Thông tin liên quan Tấn công mã hóa dữ liệu ransomware Hiệp hội An ninh mạng Quốc gia công bố (ransomware) nhắm vào Bưu điện Việt Nam vào sáng 5/6.
Tương tự như cách VnDirect bị tấn công
Theo các chuyên gia của Hiệp hội An ninh mạng Quốc gia, khoảng 3h10 ngày 4/6, hệ thống công nghệ thông tin của Bưu điện Việt Nam bị hacker tấn công, mã hóa dữ liệu khiến hoạt động bị đình trệ.
Kết quả phân tích sơ bộ cho thấy đây là hình thức tấn công trực tiếp vào hệ thống máy chủ ảo hóa và mã hóa các tập tin máy ảo (bao gồm cả hệ điều hành và dữ liệu) để đòi tiền chuộc. Hiện chưa có thông tin cụ thể về tổ chức tấn công nhưng cách thức tấn công tương tự như cách VnDirect bị tấn công cách đây không lâu.
Hiệp hội An ninh mạng Quốc gia khuyến cáo các cơ quan, tổ chức, doanh nghiệp Việt Nam cần khẩn trương rà soát, làm sạch hệ thống và tăng cường giám sát an ninh mạng để ngăn chặn, chống lại các cuộc tấn công tương tự có thể tiếp tục xảy ra trong thời gian tới.
Theo thông báo của Bưu điện Việt Nam, vụ tấn công đã ảnh hưởng trực tiếp đến sự phát triển của các hoạt động liên quan đến dịch vụ chuyển phát bưu chính. Sau khi phát hiện vụ việc, cơ quan này đã triển khai các biện pháp xử lý theo hướng dẫn của cơ quan chức năng, bao gồm việc ngắt kết nối các hệ thống công nghệ thông tin để cách ly vụ việc và bảo vệ dữ liệu.
Hiện nay, các đơn vị chức năng như Cục An ninh mạng và Phòng chống tội phạm công nghệ cao (A05-Bộ Công an) và Cục An toàn thông tin (Bộ Công nghệ thông tin và Truyền thông) đang phối hợp an ninh mạng doanh nghiệp và các đơn vị thành viên Quốc gia. Hiệp hội An ninh mạng tích cực hỗ trợ Bưu điện Việt Nam xử lý vấn đề mã hóa dữ liệu.
Tuy nhiên, đến 9h ngày 5/6, website Bưu điện Việt Nam vẫn không thể truy cập bình thường.
Theo Hiệp hội An ninh mạng Quốc gia, việc sử dụng hệ thống ảo hóa rất phổ biến trong các tổ chức, doanh nghiệp tại Việt Nam. Đặc biệt đối với hệ thống từ 50 máy chủ trở lên, ảo hóa là giải pháp bắt buộc. Đây là hệ thống giúp quản trị viên dễ dàng thiết lập quản lý máy chủ và tối ưu hóa hoạt động của hệ thống. Nhưng thực tế cho thấy vấn đề bảo mật của hệ thống ảo hóa chưa tương xứng với quy mô đầu tư.
“Đối với hệ thống máy chủ vật lý, không sử dụng ảo hóa”, ông Vũ Ngọc Sơn, người đứng đầu bộ phận nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế tại (Hiệp hội An ninh mạng Quốc gia) cho biết “Sẽ mất rất nhiều thời gian”. và để lại dấu vết tấn công, xâm phạm máy”, ông nói. Và rất dễ bị phát hiện, khi xâm nhập, kiểm soát ảo hóa hệ thống quản lý, hacker có thể chỉnh sửa hoặc tắt, mở máy chủ, trong đó có các dịch vụ quan trọng chạy trên hệ thống, từ một nơi và đặc biệt có thể mã hóa toàn bộ máy ảo, bao gồm cả máy ảo dự phòng.”
Khuyến nghị kinh doanh Vứt bỏ tài sản CNTT không sử dụng
Để chủ động ngăn chặn, chống lại các cuộc tấn công của phần mềm độc hại mã hóa dữ liệu, đặc biệt là vào hệ thống ảo hóa, Hiệp hội An ninh mạng Quốc gia khuyến cáo các tổ chức, doanh nghiệp khẩn trương kiểm tra, làm sạch hệ thống của mình (nếu có mã độc), đặc biệt là các máy chủ quan trọng như hệ thống ảo hóa. Máy chủ quản lý, máy chủ email, máy chủ AD.
Ngoài ra, cập nhật các bản vá lỗ hổng và loại bỏ các tài sản công nghệ thông tin (CNTT) không sử dụng để tránh bị lợi dụng để tấn công mạng;
Để đảm bảo dữ liệu có thể được khôi phục sớm nhất khi hệ thống bị tấn công, tổ chức cần có kế hoạch sao lưu hệ thống thường xuyên, đồng thời ban hành các quy trình ứng phó, xử lý sự cố khi bị tấn công; Hãy liên hệ ngay với cơ quan chức năng để được hỗ trợ xử lý và phối hợp nỗ lực cứu hộ.
Ngoài ra, các đơn vị cần thiết lập và tuân thủ các quy trình để truy cập và quản lý cơ sở hạ tầng hệ thống quan trọng (vCenter, ESXi, AD, email, v.v. các máy chủ quan trọng…). Chỉ cho phép truy cập từ một số địa chỉ mạng đáng tin cậy nhất định (IP danh sách trắng, máy chủ nhảy) cho mục đích quản trị.
Sử dụng giải pháp quản lý truy cập PAM và xem xét áp dụng xác thực đa yếu tố (2-FA) cùng với xác thực quản trị.
Triển khai và rà soát các hệ thống giám sát an ninh mạng (SOC); Thu thập nhật ký bổ sung liên quan đến truy cập và xác thực hệ thống ảo hóa; Thêm bộ quy tắc vào các công cụ và giải pháp ngăn chặn tấn công nhằm phát hiện hành vi truy cập và xác thực bất thường.