- Cục An toàn thông tin - Bộ TT&TT đã xây dựng cẩm nang về một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công Ransomware cho các cơ quan, tổ chức, doanh nghiệp, hướng đến mục tiêu bảo đảm an toàn không gian mạng quốc gia.

Đại diện Cục An toàn thông tin cho biết, qua theo dõi, giám sát hoạt động tấn công mạng trong thời gian qua, Cục An toàn thông tin (Bộ TT&TT) nhận thấy đang xuất hiện các chiến dịch tấn công mã hóa tống tiền (Ransomware) nhằm vào các cơ quan, tổ chức, doanh nghiệp tại Việt Nam, đặc biệt là các tổ chức hoạt động trong lĩnh vực quan trọng như: tài chính, ngân hàng, năng lượng, viễn thông,… gây thiệt hại về tài sản, ảnh hưởng đến danh tiếng, và gián đoạn hoạt động kinh doanh đối với các đơn vị gặp sự cố gây ra bởi Ransomware.

Cuộc tấn công Ransomware hiện nay thường được bắt đầu từ một điểm yếu bảo mật của cơ quan, tổ chức, kẻ tấn công xâm nhập hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập, và kiểm soát hạ tầng công nghệ thông tin của tổ chức, làm tê liệt hệ thống, nhằm bắt buộc các tổ chức nạn nhân thực hiện hành vi tống tiền mà kẻ tấn công hướng tới.

Trước thực trạng này, Cục An toàn thông tin đã xây dựng cẩm nang về một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công Ransomware cho các cơ quan, tổ chức, doanh nghiệp, hướng đến mục tiêu bảo đảm an toàn không gian mạng quốc gia.

Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware sẽ là tài liệu hữu ích giúp cho các cơ quan, tổ chức, doanh nghiệp chủ động phòng tránh và bảo vệ hệ thống thông tin quan trọng của đơn vị trước các nguy cơ tấn công mạng tiềm ẩn.

Các nội dung chính của cẩm nang bao gồm:

- Xây dựng kế hoạch sao lưu, phục hồi dữ liệu đối với hệ thống, thông tin quan trọng.

- Rà quét, cập nhật bản vá lỗ hổng an toàn thông tin trên các thiết bị, phần mềm, ứng dụng.

- Xây dựng kế hoạch ứng phó sự cố để kịp thời phản ứng với sự cố Ransomware.

- Áp dụng các nguyên tắc đặc quyền tối thiểu cho các hệ thống.

- Hạn chế việc sử dụng dịch vụ điều khiển máy tính từ xa.

- Giám sát liên tục để phát hiện sớm các hành vi xâm nhập, đặc  biệt giám sát các truy cập đến  vCenter, ESXI, Domain Control-

- Triển khai các biện pháp xác thực mạnh cho các tài khoản truy cập hệ thống.

- Chủ động tìm kiếm dấu hiệu tấn công, rà quét mã độc, yêu cầu đơn vị chuyên trách xử lý

các mã độc.

- Thực hiện phân vùng mạng chặt chẽ.

Cẩm nang cũng đưa ra một số chỉ dẫn giúp khôi phục hệ thống sau khi phát hiện tấn công Ransomware:

Xác định hệ thống nào bị ảnh hưởng và cô lập mạng hệ thống ngay lập tức.

- Nếu một số hệ thống hoặc phân vùng mạng bị ảnh hưởng, hãy thực hiện cô lập mạng ngay lập tức bằng cách chặn các kết nối ra vào các hệ  thống, vùng mạng này.

- Nếu không thể chặn các kết nối, hãy cô lập bằng cách rút cáp mạng để cô lập hệ thống.

Phân loại các hệ thống bị ảnh hưởng để tiến hành khôi phục.

Phục hồi hệ thống ở vùng mạng tách biệt

Ưu tiên phục hồi các hệ thống quan trọng

Đảm bảo rằng hệ điều hành máy chủ phục hồi an toàn, không bị xâm nhập, không chứa mã độc

Khôi phục dữ liệu lên một hệ thống an toàn

Xác định các tệp cần khôi phục

Liên hệ ngay cơ quan chuyên trách về ATTT để được hỗ trợ.

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), điện thoại 24.3640.4421 hoặc số điện thoại trực đường dây nóng ứng cứu sự cố 086.9100.317, thư điện tử: ir@vncert.vn

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), điện thoại: 024.32091.616 hoặc số điện thoại trực đường dây nóng hỗ trợ giám sát, cảnh báo sớm 096.1405.333, thư điện tử: ais@mic.gov.vn

Thu thập lại các dấu hiệu, bằng chứng tấn công.

Thực hiện thu thập các dữ liệu log từ các máy chủ, các hệ thống bảo vệ

Thu thập các mẫu mã độc phát hiện trong hệ thống.

Xác định mẫu Ransomware.

Phân tích mẫu dữ liệu bị mã hóa để xác định mẫu Ransomware bị ảnh hưởng

Trao đổi với các cơ quan chức năng để tìm kiếm bộ giải mã nếu có (một số loại Ransomware đã được phân tích và có các bộ giải mã được công bố).

Xác định phạm vi bị ảnh hưởng.

Xác định về các dữ liệu bị ảnh hưởng, khả năng dữ liệu bị đánh cắp

Xác định danh sách các tài khoản bị ảnh hưởng: của người dùng tổ chức và khách hàng.

Tải về Cẩm nang "Phòng chống, giảm thiểu rủi ro từ tấn công Ransomware" tại địa chỉ: https://khonggianmang.vn/uploads/CATTT_CAM_NANG_RANSOMWARE_b8f8bdbf51.pdf. 

Phạm Lê