Tần suất tấn công mã hóa dữ liệu tống tiền ngày càng tăng

Trong khuôn khổ tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng Quốc gia (NCA) và Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam (Vietnam ICT Press Club) tổ chức, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Bộ Công an) cho biết, tần suất tấn công mã hóa dữ liệu đang ngày càng dồn dập, gây thiệt hại cho tổ chức, doanh nghiệp ngày càng lớn.

Thống kê của các đơn vị chức năng cho thấy, tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam. Trong đó, tính riêng 3 tháng đầu năm nay, số lượt tấn công mạng vào các hệ thống thông tin tại Việt Nam là 2.323. Gần đây nhất là cuộc tấn công vào VNDIRECT, VPOIL…

Theo ông Lê Xuân Thủy, nạn nhân của mã hóa tống tiền (ransomware) không nên trả tiền chuộc vì sẽ tạo tiền lệ nguy hiểm, trong khi chưa chắc giải mã được toàn bộ dữ liệu.

“Trong tháng 3/2024, một đơn vị ở Việt Nam đã phải trả tiền chuộc để khôi phục hệ thống. Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường. Pháp luật hiện chưa có quy định cụ thể về việc này, nên đó vẫn là lựa chọn của doanh nghiệp”, Giám đốc Trung tâm An ninh mạng quốc gia chia sẻ.

Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Bộ Công an)

Tuy nhiên, ông Lê Xuân Thủy cũng thừa nhận: “Thực tế đáng buồn là một khi dữ liệu đã bị mã hóa, gần như không có cơ hội tự giải mã. Chỉ có trả tiền chuộc, hoặc lấy được khóa mã theo cách nào đó, ví dụ tấn công được nhóm hacker”.

Ông Lê Xuân Thủy khuyến cáo, khi doanh nghiệp phát hiện bị tấn công phải cách ly và ngay lập tức thông báo với cơ quan chức năng.

“Chúng tôi sẵn sàng giúp đỡ các tổ chức và điều phối các lực lượng: tại chỗ, nhà nước, đơn vị cung cấp dịch vụ an ninh mạng để xây dựng kế hoạch vừa khôi phục nhanh nhất có thể, vừa đảm bảo các yếu tố thu thập dấu vết điều tra tội phạm. Phải bảo vệ được dữ liệu chứng cứ để giúp ích cho chủ quản trong quá trình điều tra. Cần trao đổi ngay với cơ quan nhà nước và tuân thủ điều phối nói chung”, ông Lê Xuân Thủy nói.

Đồng quan điểm, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty Cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia khẳng định: “Xác suất giải mã dữ liệu mà không có khóa bí mật gần như bằng 0, vì mã hóa là nền tảng của Internet”.

Trong báo cáo ransomware 2022 của công ty bảo mật Sophos, dựa trên khảo sát hơn 5.600 quản lý IT tại 31 quốc gia, 46% cho biết đã chấp nhận trả tiền để lấy lại dữ liệu. Tuy nhiên, chỉ 4% công ty trong số này khôi phục được toàn bộ dữ liệu, còn gần một nửa chỉ lấy lại được 61% dữ liệu.

Ông Vũ Ngọc Sơn cho rằng, điều này xuất phát từ cơ chế mã hóa và tống tiền của tin tặc. Thông thường sau khi xâm nhập và mã hóa, hacker sẽ để luôn khóa trên hệ thống của nạn nhân, sau đó mã hóa luôn khóa đó thay vì gửi về máy chủ của chúng. Việc này nhằm đảm bảo mỗi nạn nhân là một khóa khác nhau, tránh việc một người bỏ tiền mua để mở cho người khác.

“Nếu người dùng trả tiền chuộc, họ sẽ nhận được chìa khóa để mở hộp. Nếu thành công mới tiến tiến tới mở khóa từng cánh cửa. Quá trình này diễn ra một cách thận trọng để tránh nguy cơ bị tấn công trở lại”, ông Vũ Ngọc Sơn nhấn mạnh.

Bên cạnh đó, Giám đốc Kỹ thuật NCS chỉ ra, quy trình xử lý khi bị ransomware diễn ra trong 4 giai đoạn, gồm: cấp cứu, rà soát, phục hồi và rút kinh nghiệm. Để đưa một hệ thống trở lại hoạt động, tức giai đoạn phục hồi, bước rà soát là giai đoạn quan trọng để đảm bảo tạo ra một môi trường mạng sạch. Các đơn vị sẽ phải tìm và vá lỗ hổng trên hệ thống, rà kỹ từng máy chủ và đưa từng thành phần hoạt động trở lại, sau khi đã bổ sung các phương án phòng thủ cần thiết.

Theo Hiệp hội An ninh mạng Quốc gia, trước vấn đề tấn công mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã chủ động chủ trì, phối hợp với Cục An toàn thông tin, Bộ Thông tin và Truyền thông cùng các cơ quan liên quan điều phối hợp điều tra, hướng dẫn các cơ quan, doanh nghiệp khẩn trương khắc phục, sớm đưa các hệ thống thông tin vận hành trở lại bình thường, hạn chế hậu quả thiệt hại xảy ra cho các cơ quan, doanh nghiệp.

Kết quả điều tra xử lý các sự cố tấn công mã hóa dữ liệu cho thấy phương thức thủ đoạn của nhóm tội phạm này hết sức tinh vi, nguy hiểm, kịch bản tấn công của nhóm tin tặc có nhiều điểm tương đồng. Việc tấn công hệ thống có thể gây ngừng toàn bộ hoạt động, giao dịch và khó có thể thu hồi được dữ liệu nhạy cảm đã rơi vào tay tin tặc. Trong đó, dữ liệu của các đơn vị này đóng vai trò hết sức quan trọng, mang tính chất quyết định trong hoạt động của tổ chức; phải duy trì, bảo đảm tính sẵn sàng cao.