Việc tấn công ransomware ngày càng trở nên phổ biến, các nạn nhân phải đối mặt với rất nhiều vấn đề khác ngoài khoản tiền chuộc
Một tệp văn bản lạ xuất hiện trên màn hình và khi bạn mở thì phát hiện ra yêu cầu đòi tiền chuộc. Như vậy, bạn đã trở thành nạn nhân mới nhất của cuộc tấn công ransomware và tất cả dữ liệu cũng như thông tin nhạy cảm của bạn sẽ chỉ được tiết lộ sau khi bạn trả tiền chuộc cho tin tặc.
Các cuộc tấn công như vậy đang trở nên phổ biến hơn, với tần suất các sự cố liên quan tới ransomware trong nửa đầu năm 2021 đã tăng 93% so với cùng kỳ năm trước. Tệ hơn nữa, các tổ chức ở châu Á – Thái Bình Dương đã bị ảnh hưởng nặng nề với 1.338 cuộc tấn công mỗi tuần, cao nhất so với bất kỳ khu vực nào trên thế giới.
Nguồn lợi bất chính
Nguyên nhân khiến ransomware đang gia tăng là khoản tiền chuộc béo bở mang lại cho tội phạm mạng.
John Hodges, Phó chủ tịch cấp cao về chiến lược sản phẩm của nhà cung cấp nền tảng SaaS AvePoint, cho biết: “Trước đây, nếu bạn xây dựng một ứng dụng thực sự thú vị, bạn sẽ có cơ hội được công nhận. Nhưng ngày nay việc phát triển công nghệ và ứng dụng đã trở nên quá phổ biến. Tôi nghĩ rằng ransomware là con đường dễ dàng hơn cho nhiều người biết về công nghệ hiểu triệt để một vấn đề. Nắm giữ dữ liệu để đòi tiền chuộc đang mang lại nhiều thu nhập hơn, vì dữ liệu đã trở thành thứ mà các công ty sẵn sàng chi tiền”.
Theo một báo cáo từ Palo Alto Networks, yêu cầu đòi tiền chuộc trung bình trong các cuộc tấn công mạng này đã tăng 171% từ 115.123 USD vào năm 2019 lên 312.493 USD vào năm 2020.
Trong những trường hợp tồi tệ hơn, những con số này có thể lên tới hàng chục triệu. Mới năm ngoái, công ty bảo hiểm CNA Financial có trụ sở tại Mỹ đã trả cho tin tặc 40 triệu USD sau một cuộc tấn công ransomware, đây là một trong những khoản tiền chuộc được chi trả lớn nhất cho đến nay.
Ransomware và các tổn thất liên quan
Với việc tấn công ransomware ngày càng trở nên phổ biến, các DN phải đối mặt với rất nhiều vấn đề khác ngoài khoản tiền chuộc.
Trong một số trường hợp, những sự cố như vậy cũng có thể buộc phải ngừng hoạt động sản xuất kinh doanh, dẫn đến thiệt hại thêm về hoạt động và doanh thu. Đầu năm nay, một cuộc tấn công bằng mã độc tống tiền đã khiến Toyota phải đóng cửa trong một ngày và công ty đã bị chậm tiến độ sản xuất với khoảng 13.000 xe.
Trong các tình huống khác, việc trở thành con mồi của các cuộc tấn công ransomware cũng có thể khiến thông tin khách hàng bị lộ lọt. Đổi lại, các công ty phải đối mặt với rủi ro tài chính do có thể bị phạt vì vi phạm luật bảo mật dữ liệu, chẳng hạn như Đạo luật bảo vệ dữ liệu cá nhân (Personal Data Protection Act) ở Singapore.
DN càng lớn và tiếp xúc nhiều hơn với người tiêu dùng, DN càng có nhiều khả năng đang có nhiều hệ thống đang vận hành. Hodges chỉ ra rằng việc bảo vệ từng điểm tiếp xúc của hệ thống đối với khách hàng của DN có thể là một thách thức đối với bất kỳ công ty nào.
Tệ hơn nữa, việc thực hiện các biện pháp bảo vệ như vậy sẽ trở nên khó khăn hơn. Theo Hodges, các phiên bản cũ hơn của các cuộc tấn công ransomware thường sẽ gây chú ý ngay lập tức cho các công ty. Tuy nhiên, ransomware ngày nay ngày càng khó bị phát hiện hơn và nhiều hệ thống bảo mật CNTT có thể không nhận thấy dấu hiệu gì trước khi một cuộc tấn công thực sự được kích hoạt. Điều này cho phép virus tiếp tục lây nhiễm vào nhiều hệ thống hơn và có thể dẫn đến thiệt hại trên diện rộng hơn.
Chính sách bảo hiểm
Với các phương thức của ransomware ngày càng tinh vi và khó phát hiện hơn, Hodges nhấn mạnh rằng các công ty sẽ phải chủ động trong các chính sách an ninh mạng của họ để không chỉ phát hiện các cuộc tấn công tốt hơn mà còn để đảm bảo rằng các hoạt động kinh doanh có thể tiếp tục chạy trơn tru ngay cả khi họ trở thành nạn nhân.
Ông gợi ý: “Hãy yêu cầu về zero trust hoặc các biện pháp bảo vệ ransomware khi có tài khoản Microsoft, Google hoặc Salesforce để việc này trở thành một tuyến phòng thủ đầu tiên”.
Ông cho biết thêm, các DN cũng nên xem xét việc sử dụng các dịch vụ sao lưu, nhằm giúp các DN có một mạng lưới an toàn nếu xảy ra bất kỳ cuộc tấn công nào cũng như giúp nhanh chóng khôi phục các hoạt động kinh doanh.
Hodges nói: “Nếu DN có bản sao lưu, thì sẽ được bảo hiểm toàn bộ. Dự phòng là điều cơ bản vì bất kể việc phòng thủ nào không thành công, đây là chính sách bảo hiểm cho phép phục hồi sớm và an toàn hơn”.
Đó là trường hợp của nhà thầu xây dựng Ireland Walls Construction, nạn nhân của một cuộc tấn công ransomware. Sau sự cố, DN này nhận ra sự cần thiết phải có một dịch vụ sao lưu để chống lại các cuộc tấn công tiếp theo trong tương lai và đã tham gia AvePoint cho giải pháp sao lưu đám mây (cloud backup) của mình.
Kể từ đó, công ty Ireland đã có thể giảm bớt tác động của các cuộc tấn công ransomware tiếp theo bằng cách dựa vào các bản sao lưu trước của cơ sở dữ liệu và cơ sở hạ tầng CNTT khác, giúp giảm khoảng 90% thời gian khôi phục. Điều này cho phép công ty thực hiện thêm 4 – 5 lần phục hồi kể từ sự cố ban đầu và nhanh chóng trở lại hoạt động như bình thường.
Một số khuyến nghị bảo vệ doanh nghiệp khỏi các cuộc tấn công ransomware
Để đảm bảo an toàn trước các cuộc tấn công bằng phần mềm tống tiền ransomware ngày càng tinh vi, các chuyên gia Kaspersky đưa ra một số khuyến nghị đối với các doanh nghiệp, tổ chức.
Cụ thể, các chuyên gia khuyến nghị các tổ chức, DN không kết nối dịch vụ máy tính để bàn từ xa (chẳng hạn như RDP) với mạng công cộng nếu không thực sự cần thiết; luôn luôn sử dụng mật khẩu mạnh cho các dịch vụ này.
Các DN cũng cần cài đặt các bản vá lỗi sẵn có trong trường hợp sử dụng các giải pháp VPN thương mại để cung cấp quyền truy cập từ xa và cho phép nhân viên làm việc như đang kết nối với các cổng trong mạng lưới. Luôn luôn cập nhật phần mềm trên tất cả các thiết bị để ngăn phần mềm tống tiền khai thác các lỗ hổng bảo mật.
Chiến lược phòng thủ nên tập trung phát hiện sự dịch chuyển lưu lượng trong mạng và lưu lượng đưa dữ liệu lên Internet. DN cần đặc biệt chú ý đến lưu lượng đi để phát hiện các kết nối của tội phạm mạng; sao lưu dữ liệu thường xuyên, đảm bảo rằng DN, tổ chức có thể nhanh chóng truy cập dữ liệu sao lưu trong trường hợp khẩn cấp. Đồng thời, sử dụng thông tin mới nhất từ dịch vụ thám báo mối đe dọa, để cập nhật thông tin về các chiến thuật, kỹ thuật (Threat Intelligence) thực tế được các tác nhân nguy hại sử dụng.
Bên cạnh đó, DN có thể sử dụng các giải pháp như Kaspersky Endpoint Detection and Response và dịch vụ phát hiện và ứng phó Kaspersky Managed Detection and Response để sớm xác định và ngăn chặn các cuộc tấn công ngay từ những giai đoạn đầu, trước khi những kẻ tấn công đạt được mục tiêu cuối cùng của chúng.
Ngoài ra, tiến hành đào tạo cho nhân viên để góp phần bảo vệ DN. Các tổ chức, DN có thể cân nhắc các khóa đào tạo chuyên biệt, chẳng hạn như các khóa được cung cấp trên nền tảng nâng cao nhận thức an ninh bảo mật Kaspersky Automated Security Awareness Platform.
Theo Hodges, chủ động là chìa khóa để tiếp tục bảo mật cho các DN trong bối cảnh các cuộc tấn công ransomware tiếp tục gia tăng. “Bạn sẽ phải học tập cả đời, giống như những kẻ tấn công ransomware. Đó là một cuộc chiến đào tạo xem ai sẽ đủ hiểu biết để giữ an toàn”.
Cuối cùng, sử dụng giải pháp bảo mật điểm cuối đáng tin cậy, chẳng hạn như giải pháp Kaspersky Endpoint Security for Business (KESB), với các tính năng ngăn chặn lỗ hổng bảo mật, phát hiện hành vi đáng ngờ, và công cụ khắc phục có khả năng vô hiệu hóa các hành động gây hại. KESB cũng có các cơ chế tự vệ có thể ngăn không cho tội phạm mạng gỡ bỏ giải pháp này.
Theo ICT Việt Nam