- Theo ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng quốc gia, mã độc tống tiền thường lây lan theo 8 bước. Và để xử lý mã hóa dữ liệu, cần trải qua 4 giai đoạn…
 |
Ở góc độ kỹ thuật, một cuộc tấn công mã hoá dữ liệu gồm 8 bước
1. Dò tìm
Đây là giai đoạn tin tặc cố gắng tìm ra lỗ hổng trên hệ thống mục tiêu. Việc dò tìm thường mất vài tháng chứ không phải ngày một ngày hai. Trong thời gian dò tìm, nếu chúng ta giám sát tốt, biết đối tượng đang dò tìm thì có thể ngăn chặn.
2. Xâm nhập
Sau khi phát hiện ra lỗ hổng, hacker sẽ xâm nhập hệ thống qua lỗ hổng này, tìm cách chiếm quyền điều khiển máy chủ hoặc máy tính quản trị hệ thống. Quá trình này diễn ra rất nhanh, thường chỉ trong vài phút.
3. Nằm vùng
Khi xâm nhập vào máy tính, hacker thường sẽ nằm vùng trong đó một thời gian để tìm hiểu xem dữ liệu quan trọng để ở đâu, hệ thống quản trị người dùng thế nào, nghiệp vụ của cơ quan tổ chức. Hacker sẽ nắm quyền quản trị ngầm toàn bộ hệ thống. Thời điểm nằm vùng của hacker thường từ 3-6 tháng, đủ để tinh thông hệ thống và xác định rõ mục tiêu cần tấn công.
4. Mã hóa dữ liệu
Bước tiếp theo của hacker là mã hóa toàn bộ dữ liệu. Trong một số trường hợp, hacker sẽ lấy cắp dữ liệu trước khi mã hóa để đảm bảo nạn nhân phải trả tiền.
5. Dọn dẹp
Hacker sẽ xóa toàn bộ các log truy cập để che dấu vết.
6. Đòi tiền
Hacker gửi thông điệp trên màn hình máy tính rằng mình đã mã hóa hết dữ liệu, người dùng cần trả tiền chuộc để phục hồi hệ thống. Một số trường hợp hacker đe dọa phát tán dữ liệu trên mạng nếu nạn nhân không trả tiền.
Thông thường, hacker sẽ để bộ giải mã trong một chiếc "hộp" đặt đâu đó trong máy tính. Sở dĩ chúng làm như vậy là bởi sẽ rất khó nhớ các bộ giải mã của từng hệ thống khi tấn công nhiều hệ thống máy tính khác nhau.
Khi nạn nhân trả tiền chuộc, hacker sẽ cung cấp mật khẩu mở hộp để giải mã. Cũng không loại trừ trường hợp sau khi nhận được tiền, hacker không cung cấp bộ giải mã.
7. Rửa tiền
Hacker sẽ chọn hình thức thanh toán bằng tiền mã hóa (thường là Bitcoin) để che dấu hành vi phạm tội. Tiền mã hóa sẽ khiến các nhà điều tra khó tìm ra dấu vết do tính năng phi tập trung của nó.
8. Lặp lại
Sau khi nhận được tiền chuộc, nếu lỗ hổng chưa được vá, hacker có thể lặp lại cuộc tấn công vào hệ thống này, hoặc với lỗ hổng mới trên hệ thống của nạn nhân. Chúng cũng có thể mở rộng sang các mục tiêu khác.
Cần làm gì khi bị mã hóa dữ liệu?
Khi một cơ quan, doanh nghiệp bị dính mã độc tống tiền, cách để phản ứng lại một cuộc tấn công mã hoá dữ liệu tốt nhất nên tuân thủ quy trình xử lý sự cố đã đề ra từ trước đó. Theo ông Vũ Ngọc Sơn - có bốn giai đoạn cần triển khai ngay khi gặp sự cố.
 |
| Ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng quốc gia chia sẻ thông tin tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” diễn ra ngày 5/4 |
1. Cấp cứu
Cách ly ngay hệ thống bị tấn công. Biện pháp rút điện, rút phích cắm, ở tình huống này rất hợp lý, không những để hacker không tấn công tiếp mà còn để cơ quan điều tra có chứng cứ Sau đó, liên hệ ngay với Trung tâm An ninh mạng quốc gia - nơi điều phối các hoạt động ứng cứu và điều tra sự cố và các bên liên quan. Đánh giá khả năng sử dụng các dữ liệu đã sao lưu. Thông báo cho các bên bị ảnh hưởng. Đưa ra kế hoạch xử lý, để báo cáo cho các bên liên quan và có lộ trình xử lý sự cố.
2. Rà soát
Rà soát tìm lỗ hổng, điểm yếu trên hệ thống. Dựng phân vùng mạng sạch, có hệ thống giám sát tiêu chuẩn. Rà soát kỹ từng máy chủ, xong máy nào đưa vào vùng sạch máy đó. Bổ sung các giải pháp phòng thủ nếu có điều kiện... Ban hành quy định về an ninh mạng để đối phó sự cố tương tự có thể xảy ra.
3. Phục hồi
Đưa từng phần của hệ thống vào hoạt động. Một hệ thống rất lớn bị tấn công, chúng ta không biết bắt đầu từ đâu, phải làm sạch từng máy chủ, ban hành quy trình, đưa vào giám sát. Những việc này sẽ cần rất nhiều thời gian, không thể tính bằng ngày được; Tuân thủ nghiêm ngặt các quy trình an ninh mạng đã đặt ra; Tăng cường giám sát 24/7.
4. Rút kinh nghiệm
Đây là một giai đoạn rất quan trọng. Sau khi đã ổn định rồi, doanh nghiệp, tổ chức cần phải rút kinh nghiệm, có sự đầu tư nâng cấp hệ thống, đào tạo phổ biến kiến thức cho cán bộ nhân viên để vận hành an toàn hơn. Khi có thời gian rồi, cũng phải rà soát xây dựng lại toàn bộ hệ thống quy trình.
Cùng với 4 giai đoạn nêu trên, ông Vũ Ngọc Sơn đặc biệt nhấn mạnh vào việc giám sát hệ thống 24/7, giống như khám sức khỏe định kỳ ở người. Mỗi năm rà soát hệ thống ít nhất một lần. Việc rà soát phải được tiến hành cẩn thận, không nên làm kiểu đối phó. Nếu rà soát kỹ, có xác suất phát hiện được mã độc nằm vùng.
Phạm Lê
