Bài học rút ra từ các cuộc tấn công ransomware
Gần đây nhất, Change Healthcare - đơn vị xử lý thanh toán chăm sóc sức khỏe lớn nhất đất nước - đã trở thành nạn nhân của một cuộc tấn công ransomware lớn. Cuộc tấn công khiến gần 70.000 hiệu thuốc bị ảnh hưởng trực tiếp.
Ngoài ra, một số cuộc tấn công bằng ransomware cũng xuất hiện trong thời gian gần đây, cảnh báo chúng ta cần có những bài học và các giải pháp giúp hạn chế rủi ro từ ransomware.
Các cuộc tấn công ransomware gần đây
Veolia Bắc Mỹ
Veolia North America là công ty dịch vụ nước với doanh thu hàng năm ước tính khoảng 3 tỷ USD. Tuy nhiên, vào tháng 1/2024, công ty đã bị tấn công ransomware nhằm vào các ứng dụng và hệ thống phần mềm phụ trợ. Sự cố ngừng hoạt động của hệ thống phụ trợ đã gây ra sự chậm trễ cho cổng thanh toán của công ty, nhưng may mắn là không có hoạt động xử lý nước nào bị ảnh hưởng.
Bài học rút ra:
Hành động kịp thời từ nhóm ứng phó sự cố đã ngăn chặn cuộc tấn công leo thang sang các hệ thống công nghệ vận hành.
Các nhóm ransomware không chỉ tấn công các doanh nghiệp truyền thống; họ cũng săn lùng các mục tiêu lớn như các nhà khai thác cơ sở hạ tầng quan trọng.
Công ty cổ phần VF
VF Corporation là công ty mẹ đằng sau các thương hiệu tiêu dùng nổi tiếng như Vans và The North Face. Công ty đã bị tấn công bằng ransomware vào tháng 12/2023 nhằm vào VF liên quan đến việc đánh cắp dữ liệu (một vụ tống tiền kép). Các tin tặc đã đánh cắp được thông tin cá nhân của 35 triệu khách hàng. Ngoài ra, một số hệ thống cũng bị dừng hoạt động khiến đơn đặt hàng của khách hàng bị hủy và việc giao hàng bị chậm trễ.
Bài học rút ra:
Các cuộc tấn công bằng ransomware có tác động trực tiếp đến tài chính khi các công ty bị tấn công đóng cửa các hệ thống xương sống vận hành của công ty.
Dữ liệu cá nhân là mỏ vàng tiềm năng cho các nhóm ransomware.
Làm gì để hạn chế rủi ro ransomware
Với sự tấn công dữ dội của các cuộc tấn công ransomware mà các công ty phải đối mặt và các chiến thuật ngày càng tinh vi của tội phạm mạng, việc giảm thiểu rủi ro cho tổ chức của bạn trước mối đe dọa này đòi hỏi nhiều lớp phòng thủ.
Dưới đây là một số biện pháp quan trọng cần được triển khai để giúp giảm thiểu rủi ro ransomware.
Bảo mật email
Các cuộc tấn công ransomware bao gồm nhiều giai đoạn. Quyền truy cập ban đầu vào mạng mục tiêu thường bắt đầu từ việc nhân viên vô tình nhấp vào một liên kết không an toàn hoặc tải xuống tệp đính kèm độc hại. Trên thực tế, nghiên cứu gần đây cho thấy email độc hại là phương tiện tấn công ban đầu phổ biến thứ ba trong các chiến dịch ransomware.
Bảo mật email hiệu quả giúp giảm nguy cơ tấn công ransomware thành công bằng cách ngăn chặn các email độc hại tiếp cận hộp thư đến của nhân viên. Các giải pháp bảo mật email giúp lọc email đến để phát hiện và loại bỏ email có các dấu hiệu lừa đảo, tệp đính kèm/liên kết độc hại.
Bảo mật endpoint
Không chỉ dừng lại ở việc ngăn chặn lừa đảo. Có nhiều lớp bảo vệ cần triển khai để giảm thiểu tấn công ransomware trên các thiết bị của người dùng cuối như máy trạm và máy tính xách tay. Các nhóm ransomware thường nhắm mục tiêu vào các endpoint như gateway để xâm nhập vào mạng của bạn.
Xâm phạm thành công vào một thiết bị có thể cho phép kẻ tấn công di chuyển trong mạng, leo thang đặc quyền và cuối cùng cài đặt các loại ransomware trên toàn bộ hệ thống CNTT.
Các giải pháp bảo mật endpoint hiệu quả hơn phần mềm chống vi-rút truyền thống bằng cách kết hợp tường lửa, hệ thống ngăn chặn xâm nhập và khả năng phát hiện mối đe dọa nâng cao để xác định và ngăn chặn phần mềm ransomware trước khi nó thực thi trên thiết bị của người dùng. Các công cụ bảo mật endpoint cũng xác định các hoạt động đáng ngờ như mã hóa tệp nhanh bất thường và vô hiệu hóa mối đe dọa bằng cách cách ly các thiết bị.
Mã hóa dữ liệu nhạy cảm
Trong vài năm gần đây, hoạt động của các nhóm ransomware ngày càng tập trung vào dữ liệu hơn, trong đó các tác nhân đe dọa sẽ lấy cắp dữ liệu nhạy cảm bên cạnh việc mã hóa các tập tin và hệ thống bằng các chủng ransomware.
Mã hóa dữ liệu nhạy cảm, cả khi ở trạng thái lưu trữ và khi được truyền qua mạng, sẽ bảo vệ dữ liệu khỏi bị truy cập trái phép. Ngay cả khi tin tặc xâm nhập vào mạng của bạn và truy cập vào các kho lưu trữ dữ liệu nhạy cảm, dữ liệu vẫn không bị đánh cắp nếu không có khóa giải mã phù hợp. Việc sử dụng các thuật toán mã hóa mạnh khiến việc bẻ khóa và truy cập dữ liệu của bạn trên thực tế là không thể.
Sao lưu dữ liệu thường xuyên
Mặc dù việc mã hóa các tệp quan trọng ngăn các nhóm ransomware tống tiền bạn bằng cách đe dọa rò rỉ dữ liệu nhạy cảm, tuy nhiên, các chủng ransomware có thể chặn quyền truy cập của bạn đối với dữ liệu này bằng thuật toán mã hóa riêng.
Đây là lúc một chiến lược sao lưu hiệu quả phát huy tác dụng. Duy trì thường xuyên việc sao lưu dữ liệu quan trọng đã được mã hóa và lưu trữ chúng độc lập với các hệ thống khác giúp bạn có thể khôi phục các tệp quan trọng nhanh chóng khi sự cố xảy ra.
Quản lý bản vá
Khai thác lỗ hổng trong các ứng dụng công khai là phương thức phổ biến nhất mà các nhóm ransomware sử dụng để giành được quyền truy cập mạng ban đầu vào năm 2022. Những lỗ hổng này có thể bắt nguồn từ các máy chủ web, hệ thống quản lý nội dung (CMS) lỗi thời cho đến điểm yếu trong các dịch vụ truy cập từ xa.
Việc áp dụng kịp thời các bản vá là điều cần thiết để bảo vệ trước những mối đe dọa này. Nó không chỉ ngăn chặn các cuộc tấn công ransomware mà còn bảo vệ chống lại một loạt các mối đe dọa mạng khai thác lỗ hổng phần mềm.
Nguyễn Hà Phương