Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

08:45 | 27/11/2019

Khi tổ chức bị tấn công bởi mã độc tống tiền (ransomware), để có thể ngăn chặn thì tổ chức cần phải trả lời được các câu hỏi sau: Mã độc tống tiền là gì? Những thiết bị nào bị lây nhiễm? Nguyên nhân gốc rễ nằm ở đâu? Kế hoạch khôi phục là gì? Làm cách nào để ngăn chặn những sự cố tương tự xảy ra trong tương lai?

Đây là những câu hỏi đã được các chuyên gia an toàn thông tin đặt ra khi mã độc tống tiền WannaCry hoành hành vào tháng 5/2017. Nếu tổ chức có khả năng quản lý điểm cuối tốt, đồng thời vá lỗ hổng và cập nhật các hệ thống thì WannaCry thực sự không đáng ngại. Tuy nhiên, nếu các thiết bị không được cập nhật và vá các lỗ hổng bảo mật, thì những câu hỏi trên sẽ trở thành vô cùng quan trọng khi có một cuộc tấn công xảy ra trên phạm vi toàn cầu và gây thiệt hại lớn cho các tổ chức.

Theo nghiên cứu của hãng bảo mật Trend Micro, trong năm 2017 phạm vi ảnh hưởng của các ứng dụng có gắn mã độc tống tiền tăng cao. Nổi bật nhất năm 2017 là vụ tấn công thông qua mã độc tống tiền WannaCry diễn ra trên quy mô toàn cầu, gây ảnh hưởng lớn các tổ chức, cá nhân và đã được Cục An toàn thông tin cảnh báo và khuyến nghị. Vào cuối tháng 9/2018, xuất hiện mã độc XBash vừa có khả năng tống tiền, đào tiền ảo (coin mining) vừa có thể hoạt động như botnet và sâu (worm) tự lan truyền, nhắm tới các hệ thống Windows và Linux; đặc biệt, nạn nhân sẽ không thể khôi phục dữ liệu kể cả khi đã trả tiền chuộc cho kẻ tấn công. Theo “Báo cáo điều tra vi phạm dữ liệu năm 2018” của công ty viễn thông Verizon (Mỹ), các cuộc tấn công mã độc tống tiền chính là hình thức tấn công mạng phổ biến nhất trong năm 2017. Hãng bảo mật Malwarebytes (Mỹ) theo dõi và chỉ ra, các cuộc tấn công mã độc tống tiền phát hiện được đã tăng 90% với đối tượng doanh nghiệp trong năm 2017. Rõ ràng, đã đến lúc các doanh nghiệp cần nhận thức được nguy cơ sẽ bị mã độc tống tiền tấn công và phải có sự chuẩn bị cho điều này.

Mã độc tống tiền là gì?

Mã độc tống tiền là một loại phần mềm độc hại (malware), không cho phép người dùng truy cập dữ liệu bằng cách mã hóa dữ liệu trên máy tính của người dùng. Người dùng chỉ có quyền truy cập tới các dữ liệu này khi chấp thuận trả “tiền chuộc” cho kẻ tấn công. Phương thức xâm nhập vào hệ thống của loại mã độc này thường qua thư điện tử lừa đảo, website bị nhiễm độc và khai thác lỗ hổng bảo mật hiện có tại điểm cuối. Ví dụ: WannaCry là một dạng mã độc tống tiền theo phương thức mã hóa dữ liệu trên máy tính của người dùng khiến người dùng không thể truy cập các dữ liệu đó được nữa. Nó yêu cầu người dùng phải trả tiền chuộc bằng tiền ảo Bitcoin để có thể truy cập trở lại các dữ liệu đã bị mã hóa. WannaCry có khả năng xâm nhập vào toàn bộ các máy tính trong cùng hệ thống mạng thông qua một lỗ hổng gọi là Eternal Blue, vì thế người dùng không cần nhấp chuột vào đường dẫn hay đính kèm cũng bị nhiễm mã độc.

Mã độc tống tiền thiết lập một vị trí vững chắc trong hệ thống, rồi tiến hành lây lan ra các điểm cuối khác và di chuyển trong mạng nhằm tìm kiếm, thu thập, tổ chức hoạt động và mã hóa dữ liệu mục tiêu. Khi đã gây ra thiệt hại, nó che giấu dấu vết và trích xuất dữ liệu, từ đó sử dụng hoặc bán trên web đen (dark web). Mã độc tống tiền là loại mã độc đặc biệt vì một khi hoạt động trong hệ thống, có rất ít biện pháp để xử lý. Mọi biện pháp đều tốn kém và sự ngưng trệ công việc là điều không thể tránh khỏi.

Phương thức bảo vệ tổ chức khỏi mã độc tống tiền

Rất nhiều lỗ hổng mà mã độc tống tiền khai thác đều là các lỗ hổng đã biết trước, nghĩa là các tổ chức có thể ngăn chặn hầu hết các mã độc tống tiền trước khi có tấn công. Việc chuẩn bị cơ chế phòng vệ để ứng phó nhanh chóng và hiệu quả khi bị mã độc tống tiền tấn công, cũng như khắc phục và khôi phục sau khi bị tấn công đều có ý nghĩa quan trọng. Giải pháp đầu tiên và tiết kiệm chi phí nhất chính là phòng chống.

Trước khi bị tấn công

Phòng chống có hiệu quả hơn nhiều so với xử lý sau khi bị tấn công. Các tổ chức cần xây dựng một kế hoạch ứng phó sự cố và thực hành triển khai. Thay vì đợi tấn công xảy ra, tổ chức nên chủ động hướng dẫn nhân viên nhận thức các mối đe dọa đến từ mã độc tống tiền và các hướng tấn công đa dạng của chúng, bao gồm thư điện tử, macro và website bị xâm phạm.

Từ góc nhìn quản lý, tổ chức phải luôn kiểm soát được những thiết bị có trên mạng và lập một bản kiểm kê cập nhật thường xuyên về chúng. Điều này cho phép tổ chức biết được các lỗ hổng nằm ở đâu và mức độ rủi ro, cũng như giúp cơ cấu hợp lý việc khắc phục sự cố khi biết thiết bị nào cần được xử lý trước.

Để giảm thiểu các hướng tấn công từ những lỗ hổng đã biết, tổ chức có thể thiết lập một chính sách cứng rắn, cập nhật về quản lý bản vá các điểm cuối, hệ điều hành và ứng dụng. Cân nhắc sử dụng công cụ quản lý bản vá tự động để giảm số lần vá từ hàng tuần, hàng ngày xuống vài giờ hoặc vài phút, đồng thời cải thiện năng suất và giải phóng tài nguyên để giải quyết các vấn đề an toàn khác.

Thêm vào đó, tổ chức nên thiết lập, duy trì một tiêu chuẩn an toàn tối thiểu. Cần kết hợp các giải pháp bảo mật tốt nhất trên các điểm cuối và đảm bảo luôn có một bản sao lưu cố định gắn bó với chính sách an toàn của tổ chức. Áp dụng các biện pháp kiểm soát cấu hình và tiêu chuẩn an toàn đối với tất cả các điểm cuối sẽ giúp loại bỏ tình trạng cấu hình sai và không đáp ứng tiêu chuẩn bảo vệ tối thiểu trên các thiết bị.

Tiếp theo, đảm bảo rằng các biện pháp kiểm soát mong muốn luôn ở trạng thái sẵn sàng thực hiện. Sử dụng các chương trình diệt virus, các nền tảng bảo vệ điểm cuối (endpoint protection platform - EPP), công cụ phát hiện và ứng phó điểm cuối (endpoint detection and response - EDR) để tăng cường bảo mật và tự động khởi động lại nếu dịch vụ bị ngắt vì bất kì lý do gì. Hạn chế thực thi các chương trình từ thư mục tạm thời và đảm bảo chỉ những tiến trình được cho quyền mới được thực thi trên thiết bị. Xem xét ngăn chặn những đính kèm có thể thực thi từ thư điện tử để hạn chế các tác nhân tấn công tiềm tàng. Đồng thời, nên triển khai phương thức áp dụng đặc quyền tối thiểu, chỉ cho phép những tài khoản và ứng dụng cần thiết mới được hoạt động đúng với chức năng của chúng. Điều này sẽ giúp giảm thiểu hậu quả mà tấn công mã độc tống tiền có thể gây ra cho những tài khoản và ứng dụng khác.

Cuối cùng, giới hạn các hướng tấn công phổ biến bằng cách vô hiệu hóa Flash và Windows Script Host. Càng chuẩn bị kỹ thì càng có nhiều cơ hội tránh được tấn công mã độc tống tiền.

Trong khi bị tấn công

Trong trường hợp mã độc tống tiền đã xâm nhập được vào hệ thống của tổ chức, việc có kế hoạch ứng phó và các công cụ thích hợp sẵn sàng là tối quan trọng để hạn chế những thiệt hại tiềm tàng. Các tổ chức phải có khả năng xác định phạm vi tấn công, kiểm soát sự việc một cách nhanh chóng, bảo vệ các thiết bị chưa bị lây nhiễm và cách ly các thiết bị đã bị nhiễm, khôi phục dữ liệu đã sao lưu vào nơi thích hợp, cập nhật và vá những thiết bị dễ bị tấn công.

Tổ chức cần bắt đầu bằng việc nhận diện tấn công mã độc tống tiền. Tìm kiếm các thông điệp yêu cầu tiền chuộc. Quan sát xem người dùng đang cố gắng truy cập dữ liệu trong mạng hay tại thiết bị nội bộ và tìm hiểu nó đã bị mã hóa hay chưa. Sau đó, xác định xem có điểm cuối nào đang thiết lập kết nối bất thường hay không.

Nếu tổ chức đang bị tấn công, cần triển khai kế hoạch ứng phó đã đề ra và quyết định có thể khôi phục bằng dữ liệu sao lưu hay nộp tiền chuộc. Tổ chức cần đảm bảo tuân thủ luật pháp, trong đó có việc chú ý những khuyến cáo của FBI về vấn đề nộp tiền chuộc. Dù sao, không có đảm bảo rằng việc trả tiền chuộc sẽ khôi phục được dữ liệu. Có thể chụp thông điệp tống tiền và cung cấp cho cơ quan chức năng.

Tiếp theo, cần nhận diện chủng loại mã độc tống tiền. Đôi khi, có thể biết thông qua thông điệp tống tiền; hoặc nếu không, có thể đưa thông điệp tống tiền và/hoặc dữ liệu bị mã hóa cho chuyên gia về mã độc tống tiền để nhận điện thông qua các cuộc tấn công trước đó và đặc tính, hành vi của nó. Biết được chủng loại mã độc tống tiền sẽ giúp xác định được lựa chọn khôi phục tối ưu nhất.

Để hạn chế thiệt hại, cần tắt tất cả các điểm cuối có khả năng bị lây nhiễm và ngắt kết nối của chúng với mạng. Đồng thời, tắt tất cả các thiết bị khác (kể cả bộ nhớ ngoài) khi bị tấn công, đến khi chắc chắn chúng đã hoàn toàn được quét sạch mã độc. Thêm vào đó, cần làm việc ngoại tuyến trong khi kiểm tra/quét sạch các thiết bị; ngắt kết nối đến mạng nội bộ và các dịch vụ đồng bộ tệp tin để tránh lây nhiễm mã độc tống tiền cho các thiết bị khác.

Nhiều loại mã độc tống tiền mã hóa có quá trình hoạt động là sao chép các tệp tin, mã hóa tệp sao chép và xóa tệp tin gốc. Tổ chức nên thử khôi phục các tệp tin bị mất hoặc làm hư hại bằng các công cụ khôi phục dữ liệu. Nếu không được, có thể tiếp tục kế hoạch khôi phục đã được đề ra trước khi bị tấn công để xem liệu có thể khôi phục từ dữ liệu sao lưu hay không. Trước đó, nên kiểm tra để đảm bảo quá trình sao lưu không dính mã độc tống tiền và dữ liệu sao lưu chưa bị mã hóa.

Tiếp theo, loại bỏ mã độc tống tiền khỏi các thiết bị bị lây nhiễm. Sử dụng chương trình diệt virus, mã độc để quét sạch các thiết bị này, tuy nhiên cần lưu ý rằng chỉ loại bỏ mã độc tống tiền thì chưa giải mã được các tệp tin, thậm chí có thể ảnh hưởng tới khả năng khôi phục tệp tin khi quyết định nộp tiền chuộc. Đồng thời có thể cân nhắc dọn dẹp toàn bộ ổ cứng và cài đặt lại hệ điều hành và các ứng dụng.

Sau khi bị tấn công

Để tránh bị lây nhiễm lại, cần cập nhật ngay các bản vá quan trọng cho hệ điều hành và các ứng dụng. Bắt đầu bằng việc vá lỗ hổng vừa bị khai thác và xác nhận mã độc đã được loại bỏ hoàn toàn.

Cuối cùng, cần biên soạn một bản báo cáo cho cảnh sát. Đây là bước quan trọng, cần thiết khi hoàn thiện yêu cầu bảo hiểm hoặc tiến hành tố tụng liên quan đến vụ tấn công. Điều này cũng giúp cơ quan thực thi pháp luật theo dõi được hành vi, sự phát triển cũng như các xu hướng khác của mã độc tống tiền.

Cách ly mã độc tống tiền khỏi mạng lưới của tổ chức

Các cuộc tấn công mã độc tống tiền thành công nhất thường xâm nhập vào môi trường của tổ chức thông qua một lỗ hổng đã biết trên một điểm cuối bị xâm phạm. Cách phòng tránh tốt nhất chính là áp dụng các biện pháp ngăn chặn mã độc tống tiền tại các điểm cuối. Tại những thiết bị này, cần bảo đảm các bản vá được cập nhật và các ứng dụng đang ở phiên bản an toàn nhất. Cần có tầm nhìn quan sát những gì xảy ra tại các điểm cuối và mạng để xử lý các cuộc tấn công một cách nhanh chóng.

Sử dụng giải pháp quản lý điểm cuối sẽ cung cấp khả năng quan sát theo thời gian thực và kiểm soát khả năng phòng vệ. Giải pháp này cần đáp ứng yêu cầu phát hiện, vá và báo cáo tại tất cả các điểm cuối mà không phụ thuộc vào địa điểm, kết nối hay băng thông. Nền tảng đó cũng cần phải cung cấp danh sách các phần mềm và tài nguyên cho phép xem tất cả các bản vá, phiên bản phần mềm và cấu hình tại các điểm cuối một cách nhanh chóng, không phụ thuộc vào hệ điều hành hay kết nối mạng. Giải pháp quản lý cần được triển khai an toàn, hạn chế thay đổi cấu hình tường lửa và đảm bảo kiến trúc vững chắc.

Tổ chức cũng nên xem xét các biện pháp tích hợp với những ứng dụng an toàn quan trọng khác mà tổ chức sử dụng, như quản lý thông tin và sự kiện an toàn (security information and event management - SIEM), ứng phó sự cố (incident response - IR), EDR, kiểm soát truy cập mạng (network access control - NAC) và các biện pháp quản lý lỗ hổng. Điều này sẽ giúp cải thiện hơn nữa phương pháp đảm bảo an toàn tổng thể, đồng thời tối ưu hóa đầu tư về cả thời gian và tài nguyên. Quan trọng hơn cả, luôn lưu ý rằng cách tốt nhất để chống lại mã độc tống tiền chính là cách ly chúng khỏi mạng lưới.

Khi tổ chức, cá nhân gặp sự cố về an toàn thông tin, cần thực hiện các biện pháp ứng cứu và báo cáo sự cố cho các đơn vị khắc phục, ứng cứu sự cố trong nước như:

- Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ.

- Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Thông tin và Truyền thông.

- Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

- Cục An ninh mạng, Bộ Công an.

- Bộ Tư lệnh Tác chiến không gian mạng, Bộ Quốc phòng.