Tại sao việc khôi phục hoàn toàn dữ liệu bị mã hóa sau khi trả tiền chuộc vẫn khó khăn?

Tại sao việc khôi phục hoàn toàn dữ liệu bị mã hóa sau khi trả tiền chuộc vẫn khó khăn?

Sau khi lấy được khóa, chưa đến 10% công ty đã khôi phục được tất cả dữ liệu bị tin tặc mã hóa và quá trình này mất hàng tuần.

Tại hội thảo tổ chức tại Hà Nội chiều 5/4, Đại tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Bộ Công an, cho rằng nạn nhân ransomware không nên trả tiền chuộc vì điều này sẽ tạo tiền lệ nguy hiểm. và không thể giải mã được tất cả dữ liệu được phục hồi.

Tuy nhiên, ông cũng thừa nhận: “Thực tế đáng buồn là một khi dữ liệu đã được mã hóa thì gần như không có cơ hội tự giải mã được. Cách duy nhất là trả tiền chuộc hoặc lấy được key mã hóa bằng cách nào đó”. .”

Tương tự, ông Vũ Ngọc Sơn, trưởng phòng nghiên cứu kỹ thuật tại Hiệp hội An ninh mạng quốc gia, khẳng định: “Khả năng giải mã dữ liệu mà không cần khóa gần như bằng 0, vì mã hóa là nền tảng của Internet”.

Khôi phục dữ liệu sau khi trả tiền chuộc

Ngay cả khi bạn nhận được mã mở khóa, việc đưa hệ thống của bạn hoạt động trở lại không hề đơn giản. Khi tham gia giải cứu một công ty môi giới chứng khoán vào cuối tháng trước, kỹ sư an ninh mạng Dương Ngọc Thái cho biết: “Tôi không ngờ lần này lại khó khăn đến vậy”. Dù công ty đã có chìa khóa nhưng các chuyên gia vẫn gặp khó khăn do khối lượng dữ liệu quá lớn khiến quá trình giải mã mất nhiều thời gian và dễ xảy ra lỗi, không nhanh như mong đợi.

Trong Báo cáo về ransomware năm 2022 của công ty bảo mật Sophos, dựa trên khảo sát với hơn 5.600 nhà quản lý CNTT ở 31 quốc gia, 46% cho biết họ đã chấp nhận thanh toán để lấy lại dữ liệu. Tuy nhiên, chỉ có 4% trong số các công ty này khôi phục được toàn bộ dữ liệu của mình và gần một nửa chỉ khôi phục được 61% dữ liệu của họ.





Anh Vũ Ngọc Sơn chia sẻ quá trình xử lý khi bị ransomware tấn công. Ảnh: Lưu Quý

Anh Vũ Ngọc Sơn chia sẻ quá trình xử lý khi bị ransomware tấn công. hình ảnh: Lữ Quế

Điều này xuất phát từ cơ chế mã hóa và ransomware của hacker. Ông Vũ Ngọc Sơn cho biết, thông thường sau khi trích xuất và mã hóa, hacker sẽ để lại key trên hệ thống của nạn nhân rồi mã hóa key thay vì gửi về máy chủ của họ. Điều này nhằm đảm bảo rằng mỗi nạn nhân có một chìa khóa khác nhau, ngăn chặn việc một người trả tiền để mở nó cho người khác.

“Giống như kẻ trộm đột nhập vào nhà, khóa tất cả các cửa, sau đó bỏ hết chìa khóa vào hộp rồi tiến hành khóa lại”, ông Sơn nói. Nếu người dùng trả tiền chuộc, họ sẽ nhận được chìa khóa để mở hộp. Nếu thành công thì tiến hành mở khóa từng cửa. Quá trình này cần phải được thực hiện cẩn thận để tránh nguy cơ bị tấn công lần nữa.

Theo ông Sun, quá trình xử lý ransomware được chia thành 4 giai đoạn, bao gồm: khẩn cấp, xem xét, khắc phục và tổng kết kinh nghiệm. Để hệ thống được sao lưu và chạy (giai đoạn khôi phục), bước xem xét là bước quan trọng nhằm đảm bảo tạo ra môi trường mạng trong sạch. Sau khi bổ sung các phương án phòng thủ cần thiết, các đơn vị phải tìm và vá các lỗ hổng trong hệ thống, kiểm tra kỹ lưỡng từng máy chủ và đưa từng bộ phận vào hoạt động trở lại.

Đây là lý do tại sao việc mở khóa, ngay cả bằng mật khẩu, thường mất nhiều thời gian.Theo báo cáo của hãng nghiên cứu thị trường Statista giai đoạn 2021-2023, các công ty có tỷ lệ gián đoạn trung bình 20-26 ngày Sau một cuộc tấn công ransomware.





Thời gian ngừng hoạt động trung bình của công ty sau ransomware. Ảnh: Statista

Thời gian ngừng hoạt động trung bình của công ty sau ransomware. hình ảnh: Stasta

“Khi một hệ thống rất lớn bị tấn công, chúng tôi không biết bắt đầu từ đâu, phải dọn dẹp từng máy chủ, phát hành chương trình, đưa vào giám sát…nên mất rất nhiều thời gian, không thể tính hết trong một ngày được, ” Ông. . “, cậu con trai nói.

Liên quan đến sự việc ở Việt Nam, ông Sun cho rằng khả năng VnDirect trở lại hoạt động sau một tuần là “rất nhanh và đáng được ghi nhận”. Sau khi bị tấn công vào ngày 24/3, VnDirect đã làm sạch thành công quá trình giao dịch trên môi trường giả lập vào ngày 28/3, đồng thời thiết lập lại liên lạc với các bên liên quan và thực hiện giao dịch vào ngày 1/4.

Tại hội thảo, các công ty, tổ chức được khuyến cáo giữ bình tĩnh khi bị ransomware tấn công, ngay lập tức cách ly hệ thống bị tấn công, đồng thời thông báo cho cơ quan chức năng và các bên liên quan để đưa ra giải pháp vật lý. Điều này cũng giúp tránh những sai sót như vội vàng khôi phục hệ thống, mất dấu vết của một cuộc tấn công, gây khó khăn cho việc xác định nguyên nhân và tăng nguy cơ các cuộc tấn công tiếp theo xảy ra lần nữa.

Đối với các đơn vị không bị tấn công, các chuyên gia cho rằng hệ thống quét và sao lưu dữ liệu là giải pháp tốt nhất để ngăn chặn các cuộc tấn công mã hóa dữ liệu nhưng phải thực hiện chính xác.

Ông Fan Taishan, đại diện Trung tâm giám sát an ninh mạng quốc gia cho biết, việc sao lưu cần được thực hiện theo mô hình 3-2-1, tức là ít nhất ba bản, hai định dạng khác nhau và ít nhất một phiên bản ngoại tuyến. “Nếu chúng ta không tách rời cơ sở hạ tầng và xây dựng chiến lược rõ ràng thì có thể sẽ không có gì để phục hồi”, ông Sơn nói.

Lữ Quế