn có thể điều chỉnh các chiến lược và công cụ để phá hoại.

Tấn công bằng mã độc nghe có vẻ bí ẩn, nhưng cơ bản sẽ tuân theo cấu trúc cơ bản như nhau. Hiểu về cách thức hoạt động của ransomware sẽ giúp doanh nghiệp chuẩn bị những chiến lược hiệu quả giảm thiểu rủi ro một toàn diện hơn, qua đó tăng khả năng phục hồi hệ thóng mạng, và phần nào đó giúp giảm bớt những cuộc tấn công này.

Dưới đây là những đánh giá sâu hơn về cấu trúc một cuộc tấn công bằng mã độc, bao gồm cách kẻ tấn công giành được quyền truy cập và làm lây nhiễm một hệ thống.

Sự lây nhiễm và phân phối của các "Vector"

Mã độc được hiểu là một loại phần mềm độc hại, dùng để mã hóa các tập tin quan trọng của máy tính hoặc những dữ liệu, thông tin quan trọng. Các tội phạm sử dụng loại mã độc này thường với mục đích đòi tiền chuộc.

Sự lây nhiễm xảy ra khi phần mềm độc hại ransomware được tải xuống và cài đặt trên các thiết bị trên mạng của doanh nghiệp.

Những mã độc này có thể truy cập vào hệ thống mục tiêu theo nhiều cách khác nhau. Vào năm 2023, với những tiến bộ vượt bậc của khoa học, công nghệ, các trí tuệ nhân tạo và các nền tảng dịch vụ mã độc, tin tặc đã có thể hợp lý hóa khả năng thực hiện các cuộc tấn công mã độc. Hiện nay, email lừa đảo vẫn là hình thức tấn công phổ biến nhất.

Email lừa đảo thường chứa liên kết đến một trang web bị xâm nhập hoặc tệp đính kèm có phần mềm độc hại được nhúng trong đó. Khi người dùng nhấp vào liên kết hoặc tệp đính kèm, phần mềm độc hại sẽ được tải xuống và thực thi trên hệ thống máy tính.

Giao thức máy tính từ xa (RDP - Remote Desktop Protocol) là một dạng Vector tấn công phổ biến khác vì nó dễ sử dụng và có thể cấp cho kẻ tấn công quyền truy cập cấp cao nếu chúng có thể truy cập thông tin xác thực hợp pháp. Những hacker dạng này có thể sử dụng nhiều thủ đoạn khác nhau. Quyền truy cập và xâm phạm RDP có thể được mua trên các "web đen" (những trang web bất hợp pháp).

Mã hóa

Sau khi mã độc được cài đặt trên hệ thống mục tiêu, nhiệm vụ của nó là chờ đợi, âm thầm thu thâp dữ liệu và lây nhiễm vào nhiều hệ thống nhất có thể. Sau đó, mã độc này sẽ đánh cắp và/hoặc mã hóa các dữ liệu có giá trị nhất của doanh nghiệp. Các phần mềm tống tiền kiểu này thường có thể phá hủy các bản sao lưu hoặc đánh cắp dữ liệu. Do đó, điều quan trọng là các bản sao lưu của doanh nghiệp phải an toàn và không thể thay đổi.

Bây giờ, hãy xem xét kỹ hơn một số loại và biến thể của ransomware.

Phần mềm ransomware mã hóa mã hóa các tập tin, làm xáo trộn nội dung và khiến không thể đọc được các tập tin/nội dung này. Cần có khóa giải mã để khôi phục các tệp về định dạng có thể đọc được. Tội phạm mạng theo đó sẽ đưa ra yêu cầu tiền chuộc, và hứa sẽ giải mã dữ liệu hoặc giải phóng khóa giải mã sau khi đáp ứng yêu cầu.

Locker ransomware (hay còn gọi là Non-encrypting) là loại phần mềm không mã hóa file của nạn nhân. Tội phạm mạng sau đó yêu cầu tiền chuộc để mở khóa thiết bị. Nói chung, có thể khôi phục hoặc tránh được một cuộc tấn công mã độc nếu có sẵn bản sao lưu tốt. Dù vậy, nhìn chung sẽ là khá khó và tốn kém để phục hồi hệ thống sau một cuộc tấn công mã độc. Ngay cả khi đã sao lưu dữ liệu, các thiết bị cũng phải được thay thế hoàn toàn.

Mục tiêu phổ biến của cuộc tấn công bằng mã độc là tống tiền, nhưng các tổ chức có thể từ chối thanh toán, đặc biệt khi họ có sẵn hệ thống sao lưu và phục hồi tốt. Vì lý do này, nhiều tin tặc đe dọa sẽ làm rò rỉ thông tin lên mạng hoặc bán cho người trả giá cao nhất. Thậm chí, tồi tệ hơn, những tin tặc này có thể tống tiền cả bên thứ ba bị ảnh hưởng.

Cuối cùng là mã độc dưới dạng dịch vụ (RaaS) sử dụng mô hình phân phối dịch vụ ứng dụng phần mềm. Đây là dịch vụ mà người dùng phải trả tiền để sử dụng, nó sẽ cung cấp cho họ quyền truy cập vào các công cụ mã độc được phát triển trước đó. Họ dùng chúng để thực hiện những cuộc tấn công và thu được tỷ lệ phần trăm từ mỗi khoản "tống tiền" thu được.

Những yêu cầu và đòi tiền chuộc

Sau khi mã độc đã được triển khai thành công vào hệ thống mạng mục tiêu, yêu cầu tiền chuộc sẽ được đưa ra. Tin tặc cảnh báo nạn nhân rằng một cuộc tấn công đã xảy ra và nêu chi tiết số tiền chuộc. Yêu cầu đòi tiền chuộc được hiển thị trên màn hình máy tính hoặc để lại trong ghi chú trong thư mục chứa các tập tin được mã hóa.

Yêu cầu tiền chuộc thường chứa thông tin chi tiết về số tiền chuộc, phương thức thanh toán được yêu cầu và thời hạn thanh toán cũng như lời hứa trả lại quyền truy cập vào các tệp được mã hóa sau khi tiền chuộc được trả. Nếu việc đánh cắp dữ liệu đã xảy ra, tin tặc cũng có thể đồng ý không làm rò rỉ dữ liệu và đưa ra bằng chứng cho thấy những dữ liệu này đã bị phá hủy. Thanh toán thường được yêu cầu bằng tiền điện tử (ví dụ: Bitcoin).

Tuy nhiên, ngay cả khi tin tặc nhận tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ khôi phục dữ liệu hoặc giữ lời hứa. Họ có thể giữ một bản sao của dữ liệu bị đánh cắp để sử dụng sau này. Khóa giải mã có thể không hoạt động hoàn toàn, khiến một số dữ liệu bị mã hóa hoặc có thể chứa phần mềm độc hại bổ sung mà kẻ tấn công có thể sử dụng trong tương lai.

Đàm phán: Trả hay không trả?

Quyết định trả hay không trả yêu cầu tiền chuộc phụ thuộc vào một số yếu tố: Mức độ ảnh hưởng của hành vi vi phạm đến hoạt động kinh doanh như thế nào? Nhân viên sẽ phải nghỉ việc? Phải nghỉ nhiều không và nghỉ trong bao lâu? Nguy cơ lộ dữ liệu lớn đến mức nào?

Nếu hệ thống sao lưu và khôi phục dữ liệu không bị ảnh hưởng bởi phần mềm mã độc, doanh nghiệp có thể hoàn toàn không phải trả tiền chuộc (tùy thuộc vào loại phần mềm mã độc ảnh hưởng). Nhưng nếu việc trả tiền chuộc thực sự là lựa chọn duy nhất, doanh nghiệp/tổ chức hoặc các cá nhân nên thuê một nhóm ứng phó sự cố có kinh nghiệm để hỗ trợ đàm phán và hỗ trợ thanh toán.

Hậu quả: Khôi phục và phục hồi

Thời gian ngừng hoạt động trung bình sau một cuộc tấn công bằng mã độc là 24 ngày. Nếu trả tiền chuộc, có thể mất thêm vài ngày để nhận được khóa giải mã và đảo ngược quá trình mã hóa.

Lưu ý rằng một số biến thể của phần mềm tống tiền sẽ xác định và hủy các bản sao lưu trên hệ thống mạng bị xâm nhập. Nếu bản sao lưu đã bị hủy hoặc mã hóa, quá trình khôi phục có thể trở nên phức tạp hơn. Nhưng ngay cả khi các bản sao lưu có thể sử dụng được thì việc khôi phục vẫn có thể là một quá trình kéo dài, tùy thuộc vào loại hệ thống sao lưu và khôi phục.

Cho dù bên bị hại đã trả tiền chuộc hay cố gắng tự mình khôi phục dữ liệu, việc lên kế hoạch cho toàn bộ quá trình khôi phục sẽ mất vài ngày, và có những tổn thất tài chính như: Chi phí ứng phó sự cố, doanh thu bị mất do thời gian ngừng hoạt động.

(The Pure Storage)

  • Cùng chuyên mục
Dự án ‘sống còn’ Aqua City của Novaland hoàn tất gỡ vướng pháp lý

Dự án ‘sống còn’ Aqua City của Novaland hoàn tất gỡ vướng pháp lý

Dự án Aqua City của Novaland vừa hoàn tất gỡ vướng pháp lý sau 3 năm. Đây là tín hiệu tích cực nối dài chuỗi gỡ khó cho các dự án của tập đoàn.

Tài chính - 18/06/2025 14:56

Đàm phán thuế quan đang đến hồi kết, nhà đầu tư nên hành động thế nào?

Đàm phán thuế quan đang đến hồi kết, nhà đầu tư nên hành động thế nào?

Kết quả đàm phán thuế quan là ẩn số, nhà đầu tư cần quản trị danh mục hợp lý, thay vì dự đoán thị trường thì nên tập trung vào chọn cổ phiếu.

Tài chính - 18/06/2025 14:01

HHS chính thức trở thành công ty mẹ Bất động sản CRV

HHS chính thức trở thành công ty mẹ Bất động sản CRV

Với việc mua vào thành công gần 50,1 triệu cổ phần HHS Capital, HHS đã nâng tỷ lệ sở hữu tại Bất động sản CRV lên 51,03% kể từ ngày 18/6/2025.

Tài chính - 18/06/2025 09:02

Gọi tên cổ phiếu bán lẻ khi giảm VAT đến hết năm 2026

Gọi tên cổ phiếu bán lẻ khi giảm VAT đến hết năm 2026

Triển vọng cổ phiếu bán lẻ đang được củng cố bởi tiêu dùng tăng khi giảm thuế VAT cùng các giải pháp khác của Chính phủ hay việc thanh lọc hàng giả, hàng nhái.

Tài chính - 18/06/2025 07:00

Doanh nghiệp chưa đại chúng nợ quá 5 lần vốn không được phát hành trái phiếu

Doanh nghiệp chưa đại chúng nợ quá 5 lần vốn không được phát hành trái phiếu

Quốc hội vừa thông qua quy định yêu cầu doanh nghiệp chưa đại chúng muốn phát hành trái phiếu riêng lẻ thì nợ phải trả không được vượt quá 5 lần vốn chủ sở hữu.

Tài chính - 17/06/2025 11:25

TCH lần thứ 2 gọi vốn từ cổ đông sau 10 năm niêm yết

TCH lần thứ 2 gọi vốn từ cổ đông sau 10 năm niêm yết

Mục tiêu huy động vốn của TCH là để rót vào 2 dự án lớn gồm Hoàng Huy Green River và tòa nhà chung cư H2 thuộc Hoang Huy Commerce, tổng đầu tư 6.249 tỷ.

Tài chính - 17/06/2025 09:32

Xếp hạng tín nhiệm giúp củng cố niềm tin thị trường

Xếp hạng tín nhiệm giúp củng cố niềm tin thị trường

Sự xuất hiện của các tổ chức xếp hạng tín nhiệm nội địa với tiêu chuẩn toàn cầu như VIS Rating sẽ góp phần quan trọng vào sự phát triển của ngành xếp hạng tín nhiệm, cũng như hoàn thiện cơ sở hạ tầng thị trường tài chính.

Tài chính - 17/06/2025 07:00

Tập đoàn CRV lên kế hoạch lãi 'khủng', dự kiến lên sàn HoSE nửa cuối năm 2025

Tập đoàn CRV lên kế hoạch lãi 'khủng', dự kiến lên sàn HoSE nửa cuối năm 2025

Tập đoàn CRV lên kế hoạch lãi đậm 1.600 tỷ - 2.000 tỷ đồng cho 2025 và 2026. Doanh nghiệp kỳ vọng niêm yết trên HoSE trong quý III và IV.

Tài chính - 16/06/2025 16:24

CEO Đạm Cà Mau: Xung đột Iran và Israel sẽ khiến giá phân bón tăng

CEO Đạm Cà Mau: Xung đột Iran và Israel sẽ khiến giá phân bón tăng

CEO Đạm Cà Mau tiết lộ lượng hàng công ty chốt đơn bán đã vượt sản lượng, nửa cuối năm tiếp tục khả quan, đảm bảo hoàn thành kế hoạch năm.

Tài chính - 16/06/2025 15:39

Thêm 2 cổ phiếu chuẩn bị rời sàn HoSE

Thêm 2 cổ phiếu chuẩn bị rời sàn HoSE

Vi phạm nghiêm trọng nghĩa vụ công bố thông tin, cổ phiếu PSH và KPF bị HoSE đưa ra quyết định xem xét hủy niêm yết bắt buộc.

Tài chính - 15/06/2025 08:10

Phú Tài giữ mức cổ tức 25% năm thứ hai

Phú Tài giữ mức cổ tức 25% năm thứ hai

CTCP Phú Tài sẽ chi hơn 100 tỷ đồng để trả cổ tức còn lại năm 2024. Với việc đã tạm ứng 10% trước đó, tổng cổ tức doanh nghiệp chi trả đạt 25% và năm thứ hai duy trì tỷ lệ này.

Tài chính - 14/06/2025 11:52

Đầu tư thế nào trong bối cảnh chứng khoán có nhiều biến động?

Đầu tư thế nào trong bối cảnh chứng khoán có nhiều biến động?

Sau một giai đoạn phục hồi tốt từ phiên "đáy" của năm 2025 (9/4/2025), VN-Index trong giai đoạn gần đây đang rơi vào trạng thái điều chỉnh với 6/8 phiên giảm điểm tính từ phiên 4/6 đến 13/6.

Tài chính - 14/06/2025 06:45

Giá dầu tăng mạnh, cổ phiếu dầu khí ‘rực sáng’

Giá dầu tăng mạnh, cổ phiếu dầu khí ‘rực sáng’

Nhóm cổ phiếu dầu khí trở thành điểm sáng trên thị trường khi đồng loạt tăng mạnh, trong đó PLX gây chú ý khi tăng hết biên độ.

Tài chính - 13/06/2025 17:26

Lập Sở giao dịch vàng quốc gia: Nhà đầu tư được hưởng lợi gì?

Lập Sở giao dịch vàng quốc gia: Nhà đầu tư được hưởng lợi gì?

Với việc triển khai Sở giao dịch vàng quốc gia, người dân, nhà đầu tư không chỉ được phép mua vàng vật chất tại các cửa hàng, mà quan trọng hơn là có thể mở tài khoản vàng tại ngân hàng hoặc các tổ chức tài chính trung gian, thực hiện các giao dịch mua, bán vàng tương tự như cổ phiếu…

Tài chính - 13/06/2025 15:43

PVTrans chuẩn bị chia cổ tức cao kỷ lục

PVTrans chuẩn bị chia cổ tức cao kỷ lục

PVTrans sẽ phát hành gần 114 triệu cổ phiếu để trả cổ tức năm 2024, tương ứng tỷ lệ 32%. Vốn điều lệ dự kiến tăng lên 4.699 tỷ đồng.

Tài chính - 13/06/2025 13:27

Tôn Đông Á sẽ niêm yết HoSE, trả cổ tức tỷ lệ 40%

Tôn Đông Á sẽ niêm yết HoSE, trả cổ tức tỷ lệ 40%

Trong bối cảnh thị trường xuất khẩu gặp khó, Tôn Đông Á sẽ tập trung hơn cho thị trường nội địa, mục tiêu nâng tỷ trọng sản lượng lên 75%.

Tài chính - 12/06/2025 15:32