Các chuyên gia cho biết mô hình tấn công của tin tặc trong các vụ ransomware gần đây đều giống nhau. Chúng đều hoạt động bí mật trong một khoảng thời gian và sau đó mã hóa dữ liệu đòi tiền chuộc.
Chiều 5/4, tại tọa đàm về mã hóa dữ liệu phòng chống ransomware tổ chức tại Hà Nội, Đại tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng Quốc gia, Bộ Công an, cho biết, hiện đang có làn sóng “ ransomware” đang “hoạt động”. “Trong các cuộc tấn công bằng mật mã, các tổ chức và doanh nghiệp là mục tiêu để đòi tiền chuộc.
Ông Vũ Ngọc Sơn, trưởng phòng nghiên cứu kỹ thuật Hiệp hội An ninh mạng quốc gia cho biết, hiện chưa có bằng chứng nào cho thấy đây là hoạt động có tổ chức vì kỹ thuật tấn công không giống nhau và có thể đến từ các tổ chức tội phạm mạng khác nhau. Tuy nhiên, điểm chung của các vụ việc gần đây là mã độc đã được cài vào hệ thống của các tổ chức, doanh nghiệp từ lâu, đặc biệt là trong các ngành điện, ngân hàng, chứng khoán, trung gian thanh toán, viễn thông, dầu khí, y tế.
Ông Thủy dẫn chuyện “ngầm” làm ví dụ. Năm ngoái, một ngân hàng ở Việt Nam thiệt hại nặng nề do mã độc ẩn sâu trong hệ thống. Mã độc âm thầm thu thập dữ liệu khách hàng và hiểu cấu trúc dữ liệu. Nhóm hack đã sàng lọc một nhóm khách hàng có số tiền lớn trong tài khoản vượt quá một triệu. Sau đó, chúng thực hiện giao dịch bằng cách truy cập vào tài khoản của nạn nhân, đổi số điện thoại đã đăng ký sang số khác và cài đặt dịch vụ ngân hàng thông minh trên thiết bị mới. Sau khi hoàn tất, hacker quay lại hệ thống và đổi lại số điện thoại cũ.
“Khi ẩn như thế này thì mức độ nguy hiểm rất cao. Đôi khi hacker nắm rõ hệ thống hơn cả những người quản lý của tổ chức”, ông Thủy nói.
'Chợ đen' bán quyền truy cập hệ thống
Ông Lê Xu Thủy cho biết có một thị trường chuyên buôn bán, phát tán mã độc và lỗ hổng bảo mật. Vì vậy, các nhóm tấn công không cần quá thành thạo vẫn có thể truy cập và sử dụng mã độc vào mục đích bất chính.
Ông Wu Yushan cũng có chung quan điểm, cho rằng trên “chợ đen” có một số nhóm chuyên xâm nhập vào hệ thống rồi bán lại quyền khai thác cho nhóm khác. Ngay cả những người tìm ra lỗ hổng bảo mật cũng có hai lựa chọn: bán lại cho các nhà phát triển hệ thống để lấy phần thưởng, hoặc bán chúng ra chợ đen với giá cao hơn.
“Bán lỗ hổng bảo mật, bán quyền truy cập hệ thống đã trở thành một ngành công nghiệp”, Sơn nói.
Ông Vũ Ngọc Sơn, Trưởng phòng Nghiên cứu kỹ thuật Hiệp hội An ninh mạng quốc gia, ảnh: Minh Quý
Đồng thời, hầu hết chủ sở hữu hệ thống thông tin còn nhận thức hạn chế về vai trò, tầm quan trọng của việc đảm bảo an ninh mạng. Năng lực ứng phó, xử lý sự cố, sửa chữa còn thấp, đầu tư nhiều hệ thống công nghệ thông tin quan trọng chưa đồng bộ, thiếu sự giám sát, kiểm tra, đánh giá thường xuyên, còn tồn tại những yếu kém về mặt kỹ thuật, lỗ hổng bảo mật.
“Trong các tổ chức, doanh nghiệp ở Việt Nam, có sự chậm trễ đáng kể trong việc chuyển nhận thức thành hành động. Cách đây 5 ngày, khi tôi đang tham gia khắc phục sự cố cho một tổ chức bị tấn công, tôi nhận thấy sự việc có thể đã xảy ra sớm hơn. Phòng ngừa, vì chúng tôi đã gửi một ông Tôn kèm theo ví tiền để cảnh báo đơn vị rằng tài khoản đã bị xâm phạm nhưng không ai có hành động gì, có lẽ vì họ cho rằng máy tính của lễ tân không quan trọng.
Theo thống kê từ các tổ chức an ninh mạng, kể từ đầu năm 2023, Việt Nam đã chứng kiến hơn 13.750 vụ tấn công gây sự cố hệ thống thông tin. Chỉ riêng 3 tháng đầu năm 2024, số vụ tấn công lên tới 2.323 vụ, trong đó có sự cố nghiêm trọng như VnDirect, PVOIL.
Cuối tháng 3, Cục An toàn thông tin, Bộ Công nghệ thông tin và Truyền thông cũng yêu cầu các công ty chứng khoán tiến hành rà soát theo cấp bậc việc thực hiện an toàn thông tin; xây dựng kế hoạch ứng phó sự cố, kế hoạch sao lưu thường xuyên hệ thống, dữ liệu quan trọng để đảm bảo an toàn thông tin; tạo điều kiện phục hồi kịp thời trong trường hợp bị tấn công mã hóa dữ liệu, đồng thời báo cáo các bộ phận theo yêu cầu. Báo cáo sự cố; kiểm tra, cập nhật bản vá cho các hệ thống quan trọng dựa trên cảnh báo của Bộ Thương mại và các cơ quan, tổ chức liên quan.
thông minh thông minh
