Không thể ứng phó với mã độc tống tiền chỉ bằng sao lưu dữ liệu

15:52 | 02/03/2020
Công Thành (Theo Ars Technica)

Không phải mọi cuộc tấn công mã độc tống tiền đều là sự cố không thể phòng tránh. Tuy nhiên, ngay cả những tổ chức được chuẩn bị kỹ lưỡng nhất cũng có thể gặp phải những sự cố quy mô nhỏ, trong thời đại nổi lên của mã độc tống tiền có chủ đích.

Vài tháng sau một cuộc diễn tập ứng phó với mã độc tống tiền đối với các tổ chức tín dụng thành viên, Hiệp hội Tín dụng quốc gia Hoa Kỳ (CUNA) đã trải nghiệm điều mà phát ngôn viên của Hiệp hội mô tả là "gián đoạn kinh doanh" vì mã độc tống tiền.

Người phát ngôn của CUNA - Vicky Christner phát biểu rằng, họ không lưu trữ mã số an sinh xã hội hoặc số thẻ tín dụng của các thành viên và không có bằng chứng nào cho thấy rằng bất kỳ dữ liệu nào trong hệ thống của CUNA như tên, địa chỉ doanh nghiệp và địa chỉ email đã bị truy cập.

Sự phục hồi của CUNA chứng minh rằng, tổ chức này đã xem xét các mối đe dọa của mã độc tống tiền một cách nghiêm túc trong nội bộ, cũng như trong cuộc diễn tập với các tổ chức tín dụng thành viên. Điều này cũng cho thấy rằng, ngay cả đối với các tổ chức tin rằng đã có sự chuẩn bị tốt để ứng phó với các cuộc tấn công mã độc tống tiền thì vẫn có thể bị ảnh hưởng đáng kể vì chúng.

Một tìm kiếm nhanh các tệp HTML "readme" trên Internet cho thấy, các nạn nhân của mã độc tống tiền Ryuk trong thời gian gần đây đã có nhiều trải nghiệm khác nhau. Nhà cung cấp hệ thống hồ sơ thuốc cấp cứu T-System có trụ sở tại Dallas, Hoa Kỳ đã bị mã độc tống tiền Ryuk tấn công vào tháng 12/2019. Dịch vụ hệ thống đánh mã tiên tiến của công ty đã ngoại tuyến trong vài ngày, ảnh hưởng đến công việc trong phòng cấp cứu và phòng khám mà công ty phục vụ. Eric Feid, Giám đốc hoạt động bán hàng và tiếp thị của T-System cho biết, do phát hiện sớm sự cố và nhờ kiến ​​trúc hệ thống, nên hãng không gặp phải tác động nào tới thông tin sức khỏe bệnh nhân hoặc thông tin cá nhân khác.

Tuy nhiên, những tổ chức khác không được may mắn như vậy. Nhà thầu quốc phòng Electronic Warfare Associates, Hoa Kỳ đã bị mã độc Ryuk tấn công vào cuối tháng 1/2020. Một số trang web của công ty đã bị gỡ xuống do cuộc tấn công và vẫn đang ngoại tuyến. Phòng giáo dục của hạt Lincoln ở Mississippi do mã độc Ryuk tấn công đã phải chuyển sang chế độ ngoại tuyến vào tháng 11/2019 và vẫn chưa thể đưa các dịch vụ trên Internet của họ hoạt động trở lại hơn ba tháng sau đó. Các bản sao lưu và khả năng phản ứng nhanh chóng với mã độc tống tiền có thể giúp hạn chế thiệt hại của tấn công, nhưng mã độc tống tiền đang bắt đầu thích nghi bằng cách thay đổi cơ bản mô hình tấn công.

CUNA tin rằng, không có thông tin định danh cá nhân nào bị xâm phạm trong vụ tấn công mã độc tống tiền và điều này là phổ biến đối với các nạn nhân. Một phần là vì tin tặc sử dụng mã độc tống tiền trước đây thường tránh thể hiện việc họ giành được quyền truy cập vào dữ liệu của nạn nhân để có "niềm tin" cần thiết để nạn nhân đưa tiền chuộc. Nền kinh tế đã tạo cơ hội cho tin tặc sử dụng mã độc tống tiền để cung cấp "dịch vụ khách hàng" tốt và đảm bảo rằng không có dữ liệu nào được đưa ra ngoài hệ thống mạng của nạn nhân.

Tuy nhiên, mô hình này đang bị phá vỡ bởi loại mã độc tống tiền như Maze và Sodinokibi (REvil), vì chúng sử dụng dữ liệu bị đánh cắp làm công cụ buộc khách hàng phải trả tiền. Ngay cả trong trường hợp nạn nhân có thể phục hồi tương đối nhanh chóng sau cuộc tấn công mã độc tống tiền, thì họ vẫn sẽ phải đối mặt với các yêu cầu tiền chuộc để tránh cho tin tặc công bố hoặc bán thông tin bị đánh cắp.

Trang tin tức Ars Technica đã theo dõi các hoạt động trên cổng thông tin khách hàng của nhóm tin tặc sử dụng mã độc Maze. Nhóm này đăng tải bằng chứng của các vụ rò rỉ dữ liệu và dữ liệu đầy đủ từ các nạn nhân không trả tiền chuộc kịp thời. Vào tháng 1/2020, tin tặc sử dụng mã độc Maze đã giải thoát tạm thời cho thành phố Pensacola, Hoa Kỳ, bằng cách xóa các tệp lấy từ trang web của họ như một "món quà" cho thành phố, nhưng vẫn giữ dữ liệu về rất nhiều nạn nhân khác. Một số nạn nhân, bao gồm một phòng khám X-quang ở California, Hoa Kỳ, đã trả tiền để xóa bỏ dữ liệu của họ. Không rõ rằng các nạn nhân nào trong số này đã có thông báo về việc lộ dữ liệu cho khách hàng hoặc những người có khả năng bị ảnh hưởng hay chưa.

Các tổ chức khác đã không thanh toán trước thời hạn mà Maze đặt ra đã bị đăng tải dữ liệu, trong đó bao gồm chuỗi cửa hàng tạp hóa có trụ sở tại Michigan và công ty luật Baker Wotring tại Houston. Khi được tiếp cận; đại diện của Baker Wotring cho biết, công ty xác nhận vụ rò rỉ dữ liệu và không thể đưa thêm thông tin cho báo chí về vấn đề này. Chuỗi cửa hàng tạp hóa Busch Inc. đã không trả lời điện thoại hoặc email.

Trong khi đó, nhóm tin tặc phát tán mã độc REvil đã đăng tải dữ liệu của các nạn nhân trên các diễn đàn tin tặc của Nga. Mặc dù loại hành vi này đi ngược lại với đạo đức "dịch vụ khách hàng" lâu đời của mã độc tống tiền, nhưng nó cho thấy rằng việc sao lưu tốt không còn đủ để ngăn chặn thiệt hại thực sự từ mã độc tống tiền.