Mã độc Ransomware là một vấn đề gây ảnh hưởng đến hàng nghìn công ty và cá nhân mỗi năm trên toàn cầu. Hội nghị thượng đỉnh CRI là nền tảng trong nỗ lực nhằm ngăn chặn các cuộc tấn công bằng mã độc tống tiền và là một phần cốt lõi trong chương trình nghị sự quốc tế về an ninh mạng của Mỹ. Các thành viên của CRI đang hợp tác với các cơ quan bảo hiểm để xây dựng hướng dẫn cho các tổ chức gặp phải những cuộc tấn công ransomware nhằm hỗ trợ các tổ chức và đối tác trong việc đối phó với những thách thức do mã độc tống tiền gây ra.
Ransomware là một vấn đề phức tạp và mang tính xuyên quốc gia, đòi hỏi sự hợp tác quốc tế mạnh mẽ để giải quyết. Tại Hội nghị thượng đỉnh CRI lần thứ 3 vào năm 2023, CRI đã ban hành một tuyên bố khuyến cáo mạnh mẽ kêu gọi các nạn nhân không trả tiền chuộc cho tin tặc, nếu không sẽ tạo ra một tiền lệ xấu, đặc biệt nguy hiểm. Tuyên bố này nhấn mạnh rằng việc trả tiền chuộc không đảm bảo giải quyết sự cố hoặc xóa phần mềm độc hại khỏi hệ thống, đồng thời tạo ra một tiền lệ xấu, đặc biệt nguy hiểm.
Khi các tổ chức bị tấn công bởi ransomware, việc quyết định có nên trả tiền chuộc hay không thường trở thành một thách thức lớn. Để hỗ trợ các tổ chức đối phó với tình huống này, CRI đã phát triển hướng dẫn nhằm giảm thiểu tác động tổng thể của Ransomware, tập trung vào việc giảm sự gián đoạn và chi phí phát sinh cho doanh nghiệp, số tiền chuộc mà nạn nhân phải chi trả, cũng như quy mô khoản tiền chuộc mà nạn nhân quyết định thanh toán.
Hướng dẫn cho các tổ chức trong trường hợp xảy ra tấn công mã độc Ransomware
Trong thời đại công nghệ số, các mối đe dọa an ninh mạng ngày càng gia tăng và phức tạp, liên tiếp các cuộc tấn công mạng xảy ra nhưng việc xử lý chưa triệt để như mong muốn, thậm chí còn mang lại những kết quả không tốt trong quá trình xử lý. Để có thể ứng phó hiệu quả khi tấn công mã độc ransomware xảy ra, đầu tiên doanh nghiệp cần hiểu đủ và đúng về ransomware và những kỹ năng điều tra, xử lý sự cố An toàn thông tin nhanh chóng và hiệu quả.
Đây là tiền đề vững chắc giúp doanh nghiệp tối ưu cách ngăn chặn các cuộc tấn công này. Sau đây sẽ là nội dung hướng dẫn khắc phục sự cố mã độc ransomware, giúp doanh nghiệp giảm thiểu các tác động tiêu cực từ tấn công mã độc ransomware.
1. Xem xét các tác động pháp lý
Đối với tội phạm mạng, ransomware là một mô hình kinh doanh bền vững và sinh lợi – và nó khiến mọi tổ chức sử dụng công nghệ gặp rủi ro. Thay vì khôi phục từ các bản sao lưu, trong hầu hết các trường hợp, việc chỉ cần trả tiền chuộc sẽ là cách giải quyết dễ dàng hơn và rẻ hơn. Trước khi tương tác hoặc đàm phán với những kẻ tấn công, cách tiếp cận tốt nhất là tham khảo ý kiến của cơ quan thực thi pháp luật, nhóm ứng phó sự cố chuyên nghiệp và các cơ quan quản lý.
Tuy nhiên, các cơ quan thực thi pháp luật khuyên các công ty không nên trả tiền nhằm ngăn cản loại hình hoạt động tội phạm này. Việc trả tiền chuộc có thể là bất hợp pháp trong một số trường hợp nhất định, ví dụ, trong nhiều trường hợp, trả tiền chuộc cho tội phạm mạng càng tài trợ cho các hoạt động tội phạm.
2. Báo cáo sự việc cho cơ quan chức năng có thẩm quyền
Báo cáo các sự cố cho cơ quan chức năng có thẩm quyền và các đơn vị giám sát, ứng cứu an ninh mạng sớm nhất có thể hỗ trợ nạn nhân xử lý các vấn đề liên quan. Việc báo cáo như vậy sẽ cho phép chính cơ quan chức năng cung cấp lời khuyên và hỗ trợ cần thiết cho nạn nhân, từ đó đẩy nhanh tốc độ xử lý vấn đề của họ và ngăn ngừa các sự cố mã độc ransomware trong tương lai.
Việc báo cáo các cuộc tấn công hay bất kỳ yêu cầu hoặc khoản thanh toán tiền chuộc nào cho các cơ quan chức năng liên quan để xử lý cũng cần thiết để các cơ quan chức năng như cơ quan thực thi pháp luật tiến hành các cuộc điều tra, bảo vệ chứng cứ, xác minh điều tra yếu tố bên trong và bên ngoài của các cuộc tấn công mã độc ransomware. Từ đó làm rõ trách nhiệm và có biện pháp răn đe để tránh xảy ra chuyện tương tự với các tổ chức khác.
3. Đưa ra và đánh giá các quyết định lựa chọn
Ngay sau khi một cuộc tấn công mã độc ransomware xảy ra, các tổ chức thường cảm thấy áp lực trước sự đe dọa do kẻ tấn công gây ra. Những kẻ tấn công có kinh nghiệm thường sử dụng các chiến thuật tinh vi để buộc các tổ chức phải đưa ra quyết định nhanh chóng, nhằm tối ưu hóa lợi ích cho chính họ.
Không có cách nào ngăn chặn các cuộc tấn công mã độc ransomware xảy ra. Do đó, thay vì phản ứng vội vàng, tổ chức nên tận dụng thời gian để đánh giá tình hình một cách hợp lý. Thu thập thông tin đầy đủ và phân tích các hậu quả cần phải trở thành một phần thiết yếu trong kế hoạch ứng phó và xử lý sự cố của mọi tổ chức. Điều này cũng cung cấp cơ sở rõ ràng và dữ liệu hỗ trợ cho các quyết định được đưa ra.
4. Tham khảo ý kiến chuyên gia
Bên cạnh nỗ lực nội bộ, tổ chức cũng nên chủ động tìm kiếm sự hỗ trợ từ các chuyên gia bên ngoài, bao gồm các cơ quan chức năng có thẩm quyền (Trung tâm an ninh mạng Quốc gia) và các đơn vị giám sát, ứng cứu an ninh mạng. Việc liên hệ và hợp tác với các chuyên gia bên ngoài để đảm bảo phản ứng nhanh chóng và hiệu quả trong trường hợp xảy ra tấn công.
5. Xem xét các giải pháp thay thế
Theo tuyên bố chung được đưa ra tại Hội nghị thượng đỉnh CRI lần thứ 3 năm 2023, các nạn nhân không trả tiền chuộc cho tin tặc, nếu không sẽ tạo ra một tiền lệ xấu, đặc biệt nguy hiểm.
Mặc dù tuyên bố của CRI khuyến cáo các tổ chức không nên trả tiền chuộc theo luật pháp và quy định của các nước, nhưng đôi khi nạn nhân có thể cân nhắc đến việc trả tiền chuộc.
Quyết định trả tiền chuộc chỉ được đưa ra khi nạn nhân đảm bảo rằng việc này có thể khôi phục dữ liệu hoặc hệ thống, đặc biệt khi thiệt hại lớn hơn số tiền chuộc và sau khi đã tham khảo ý kiến từ các chuyên gia.
6. Đánh giá các giải pháp thay thế
Các tổ chức cần xem xét, củng cố tính khả dụng của các bản sao lưu, các công cụ thay thế công cụ giải mã độc và kiểm tra, ước tính thời gian khôi phục hệ thống sau khi có được công cụ giải mã độc.
Ngoài ra, các tổ chức cần đưa ra các giải pháp thay thế và xác định thời gian có thể duy trì các giải pháp thay thế này. Khi xem xét tác động của cuộc tấn công, các tổ chức cần đánh giá những ảnh hưởng đến hệ thống và các bên liên quan và đánh giá khả năng bị rò rỉ dữ liệu.
7. Đánh giá tác động của sự cố
Đánh giá tác động của sự cố giúp các tổ chức hiểu rõ và nhận thức được rủi ro. Một điểm quan trọng cần lưu ý là một số chi phí, như bảo vệ dữ liệu và các chi phí khác có thể phát sinh từ rò rỉ dữ liệu trong sự cố mã độc ransomware hay không. Vì vậy, các chi phí này nên được xem xét riêng biệt khi quyết định có nên trả tiền chuộc hay không.
Các yếu tố cần cân nhắc bao gồm việc kiểm tra phạm vi bảo hiểm mà tổ chức có, ước tính tổn thất doanh thu, chi phí pháp lý theo quy định. Ngoài ra, cần xác định bất kỳ dữ liệu nào có khả năng bị rò rỉ và ước tính thiệt hại mà tổ chức, khách hàng và các bên liên quan có thể phải chịu nếu dữ liệu bị đánh cắp được công bố.
Trong nhiều vụ tấn công mã độc ransomware, tội phạm mạng hiện cũng đánh cắp dữ liệu. Do đó, nạn nhân không nên tin vào lời hứa xóa dữ liệu bị đánh cắp sau khi đã trả tiền chuộc. Các tổ chức nên thực hiện đánh giá để xác định dữ liệu nào đã bị xâm phạm và mức độ nhạy cảm của dữ liệu đó.
8. Lưu trữ hồ sơ sự cố
Việc lưu trữ hồ sơ về xử lý sự cố, các quyết định đã đưa ra, hành động đã thực hiện và dữ liệu đã bị xâm nhập (hoặc bị mất) rất quan trọng để đánh giá sau sự cố, rút ra bài học kinh nghiệm.
Mục tiêu của quy trình này nhằm đưa ra các đánh giá cho các quyết định; đưa ra lời giải thích ngắn gọn cho các quyết định; và giảm khả năng xảy ra một cuộc tấn công khác.
9. Cân nhắc trước các quyết định
Ít có kịch bản nào khiến các chủ doanh nghiệp và những người ra quyết định phải cân nhắc nhanh như việc quyết định có nên trả tiền chuộc hay không. Tuy nhiên, các tổ chức nên đảm bảo các quyết định không được đưa ra trước thời hạn mà bên tội phạm mạng đe dọa.
10. Trả tiền chuộc không đảm bảo quyền truy cập vào hệ thống hay dữ liệu
Nếu một công ty đáp ứng khoản tiền chuộc và trả tiền, những kẻ tấn công sẽ cung cấp một công cụ giải mã. Tuy nhiên, ngay cả khi có được khóa giải mã, tất cả dữ liệu của bạn không đảm bảo được sẽ được khôi phục.
Các tệp được mã hóa thường không thể khôi phục được. Các công cụ giải mã do kẻ tấn công cung cấp có thể bị lỗi hoặc không thành công, khiến các tệp bị mất vĩnh viễn. Trong trường hợp đó, nhóm ứng cứu sự cố của tổ chức cần xây dựng một công cụ giải mã độc mới bằng cách trích xuất chìa khóa (key) từ công cụ mà kẻ tấn công cung cấp.
Việc khôi phục dữ liệu có thể mất nhiều tuần hoặc nhiều tháng, đặc biệt nếu một lượng lớn dữ liệu đã được mã hóa. Không có gì đảm bảo rằng tin tặc sẽ xóa dữ liệu mà chúng đã đánh cắp. Thay vào đó, chúng có thể bán hoặc thậm chí tiết lộ thông tin nếu nó có giá trị.
11. Đánh giá sau sự cố
Việc trả tiền chuộc cũng không đảm bảo quyền truy cập vào các hệ thống bị khóa hoặc đảm bảo an toàn cho dữ liệu nhạy cảm và có thể khiến nạn nhân tiếp tục lặp lại các cuộc tấn công.
Các tổ chức cũng nên đánh giá các nguyên nhân ban đầu và xác định các lỗ hổng liên quan đã được khắc phục hay chưa. Đánh giá cách thức tấn công xảy ra sẽ giúp các tổ chức tăng cường khả năng phòng thủ trước các cuộc tấn công mã độc ransomware trong tương lai. Điều này bao gồm việc triển khai các biện pháp phòng ngừa và giảm thiểu rủi ro.
Nguồn tham khảo: bankinforsecurity,