Blog Đông Tác

Nguyễn Chí Công, CFLS

Trang nhà > Công nghệ > An ninh > Virus mã hóa tống tiền tiếp tục hoành hành

Virus mã hóa tống tiền tiếp tục hoành hành

Thứ Tư 31, Tháng Năm 2023, bởi From FB

Virus mã hóa tống tiền (ransomware) là một loại mã độc do tội phạm mạng (tin tặc, hacker) bí mật reo rắc với nguy cơ gây tổn thương cho hệ thống mạng toàn cầu. Xuất hiện đầu tiên ở Nga nhưng chỉ trong một thời gian ngắn, loại virus này đã lan khắp châu Âu. Đỉnh điểm là vào năm 2012, một số lượng lớn vụ tấn công bởi Ransomware được ghi nhận ở châu Âu và cả Mỹ, Canada. Theo Báo cáo về mối đe dọa mạng SonicWall năm 2022, khối lượng ransomware toàn cầu đã tăng 105% so với cùng kỳ năm trước (2021) và con số khổng lồ là 232% kể từ năm 2019, với riêng các cuộc tấn công ở Hoa Kỳ vào năm ngoái đã tăng 98%. Các nhà nghiên cứu đã ghi nhận hơn 623 triệu cuộc tấn công ransomware trên toàn thế giới. Một ước tính của Cybersecurity Ventures đưa ra thiệt hại từ các cuộc tấn công ransomware vào năm 2021 vào khoảng 20 tỷ đô la và công ty dự đoán rằng chi phí kinh tế của ransomware sẽ lên tới 265 tỷ đô la vào năm 2031.....

Khi ransomware lây nhiễm vào máy tính, nó sẽ mã hóa hoặc chặn những truy cập dữ liệu trên đĩa. Các file dữ liệu bị đổi sang định dạng có các đuôi với kí tự lạ. Ví dụ: *.Doc > *.docm ; *.xls > *.cerber, … Ở mỗi thời điểm, các đuôi này có thể khác nhau khiến ta tốn rất nhiều công sức để xác định. Muốn bình thường trở lại nhanh hơn, ta phải chuyển tiền (thường là phải dùng các loại tiền điện tử như Bitcoin, v.v.) vào tài khoản của hacker để chúng gỡ mã độcr (xem H.1).


Đến bây giờ, Ransomware có thể xuất hiện ở bất kỳ nơi đâu trên thế giới, Việt Nam không là ngoại lệ. Nếu như trong năm 2021 tại Việt Nam có chưa tới 1.000 máy chủ bị nhiễm ransomware thì năm 2022 đã ghi nhận hơn 14.500 máy. Trong 6 tháng đầu năm 2023, có hơn 77.000 máy tính bị tin tặc mã hóa dữ liệu. Đầu tháng 5/2023, một doanh nghiệp lớn, có đội ngũ quản trị viên dày kinh nghiệm, nhưng đã bị ransomware tấn công, toàn bộ hơn 10 TB (1 TB=1 nghìn tỷ byte) dữ liệu bị mã hóa. Hacker yêu cầu doanh nghiệp này phải đưa hơn 4 tỷ đồng để đổi lấy chìa khoá giải mã.

Giữa tháng 5/2023, một doanh nghiệp khác bị hacker tấn công và mã hóa dữ liệu hàng loạt máy chủ, máy cá nhân vào lúc nửa đêm. Hacker đòi 9.000 USD tiền chuộc dữ liệu cho mỗi máy bị mã hóa. Các chuyên gia phát hiện rằng hệ thống đã bị tấn công bởi loại virus Jianliang mới lạ chưa từng xuất hiện trước đây. Bên cạnh đó, còn phát hiện dòng mã độc mã hóa dữ liệu STOP/DJVU hoặc FARGO3, chuyên nhắm tới các doanh nghiệp, đơn vị sử dụng các phần mềm quản lý dữ liệu kế toán. Theo thống kê, có tổng cộng 261 máy chủ bị xâm nhập từ hơn 6.000 địa chỉ IP khác nhau.

Đó chỉ là vài ví dụ trong số rất nhiều trường hợp thể hiện sự chủ quan của người quản trị hệ thống, khiến virus mã hóa tống tiền hoành hành. Trong số hàng trăm trường hợp yêu cầu trợ giúp, có tới hơn 50% tổ chức, cá nhân không sử dụng phần mềm diệt virus hoặc cài đặt những ứng dụng bảo vệ không đủ mạnh. Đặc biệt, có những đơn vị có rất nhiều dữ liệu quan trọng nhưng lại tiết kiệm, sử dụng những phần mềm diệt virus miễn phí.

Trong khi đó, phần mềm diệt virus miễn phí có khả năng xử lý những loại mã độc thông thường, chỉ phù hợp bảo vệ những dữ liệu không quá quan trọng do không có khả năng tự động phát hiện và diệt triệt để các dòng virus mã hóa dữ liệu. Các loại mã độc mã hóa dữ liệu sử dụng rất nhiều cách thức để tấn công: Khai thác lỗ hổng dịch vụ web, dò quét mật khẩu (Brute force) vào các dịch vụ SQL, lỗ hổng hệ điều hành, để tấn công trực tiếp vào máy chủ. Cách khác là tấn công vào một máy cá nhân, từ đó âm thầm rà quét, thọc sâu vào các server và các máy tính khác trong mạng…


Hậu quả của những vụ việc bị mã hóa dữ liệu thường rất nặng nề bởi lẽ việc khôi phục lại dữ liệu gần như là không thể. Ngay cả khi nạn nhân chấp nhận trả tiền thì cũng không đảm bảo họ sẽ lấy lại được hết dữ liệu nguyên vẹn, do không phải file nào cũng giải mã ngược được, hoặc do hacker không giữ chữ tín (xem H.2).

Máy tính của bạn sẽ có nguy cơ bị nhiễm ransomware khi:

  • Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
  • Click vào file đính kèm trong email (thường là file word, PDF)
  • Click vào các quảng cáo bị nhiễm mã độc tống tiền
  • Truy cập vào các website chứa nội dung đồi trụy, không lành mạnh
  • Truy cập vào các website giả mạo.
  • v.v.

Vậy thì bạn biết nên làm gì rồi đấy. Thêm nữa để tránh bị tấn công mã hóa dữ liệu, các chuyên gia khuyến cáo người dùng và quản trị hệ thống cần: Backup dữ liệu quan trọng thường xuyên; không mở cổng dịch vụ nội bộ ra Internet khi không cần thiết; đánh giá an ninh các dịch vụ trước khi mở ra Internet; cài đặt phần mềm diệt virus đủ mạnh để được bảo vệ thường trực.