CÔNG NGHỆ

VNDirect vẫn đang "chết đứng"

Vụ tấn công mạng bằng ransomware vào công ty chứng khoán lớn thứ ba tại Việt Nam - VNDirect, đã gây rối loạn trên thị trường tài chính. Các nhà đầu tư chỉ cảm thấy nhẹ nhõm khi VNDirect thông báo đã giải mã dữ liệu thành công và đang tiến hành khôi phục hệ thống hoạt động trở lại.

Tuy nhiên, cho đến thời điểm 12h ngày 27/3 - tức là sau hơn 3 ngày kể từ khi VNDirect bị tấn công, hệ thống của VNDirect vẫn chưa được khôi phục hoạt động. Theo kế hoạch dự kiến mà VNDirect công bố vào ngày hôm trước (26/3), khách hàng của VNDirect sẽ có thể thực hiện giao dịch trở lại từ ngày 28/3.

Để cập nhật tiến độ xử lý sự cố, phóng viên (PV) đã liên hệ với đại diện truyền thông của VNDirect vào sáng ngày 27/3. Trước câu hỏi "Đến thời điểm hiện tại, liệu VNDirect có thể trở lại phục vụ khách hàng từ ngày 28/3 như đã dự kiến hay không?", đại diện của VNDirect đã trả lời rằng: "Hiện tại VNDirect đang gấp rút xử lý sự cố" và những thông tin mới "sẽ được gửi ngay khi có thông báo từ lãnh đạo công ty".

Về vấn đề ransomware mà VNDirect đang phải đối mặt, những người liên quan chưa tiết lộ cách họ đã thu được khóa giải mã và từ đâu. Tuy nhiên, từ quan điểm bên ngoài, nhiều chuyên gia an ninh mạng cho rằng hacker đã xâm nhập vào hệ thống VNDirect thông qua một lỗ hổng nào đó, có thể là lỗ hổng "zero day" (lỗ hổng chưa được biết đến trước đó), sau đó triển khai ransomware để mã hóa dữ liệu và yêu cầu tiền chuộc.

Theo một chuyên gia công nghệ, một tổ chức tài chính lớn như VNDirect sẽ có hệ thống bảo mật không thể bị xâm nhập dễ dàng. Để có thể tấn công thành công, hacker cần phải tận dụng một lỗ hổng zero-day mới, khiến VNDirect gặp khó khăn như hiện tại. Cũng theo chuyên gia này, có khả năng VNDirect đã phải trả tiền chuộc cho hacker để lấy lại dữ liệu.

Sự nguy hiểm của ransomware

Từ sự kiện này, trong cuộc phỏng vấn, bà Võ Dương Tú Diễm - Giám đốc khu vực Việt Nam của công ty bảo mật Kaspersky đã cảnh báo các tổ chức về nguy cơ tiềm ẩn của ransomware.

Bà Võ Dương Tú Diễm là người đứng đầu khu vực Việt Nam của Kaspersky. (Hình: NVCC)

Theo bà Diễm, những kẻ tấn công sử dụng ransomware để kiểm soát quyền truy cập vào các tài sản quan trọng của doanh nghiệp và đòi tiền chuộc để khôi phục quyền truy cập đó. Để bảo vệ doanh nghiệp, người dùng cần phân biệt rõ hai loại ransomware cơ bản:

Phần mềm độc hại Locker ransomware sẽ tắt một phần chuột và bàn phím của người dùng, nhưng vẫn hiển thị màn hình yêu cầu tiền chuộc. Tuy nhiên, các tính năng khác của máy tính sẽ không hoạt động được.

Phần mềm mã hóa tiền điện tử: Thay vì ngăn chặn các chức năng cơ bản của máy tính, phần mềm độc hại này mã hóa dữ liệu quan trọng của doanh nghiệp như thông tin của khách hàng, đối tác, chuỗi cung ứng, nhân viên, chiến lược kinh doanh, hình ảnh, video,... Kẻ tấn công tận dụng giá trị của dữ liệu để đòi tiền chuộc, nếu không sẽ xóa hết thông tin quan trọng đó.

Trong suốt mười năm qua, tội phạm mạng đã gây ra các cuộc tấn công ransomware và sử dụng nhiều phương thức để lan truyền chúng trong nhiều doanh nghiệp", Giám đốc khu vực Việt Nam của Kaspersky chia sẻ.

Những vụ tấn công bằng ransomware

Bà Võ Dương Tú Diễm trình bày một số tình huống mẫu về những nguy cơ, rủi ro mà các cuộc tấn công ransomware mang lại cho các doanh nghiệp.

Năm 2016, một loạt các cuộc tấn công lừa đảo qua email (Email phising) đã xảy ra, với tên gọi là Locky ransomware, nhắm vào các bệnh viện lớn, gây ra tình trạng không thể truy cập dữ liệu bệnh nhân và buộc phải chuyển bệnh nhân sang các cơ sở khác. Thông thường, nạn nhân bị lừa đảo qua email và cuộc tấn công này mã hóa tất cả các tài liệu và hình ảnh quan trọng, bao gồm hồ sơ bệnh nhân, cho đến khi tiền chuộc (thường là Bitcoin) được thanh toán.

- Một trong những nguyên nhân hàng đầu khiến doanh nghiệp dễ bị tấn công ransomware là do hệ thống hệ điều hành lỗi thời, như đã được minh họa rõ trong vụ tấn công ransomware WannaCry năm 2017. Đây là cuộc tấn công bắt nguồn từ Anh và lan rộng ra hơn 150 quốc gia trên toàn cầu, chủ yếu tập trung vào các cơ quan nhà nước và doanh nghiệp lớn.

Theo thông tin từ Interpol, phần mềm độc hại WannaCry đã tấn công thành công vào 230.000 máy tính trên 150 quốc gia. Điều này dẫn đến việc mạng điện thoại Telefonica ở Tây Ban Nha bị đình trệ hoàn toàn, cùng với việc lịch trình khởi hành của nhiều chuyến tàu và hệ thống bán vé tự động bị gián đoạn nghiêm trọng.

Sau vụ tấn công ransomware WannaCry năm 2017, một loại ransomware mới mang tên Bad Rabbit đã xuất hiện, tấn công chủ yếu vào các quốc gia như Nga và khu vực Đông Âu. Bad Rabbit thực hiện thủ đoạn rất tinh vi bằng cách yêu cầu người dùng cài đặt Adobe Flash từ một trang web đã bị tấn công, nhưng thực chất đó là phần mềm độc hại. Phần mềm độc hại này đã lây nhiễm vào máy tính của người dùng. Kẻ tấn công đằng sau Bad Rabbit đã yêu cầu mức chuộc là 0,05 Bitcoin, tương đương với 280 USD theo tỷ giá hiện tại.

4 biện pháp nên tham khảo để đề phòng ransomware

Sau vụ tấn công ransomware mới đây, các chuyên gia từ Kaspersky đã đưa ra các lời khuyên để giúp doanh nghiệp tự bảo vệ mình trước những cuộc tấn công tương tự.

Sao lưu dữ liệu: Đảm bảo dữ liệu của doanh nghiệp luôn được sao lưu để ngăn chặn dữ liệu bị mất, đánh cắp hoặc vô tình bị xóa. Khi thực hiện sao lưu, nên sử dụng các thiết bị lưu trữ bên ngoài và ngắt kết nối chúng khỏi máy tính ngay sau đó, vì dữ liệu có thể bị mã hóa nếu chúng được kết nối với thiết bị bị nhiễm phần mềm độc hại. Việc sao lưu sẽ giúp doanh nghiệp tránh mất dữ liệu và bị yêu cầu thanh toán tiền chuộc.

- Cần thường xuyên cập nhật hệ thống: Cuộc tấn công WannaCry vào năm 2017 chủ yếu là do doanh nghiệp không thường xuyên cập nhật hệ thống. Điều này tạo cơ hội cho hacker khai thác lỗ hổng. Kết quả là những lỗ hổng đó vẫn còn tồn tại và có thể bị tấn công ransomware.

Đầu tư vào việc đào tạo an ninh mạng cho nhân viên: Nhân viên được trang bị đầy đủ kiến thức về an ninh mạng sẽ có khả năng phản ứng hiệu quả trước các cuộc tấn công mạng.

Áp dụng biện pháp an ninh mạng: Các biện pháp bảo mật có thể hỗ trợ phát hiện và bảo vệ người dùng khỏi các cuộc tấn công ransomware ở mọi giai đoạn của cuộc tấn công thông qua hệ thống bảo mật đa lớp.