Trong bối cảnh kỹ thuật số không ngừng biến đổi, sự tiến bộ của an ninh mạng luôn song hành cùng sự tinh vi ngày càng cao của các cuộc tấn công mạng. Trong đó, ransomware (phần mềm tống tiền) vẫn là mối đe dọa nguy hiểm nhất. Điều này được chứng minh trong thực tế không một tổ chức nào hoàn toàn an toàn trước loại hình tấn công này.
Ngay cả những doanh nghiệp được xem là “bất khả xâm phạm” cũng không tránh khỏi rủi ro. Điển hình là Caesars Entertainment và MGM Resorts – hai tập đoàn giải trí hàng đầu thế giới đã trở thành nạn nhân của các cuộc tấn công ransomware gần đây. Hậu quả không chỉ là thiệt hại tài chính đáng kể mà còn là tổn thất nghiêm trọng về uy tín trên truyền thông toàn cầu.
Cuộc tấn công thành công vào hai tập đoàn lớn này là lời cảnh báo rõ ràng về mối đe dọa thường trực trong thế giới kết nối ngày nay. Bài viết này sẽ phân tích diễn biến của các vụ việc, rút ra những bài học quan trọng và trình bày các chiến lược phòng ngừa thiết yếu giúp doanh nghiệp bảo vệ mình trước nguy cơ tấn công ransomware.
Ransomware và cách thức hoạt động
Ransomware là một dạng phần mềm độc hại (malware) được thiết kế để mã hóa tệp tin, cơ sở dữ liệu hoặc thậm chí toàn bộ hệ thống máy tính của nạn nhân khiến chúng không thể truy cập được. Kẻ tấn công sau đó sẽ giữ toàn bộ hệ thống hoặc dữ liệu quan trọng làm con tin và yêu cầu khoản tiền chuộc (ransom) để khôi phục quyền truy cập. Trong nhiều trường hợp, chúng hành động cực nhanh, khiến doanh nghiệp không kịp phản ứng.
Một cuộc tấn công ransomware thường diễn ra qua các bước chính sau:
Xâm nhập
Kẻ tấn công xâm nhập vào mạng nội bộ của doanh nghiệp, thường thông qua email phishing hoặc spear phishing nhắm vào tổ chức hoặc người dùng có quyền truy cập cao.
Kỹ thuật thao túng tâm lý người dùng (social engineering) vẫn là phương thức phổ biến nhất để tin tặc xâm nhập ban đầu, dù mục tiêu là tấn công ransomware hay các hình thức khác.
Mã hóa dữ liệu
Khi đã chiếm được quyền truy cập đủ cao, kẻ tấn công triển khai mã độc ransomware để mã hóa dữ liệu trên toàn mạng doanh nghiệp, khiến nhân viên không thể sử dụng hay truy cập dữ liệu nữa.
Trước khi mã hóa, chúng thường đánh cắp các tệp dữ liệu nhạy cảm để tăng mức độ tổn hại và ép buộc nạn nhân trả tiền chuộc.
Yêu cầu tiền chuộc
Sau khi tấn công, tin tặc sẽ để lại hướng dẫn khôi phục dữ liệu dưới dạng tệp tin hoặc thông báo trên màn hình. Trong quá trình đàm phán, chúng đe dọa công khai dữ liệu bị đánh cắp, đồng thời yêu cầu khoản tiền chuộc khổng lồ thường lên tới hàng triệu USD, được thanh toán bằng tiền điện tử như Bitcoin để ẩn danh và tránh bị truy vết.
Sau khi trả tiền
Ngay cả khi doanh nghiệp chấp nhận trả tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp khóa giải mã. Việc trả tiền có thể khiến nạn nhân thiệt hại nặng về tài chính mà vẫn không khôi phục được dữ liệu.
Ngoài ra, kẻ tấn công có thể đã cài đặt cơ chế duy trì truy cập (persistence) trong hệ thống, cho phép chúng quay lại và tấn công lần nữa bất cứ lúc nào.
Ransomware không chỉ là một cuộc tấn công kỹ thuật, mà là chiến thuật khống chế tâm lý và tài chính, khai thác điểm yếu con người và sự phụ thuộc của doanh nghiệp vào dữ liệu số.
Các cuộc tấn công ransomware gần đây
Thật không may, các cuộc tấn công ransomware đã trở thành mối lo ngại nghiêm trọng đối với doanh nghiệp trên toàn cầu — gần đây nhất là với MGM Resorts và Caesars Entertainment.
Trong một báo cáo gửi Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), Caesars Entertainment thừa nhận rằng họ đã gặp phải “vấn đề an ninh mạng” vào ngày 7 tháng 9 năm 2023. Theo các nguồn tin khác, Caesars đã trả khoảng 15 triệu USD những tin tặc đã đánh cắp bản sao cơ sở dữ liệu chương trình khách hàng thân thiết của công ty. Cơ sở dữ liệu này bao gồm số bằng lái xe hoặc số an sinh xã hội của một phần lớn các thành viên trong chương trình, cùng với nhiều thông tin nhạy cảm khác.
Trong khi đó, theo tuyên bố của ALPHV (nhóm ransomware), MGM đã tắt hệ thống máy tính và máy chủ đồng bộ Okta bên trong mạng nội bộ sau khi tin tặc giả danh nhân viên gọi điện đến bộ phận hỗ trợ kỹ thuật IT của MGM và thành công trong việc chiếm đoạt thông tin đăng nhập. Đây là một kiểu tấn công được gọi là vishing (voice phishing).
Khi MGM phát hiện sự xâm nhập, tin tặc đã nắm quyền quản trị toàn cầu (Global Administrator) trong hệ thống Azure tenant và môi trường Okta của họ. Đến ngày 11 tháng 9, hơn 100 máy chủ ảo ESXi hypervisors trong hệ thống của MGM đã bị mã hóa.
Hiện tại, vẫn chưa rõ liệu dữ liệu cá nhân (PII) có nằm trong số thông tin bị đánh cắp hay không, do MGM từ chối thương lượng hoặc liên lạc với nhóm tấn công.
Tác động của ransomware đối với doanh nghiệp
Những tổ chức khác nhau đã áp dụng nhiều cách tiếp cận khi đàm phán với tin tặc, nhưng không ai tránh khỏi hậu quả nghiêm trọng, vượt xa con số tiền chuộc phải trả. Việc trở thành nạn nhân của ransomware đồng nghĩa với việc phải đối mặt với hàng loạt những thiệt hại:
Tổn thất tài chính nghiêm trọng
Các cuộc tấn công ransomware thường đòi hỏi khoản tiền chuộc rất lớn để đổi lấy khóa giải mã dữ liệu. Tuy nhiên, tổn thất tài chính không chỉ dừng lại ở đó, doanh nghiệp còn phải chi trả chi phí khôi phục hệ thống, xử lý pháp lý và điều tra bảo mật (ngay cả khi không trả tiền chuộc).
Gián đoạn hoạt động kinh doanh
Ransomware có thể làm tê liệt toàn bộ hoạt động, gây ra thời gian downtime, mất năng suất, và bỏ lỡ cơ hội kinh doanh, trực tiếp ảnh hưởng đến doanh thu và lợi nhuận.
Mất dữ liệu
Trong nhiều trường hợp, tin tặc đe dọa rò rỉ hoặc xóa bỏ dữ liệu nhạy cảm. Việc mất thông tin quan trọng có thể phá vỡ uy tín, ảnh hưởng đến việc tuân thủ quy định và niềm tin khách hàng.
Tổn hại danh tiếng
Ngay cả khi dữ liệu không bị công khai, một vụ tấn công ransomware bị truyền thông đưa tin vẫn có thể làm ảnh hưởng hình ảnh thương hiệu. Khách hàng có thể mất lòng tin vào năng lực bảo vệ thông tin của doanh nghiệp, dẫn đến tác động tiêu cực dài hạn.
Hao tổn nguồn lực
Xử lý một cuộc tấn công ransomware đòi hỏi nguồn lực lớn, bao gồm chuyên gia IT, cố vấn pháp lý, đội ứng phó khủng hoảng,… Việc này buộc doanh nghiệp chuyển hướng nhân lực và ngân sách khỏi các hoạt động tăng trưởng, làm chậm quá trình phát triển.
Sau vụ việc, doanh nghiệp còn phải đầu tư thêm vào các biện pháp an ninh mạng mạnh mẽ hơn để ngăn ngừa các sự cố tương tự trong tương lai.
Cách bảo vệ tổ chức của bạn khỏi ransomware
Phòng tránh bị tấn công bởi ransomware là điều bắt buộc trong môi trường số hiện nay. Tuy nhiên, để ngăn chặn hiệu quả, doanh nghiệp không chỉ đòi hỏi sự cảnh giác mà còn còn cần một chiến lược chủ động và đa tầng, không chỉ dựa vào cảnh giác.
Dưới đây là một số biện pháp giúp tăng khả năng chống chịu trước ransomware và các mối đe dọa an ninh mạng khác:
Giải pháp phòng tránh ransomware | Chi tiết |
Sao lưu dữ liệu thường xuyên | Thực hiện sao lưu thường xuyên tất cả các dữ liệu quan trọng và lưu trữ ở nơi an toàn. Lưu trữ ngoại tuyến hoặc trên nền tảng điện toán đám mây có kiểm soát truy cập chặt chẽ. |
Chính sách mật khẩu mạnh | Triển khai và thực thi mật khẩu mạnh, duy nhất cho từng tài khoản. Kích hoạt xác thực đa yếu tố (MFA) ở mọi nơi. |
Kiểm tra bảo mật và thử nghiệm xâm nhập | Thường xuyên đánh giá mức độ an toàn hệ thống qua các cuộc kiểm toán và kiểm thử xâm nhập để phát hiện lỗ hổng bảo mật. |
Đào tạo nhân viên | Liên tục đào tạo nhân viên về các mối đe dọa mới nhất và cách nhận diện, báo cáo rủi ro an ninh tiềm ẩn. |
Kế hoạch ứng phó sự cố | Xây dựng và cập nhật định kỳ kế hoạch ứng phó sự cố, đảm bảo mọi người trong tổ chức hiểu rõ vai trò khi xảy ra tấn công. |
Quản lý bản vá và cập nhật thường xuyên | Duy trì cập nhật phần mềm, hệ điều hành và bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết. |
Đánh giá rủi ro nhà cung cấp | Kiểm tra và đánh giá thực hành bảo mật của các nhà cung cấp thứ ba có quyền truy cập vào hệ thống hoặc dữ liệu của tổ chức. |
Trong hệ sinh thái dịch vụ số của VNPT, nhiều doanh nghiệp hiện đang kết hợp giải pháp của VNPT Cyber Immunity cùng các nền tảng hạ tầng từ VNPT Cloud để xây dựng lớp phòng thủ vững chắc trước ransomware. Việc tận dụng các giải pháp nội bộ trong cùng hệ sinh thái giúp đơn giản hóa tích hợp, tăng khả năng kiểm soát và đảm bảo an toàn dữ liệu đồng bộ.