Phải làm gì khi bị Ransomware tấn công?

Ransomware đang xuất hiện hàng ngày, hàng giờ

Theo thống kê, năm 2023 là năm "bùng nổ" của các cuộc tấn công ransomware: tổng số tiền các nạn nhân đã trả vượt 1 tỷ đô la, 10% các tổ chức bị nhắm tới bởi ransomware. Có thể thấy rằng, tấn công ransomware vào doanh nghiệp vẫn là một xu hướng chung và Việt Nam cũng không ngoài xu hướng đó, bên cạnh hướng tấn công vào người dùng phổ thông đang dần chững lại.

Trong thời gian gần đây, Ransomware LockBit– LockBit 3.0 cũng đã trở thành mối nguy hại nghiêm trọng nhất mà các doanh nghiệp đang phải đối mặt. Mối đe dọa này đánh dấu một bước tiến đáng kể trong lĩnh vực ransomware, đặc trưng bởi các chiến thuật tinh vi và khả năng toàn diện của nó. LockBit 3.0 không chỉ thể hiện khả năng vượt trội trong việc thích ứng với các biện pháp phòng vệ an ninh mạng đang phát triển mà còn thể hiện mức độ tổ chức và phối hợp cao hơn. LockBit chiếm 27,93% trong tổng số các cuộc tấn công bằng ransomware đã biết từ tháng 7 năm 2022 đến tháng 6 năm 2023. Con số này nhấn mạnh hiệu suất và hiệu quả vượt trội của nhóm trong việc thực hiện các cuộc tấn công mạng, thể hiện mức độ hoạt động chính xác khiến nhóm này trở nên khác biệt trong lĩnh vực hoạt động mạng độc hại.

Điều khiến LockBit 3.0 khác biệt so với các đối tác của nó không chỉ đơn thuần là mức độ phổ biến mà còn là sự phát triển về mặt phương pháp của nó. Nhóm liên tục cải tiến các chiến thuật của mình, kết hợp các công nghệ tiên tiến và thích ứng với bối cảnh an ninh mạng luôn thay đổi. Sự nhanh nhẹn này đã cho phép LockBit 3.0 vượt trội hơn các cơ chế phòng thủ truyền thống, đặt ra thách thức dai dẳng cho các tổ chức thuộc mọi quy mô. Do đó, dòng mã độc này đang được nhiều kẻ tấn công sử dụng.

Nạn nhân thực sự của Ransomware là ai?

Theo thống kê của VSEC cho thấy, tất cả các lĩnh vực kinh tế đều đã từng bị Ransomware "ghé thăm". Trong năm 2023, lĩnh vực chăm sóc sức khỏe đang xếp Top 1 lĩnh vực bị tấn công và rò rỉ dữ liệu nhiều nhất toàn cầu, chi phí trung bình của một cuộc vi phạm dữ liệu trong lĩnh vực này đã tăng 53,3% vượt hơn 3 triệu USD so với chi phí trung bình chỉ là 7,13 triệu USD trong năm 2020. Tại Hoa kỳ, lĩnh vực này được coi là ngành công nghiệp quan trọng, đặc biệt là hệ thống cơ sở hạ tầng. Kể từ khi đại dịch Covid-19 diễn ra, ngành này đã ghi nhận mức chi phí vi phạm dữ liệu trung bình cao hơn đáng kể.

Tại Việt Nam, từ đầu năm tới nay, hệ thống thông tin của hàng loạt đơn vị tài chính, ngân hàng, hành chính công,... đã bị tấn công, gây gián đoạn hoạt động và thiệt hại về vật chất của các doanh nghiệp. Điều này đã làm ngưng trệ trên toàn bộ hệ thống, không chỉ gây ra mức tổn thất nặng nề về kinh tế mà còn tổn hại khá lớn tới uy tín của doanh nghiệp.

Theo Báo cáo an ninh mạng 2024 của Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết, có tới 70% các tổ chức SME đã và đang gặp phải các cuộc tấn công Ransomware. Điều này cho thấy, không chỉ các tổ chức, doanh nghiệp lớn mới là đích đến của các nhóm hacker, mà các đơn vị, doanh nghiệp nhỏ cũng là "miếng mồi ngon" đối với tin tặc.

Cái giá phải trả cho một "click chuột" là quá đắt!

Chi phí trung bình của các cuộc tấn công ransomware có thể là một thách thức vì không phải tất cả các báo cáo vi phạm dữ liệu đều được đưa ra ánh sáng. Một số công ty và doanh nghiệp nhỏ thích lặng lẽ thực hiện các khoản thanh toán của họ và quét các sự cố ransomware dưới tấm thảm, thay vì thừa nhận những thiếu sót của họ với các nhà quản lý và giải quyết các vấn đề bảo mật dữ liệu của họ. Chi phí trung bình của các cuộc tấn công ransomware dựa trên dữ liệu của chính họ trong báo cáo hàng năm.

Chi phí tài chính của các cuộc tấn công ransomware

Khi có sẵn các bản sao lưu, chi phí trung bình có phần thấp hơn — nhưng những chi phí này vẫn lên tới hàng triệu đô la.

Chi phí phục hồi trung bình từ một cuộc tấn công ransomware (không bao gồm tiền chuộc) là 1.82 triệu USD. Trong khi đó 2.6 triệu USD là chuộc trung bình để khôi phục dữ liệu bị mất, mặc dù điều này có thể giảm xuống còn 1,6 triệu đô la bằng cách sử dụng các bản sao lưu

Chi phí thời gian của các cuộc tấn công ransomware

Thời gian là tiền bạc. Cần có thời gian phục hồi đáng kể để trở lại đúng hướng, đặc biệt là đối với các công ty đã chọn trả phí chuộc. Có tới 45% các tổ chức có bản sao lưu vật lý đã có thể khôi phục trong vòng 1 tuần, nhưng đối với các tổ chức đã trả phí thì con số chỉ là 39%.

Hành động như thế nào khi bị ransomware tấn công?

Chuyên gia an ninh mạng từ VSEC chia sẻ khi hệ thống bị tấn công, các doanh nghiệp cần thực hiện các hành động đơn giản sau để đảm bảo thiệt hại thấp nhất. Doanh nghiệp cần đánh giá trạng thái của sự cố để đưa ra phương án phù hợp có 2 hướng thực hiện đồng thời:

Cô lập, giữ nguyên hiện trạng để điều tra chi tiết nguyên nhân sự cố. Một số hình thức xử lý như có thể tạm thời cô lập các kết nối mạng từ vùng mạng bên ngoài vào hệ thống để ngăn chặn rủi ro lây lan, ảnh hưởng. Chuyển sang sử dụng hệ thống dự phòng (nếu có). Thu thập các nhật ký (logs) của thiết bị phục vụ điều tra về sau.

Tiếp theo, không tự ý khôi phục hệ thống bị ảnh hưởng khi chưa xác định được mức độ an toàn của hệ thống. Điều này vô cùng quan trọng trong việc lưu lại các bằng chứng giúp các chuyên gia điều tra gốc rễ của nguyên nhân.

Trong trường hợp không có chuyên môn, tổ chức doanh nghiệp nên liên hệ các công ty chuyên thực hiện xử lý sự cố tấn công mạng để có được khuyến nghị phù hợp. Việc triển khai dịch vụ ứng cứu sự cố an ninh mạng sẽ mang tới cho các doanh nghiệp những lợi ích cụ thể như: Giúp ngăn chặn/khắc phục một cách nhanh chóng những sự cố về an ninh an toàn thông tin của hệ thống; Hạn chế và giảm thiểu tối đa những thiệt hại về kinh tế cũng như sự gián đoạn trong hoạt động của các tổ chức; Hệ thống thông tin luôn được đảm bảo 24/7

Về VSEC

VSEC là đơn vị đánh giá an toàn hàng đầu tại Việt Nam với 20 năm kinh nghiệm triển khai các hoạt động an toàn thông tin trong nước và quốc tế. Là Nhà cung cấp dịch vụ quản trị An toàn thông tin tiên phong tại Việt Nam đạt chứng nhận quan trọng CREST cho dịch vụ SOC (Trung tâm Giám sát và Vận hành an toàn thông tin) và Penetration Testing (Kiểm thử xâm nhập).