Tin tặc có thể 'nằm vùng' từ lâu trong các vụ tấn công gần đây

03/04/2024 11:34 GMT+7

Các chuyên gia bảo mật tin rằng quá trình tấn công hệ thống đã được chuẩn bị từ lâu và có thể không chỉ dừng lại ở PVOIL hay VNDIRECT.

Sau VNDIRECT, Tổng công ty Dầu Việt Nam - CTCP (PVOIL) mới đây cũng phát đi công văn khẩn về việc gián đoạn tất cả các hệ thống công nghệ thông tin của đơn vị, trong đó nêu rõ lý do bị tấn công có chủ đích bằng hình thức mã hóa dữ liệu đòi tiền chuộc (ransomware).

Đây là trường hợp gần nhất trong số những vụ tấn công mạng liên tiếp nhắm vào các doanh nghiệp Việt gần đây, đa phần chung hình thức sử dụng ransomware.

Tin tặc sau khi mã hóa dữ liệu trên hệ thống máy chủ của mục tiêu sẽ yêu cầu trả tiền chuộc để mở khóa các tập tin bị tấn công. Thông thường, chúng sẽ yêu cầu nạn nhân trả bằng tiền điện tử (đa phần là Bitcoin hoặc Ethereum) vì đặc tính khó truy vết của công nghệ này.

Theo chuyên gia an ninh mạng, để tấn công vào hệ thống công nghệ thông tin dù lớn hay nhỏ, tin tặc cũng cần xâm nhập từ trước đó để "nằm vùng", theo dõi và nắm bắt dữ liệu quan trọng và đến thời điểm thích hợp mới thực thi mã hóa để đòi tiền chuộc.

Tin tặc ẩn mình trong hệ thống thông tin từ lâu trước khi kích hoạt cuộc tấn công bằng mã độc tống tiền

Tin tặc ẩn mình trong hệ thống thông tin từ lâu trước khi kích hoạt cuộc tấn công bằng mã độc tống tiền

Chụp màn hình Fotolia

Ông Vũ Ngọc Sơn - Giám đốc công nghệ của NCS nhận định sau các vụ việc gần đây, có thể thấy hình thức tấn công của tin tặc tương đối giống nhau: tấn công nằm vùng một thời gian rồi thực hiện mã hóa dữ liệu. Tuy nhiên, ông cho rằng kỹ thuật tấn công của các vụ không giống nhau, từ đó đặt ra khả năng đây là các chiến dịch của những nhóm tội phạm khác nhau.

"Chưa có bằng chứng cho thấy đây là một chiến dịch có tổ chức. Tuy nhiên cũng không loại trừ khả năng này vì các vụ việc liên tiếp xảy ra trong một thời gian khá ngắn", lãnh đạo NCS nói thêm.

Trao đổi với Thanh Niên, chuyên gia bảo mật cho biết để thực hiện mã hóa dữ liệu, tin tặc phải có đủ thời gian để biết thông tin nào quan trọng. Vì vậy, chúng sẽ phải cài các mã độc nằm vùng, thu thập thông tin hằng ngày, từ đó phân tích, đánh giá và lựa chọn mục tiêu để mã hóa. Với tổ chức có càng nhiều thành phần và càng phức tạp thì thời gian nằm vùng phải càng lâu.

"Số vụ tấn công có thể còn tiếp tục, không chỉ dừng lại ở PVOIL và VNDIRECT", ông Vũ Ngọc Sơn bày tỏ quan ngại.

Ở các vụ tấn công, tin tặc thường ẩn mình trong hệ thống, âm thầm theo dõi thông tin, do đó nhiều trường hợp không rà soát thường xuyên sẽ khó phát hiện ra sự xuất hiện bất thường của một số thành tố, hoặc dấu vết truy cứu dữ liệu lạ trong nhật kế hệ thống. CEO Ngô Tuấn Anh của Công ty an ninh mạng thông minh SCS đánh giá hiện nay không có hệ thống an toàn thông tin nào là đảm bảo 100% bởi lỗ hổng bảo mật có thể xuất hiện hằng ngày. Tin tặc luôn thăm dò, thử nghiệm để tìm ra sơ hở và thực hiện các vụ tấn công nhắm vào đó.

Để phòng chống và giảm thiểu rủi ro, thiệt hại, các chuyên gia bảo mật tại Việt Nam khuyến cáo doanh nghiệp cần khẩn trương đưa các hệ thống thông tin quan trọng vào quy trình giám sát an ninh mạng 24/7. Việc giám sát liên tục sẽ giúp tăng cơ hội phát hiện ra các trường hợp xâm nhập hệ thống từ sớm, loại bỏ nguy cơ bị nằm vùng theo dõi.

"Cần nhanh chóng thực hiện sao lưu (backup) dữ liệu quan trọng, tốt nhất là thiết lập được hệ thống dự phòng sao lưu định kỳ", chuyên gia Vũ Ngọc Sơn nói. Doanh nghiệp cần có phương án tách biệt hệ thống chính với dữ liệu đã backup cả về mặt địa lý lẫn liên kết trực tuyến nhằm đảm bảo cơ sở dữ liệu dự phòng được an toàn.

Cùng với đó, doanh nghiệp nên rà soát, kiểm tra an ninh định kỳ cho hệ thống công nghệ thông tin, cơ sở dữ liệu của mình, luôn sẵn sàng quy trình ứng phó sự cố. Nếu có thể, các đơn vị được khuyên tổ chức diễn tập nhằm rút kinh nghiệm, bổ sung và hoàn thiện quy trình này bằng các trải nghiệm thực tế.

Một yếu tố quan trọng khác là đào tạo nhận thức, kiến thức an ninh mạng, nâng cao kỹ năng của người dùng là nhân viên công ty. Trong nhiều trường hợp, tin tặc có được quyền truy cập hệ thống thông qua tài khoản quản trị bằng việc cài cắm chương trình đánh cắp thông tin hoặc lợi dụng sơ hở, thiếu cảnh giác của những người nắm giữ tài khoản quan trọng.

Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.