Chiều 5/4, tại cuộc Tọa đàm chủ đề “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng Quốc gia phối hợp với CLB ICT Việt Nam tổ chức, ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia - đã mô tả các bước cụ thể của một cuộc tấn công mã hóa dữ liệu tống tiền, gồm 8 bước sau:
- Dò tìm: tin tặc cố gắng tìm ra lỗ hổng trên hệ thống mục tiêu. Ví dụ như quét lỗ hổng website, máy chủ mail server (ở Việt Nam, máy chủ Microsoft Exchange là mục tiêu ưa thích của các hacker), các lỗ hổng phần mềm trên hệ thống, thường là các lỗ hổng zero day mà người sử dụng và nhà sản xuất chưa biết. Nếu thông qua lỗ hổng zero day, cuộc tấn công gần như không thể ngăn chặn. Việc hacker dò tìm lỗ hổng này thường mất vài tháng chứ không phải ngày một ngày hai. Vì thế, trong thời gian dò tìm, nếu chúng ta giám sát tốt, biết đối tượng đang dò tìm thì có thể ngăn chặn từ sớm, tránh được nguy cơ bị tấn công mã hóa dữ liệu.
- Xâm nhập: Chiếm quyền điều khiển máy chủ hoặc máy quản trị, máy người dùng. Giai đoạn này thường xảy ra rất nhanh, trong vài phút, nhất là qua các lỗ hổng zero day. Giai đoạn này thường rất khó để ngăn chặn.
- Nằm vùng: Đây là bước rất quan trọng với hacker cũng như với cả đội ngũ quản trị hệ thống. Bước này thường kéo dài từ 3-6 tháng. Nếu có khả năng giám sát, phát hiện ra trong giai đoạn này thì cũng có thể ngăn chặn được. Việc nằm vùng giúp hacker thu thập thông tin, xác định mục tiêu quan trọng. Có 3 mục tiêu hacker nhắm tới, đó là dữ liệu quan trọng nằm ở đâu, hệ thống quản trị người dùng như thế nào (chiếm được hệ thống quản trị người dùng có nghĩa là toàn quyền kiểm soát hệ thống này), nhiệm vụ của các hệ thống CNTT trong tổ chức, doanh nghiệp đó như nào? Ví dụ ngân hàng chuyển tiền ra sao? Kết nối với ngân hàng thế giới như thế nào? Với các tổ chức chứng khoán thì giao dịch của khách hàng ra sao? Hacker cần thời gian để tìm hiểu việc này. Đôi khi họ trở thành các chuyên gia, về ngân hàng, tài chính, hiểu hệ thống của ngân hàng còn hơn cả những người đang vận hành.
- Mã hoá: Đó là thứ chúng ta nhìn thấy. Các hacker sẽ chạy các công cụ mã hoá. Chúng ta hay quen khái niệm mã độc mã hoá dữ liệu. Tuy nhiên, chúng ta phải hình dung việc mã hoá là công cụ chứ không phải mã độc. Người dùng mã hóa dữ liệu như thế nào thì hacker cũng dùng công cụ như thế để mã hóa. Đây có thể là công cụ công khai hoặc đã tuỳ biến để mã hoá nhanh hơn. Trước đây, ví dụ như WannaCry, đây là con mã độc mã hoá dữ liệu điển hình, có thể lây nhiệm vào máy tính và sau đó thực hiện mã hoá dữ liệu. Tuy nhiên, công cụ mà hacker sử dụng trong các cuộc tấn công vừa rồi không phải là một mã độc điển hình, chỉ là công cụ mã hoá dữ liệu thôi. Đầu vào là dữ liệu và khoá, đầu ra là dữ liệu mã hoá. Các giải pháp an ninh rất khó phát hiện ra nếu đây là công cụ chạy bình thường, không khác gì việc ông quản trị hệ thống vào mã hoá dữ liệu để đảm bảo an toàn.
- Dọn dẹp: Trước khi chúng ta tìm ra hacker, họ đã kịp xoá toàn bộ các dữ liệu truy cập. Việc này rất quan trọng với hacker bởi các hệ thống thường lưu trữ log truy cập, các hacker có thể tìm xem hệ thống lưu trữ log ở đâu, dọn dẹp log truy cập để xoá dấu vết. Sau khi dọn dẹp xong mới bắt đầu đòi tiền.
- Đòi tiền: Yêu cầu trả tiền để có chìa khóa mở khóa dữ liệu. Thông thường hacker để luôn khoá trên hệ thống của nạn nhân, rồi mã hóa luôn cái khoá đó. Thường thì khi vào hệ thống của nạn nhân, nó sẽ sinh ra khoá giải mã và mã luôn khoá giải mã đó, để mỗi nạn nhân là một khoá khác nhau, tránh trường hợp một nạn nhân bỏ tiền mua khoá rồi share cho ông khác, và cũng để đỡ bị lẫn lộn. Hacker sẽ đóng gói khoá vào một cái hộp. Khi trả tiền hacker sẽ đưa mật mã mở hộp đó ra để lấy khoá.
- Rửa tiền: Hacker sẽ chọn hình thức thanh toán bằng tiền số để che giấu hành vi phạm tội. Bitcoin đang phục vụ đắc lực cho hoạt động rửa tiền.
- Lặp lại: Hacker có thể lặp lại việc tấn công với các nạn nhân khác hoặc với chính nạn nhân đó. Một lần hacker lấy được tiền tức là nạn nhân có tiền. Hacker có thể quay lại với danh nghĩa nhóm này hay nhóm khác. Đây là hình thức tấn công mang tính triệt hạ, chúng ta vừa mất tiền mà lại trở thành mục tiêu của các đối tượng xấu.
Khi bị mã hoá dữ liệu cần phải làm gì?
Ông Vũ Ngọc Sơn cũng chia sẻ về các bước phản ứng cần thiết khi bị tấn công mã hóa dữ liệu.
Đầu tiên khi có một sự cố xảy ra cần phải cấp cứu, cách ly hệ thống bị tấn công. Nhiều người nói về biện pháp rút điện, rút phích cắm, nghe thì thô sơ nhưng lại rất hợp lý. Điều này không những để hacker không tấn công tiếp mà còn để cơ quan điều tra có chứng cứ. Nếu chúng ta làm gì đó quá sớm, sẽ ảnh hưởng đến các dấu vết để lại trên hệ thống. Nếu chúng ta vẫn để máy chạy, hacker có thể vào xoá dấu vết. Cách tốt nhất là chúng ta rút điện ra. Nghe thì có vẻ thủ công nhưng lại hiệu quả. Tuy nhiên lưu ý, chúng ta chỉ rút điện ngắt kết nối mạng, chứ không rút điện hệ thống máy chủ.
Tiếp theo, cần liên hệ với đơn vị phụ trách. Trung tâm an ninh mạng quốc gia là nơi điều phối các hoạt động ứng cứu và điều tra sự cố
Đánh giá nhanh dữ liệu có khả năng khôi phục không? (trong 1 - 2 phút), đánh giá dữ liệu bị mã hoá có khôi phục được từ dữ liệu sao lưu không? Đây là bước rất quan trọng. Nếu đánh giá tốt sẽ có bước ứng xử phù hợp để nhanh chóng khôi phục lại hệ thống.
Chúng ta cũng phải thông báo với các bên liên quan, không thể giấu được.
Cuối cùng, chúng ta phải có kế hoạch xử lý, để báo cáo cho các bên liên quan và có lộ trình xử lý sự cố. Nhiều người sốt ruột khi một sự cố xảy ra. Tuy nhiên cần có quy trình chứ không thể cứ cố gắng xử lý càng nhanh càng tốt. Điều đó chưa chắc đã tốt cho doanh nghiệp.
Sau khi cấp cứu, khi tĩnh tâm hơn, chúng ta sẽ chuyển sang rà soát, tìm ra lỗ hổng hacker khai thác để thâm nhập. Chúng ta có thể dựng một phân vùng sạch lên (vừa rồi VNDirect đã dựng lên một phần vùng sạch) một vùng an toàn, để từ đó, khi rà soát xong máy chủ nào thì đưa vào phân vùng đó.
Chúng ta thực hiện giám sát ngay, điều này rất quan trọng. Vì không có giám sát nên chúng ta mới bị tấn công, chúng ta phải khắc phục ngay, khi sạch máy chủ nào chúng ta phải giám sát ngay máy chủ đó, bổ sung các giải pháp phòng thủ nếu có điều kiện.
Có doanh nghiệp đã kiệt quệ rồi nên không có tiền ngay để đầu tư giải pháp. Chúng ta cần liệt kê các giải pháp cần đầu tư, khi có kinh tế chúng ta sẽ đầu tư lại. Đặc biệt, cần có nguy quy chế khẩn cấp để ứng phó với các sự cố. Quy chế này cần ban hành ngay để toàn bộ nhân viên, người tham gia hệ thống cần biết được tiếp theo nên làm gì, đảm bảo an ninh như thế nào.
Giai đoạn phục hồi: Đưa từng phần của hệ thống vào hoạt động. Đó là lý do, với VNDirect mọi người hay nói sao lâu thế, tôi có trả lời rằng việc VNDirect đưa vào hoạt động tính theo ngày còn nhanh, thậm chí còn phải tính theo tháng. Bởi vì một hệ thống rất lớn bị tấn công, chúng ta không biết bắt đầu từ đâu, phải làm sạch từng máy chủ, ban hành quy trình, đưa vào giám sát cần rất nhiều thời gian, không thể tính bằng ngày được.
VNDirect đã rất nhanh chóng đưa một số dịch vụ cơ bản vào hoạt động, tất nhiên còn nhiều dịch vụ chưa lên, nhưng chúng ta cũng cần phải ghi nhận sự cố gắng rất lớn từ phía doanh nghiệp, PVOil cũng vậy, trở lại rất nhanh. Chúng ta phải biết rằng các dịch vụ đó khi trở lại chỉ là dịch vụ cơ bản chứ không phải toàn bộ.
Đội vận hành phải tuân thủ nghiêm ngặt quy trình an ninh mạng đã đặt ra, đồng thời phải tăng cường giám sát 24/7. Đã bị tấn công rồi thì chúng ta cần phải chú ý hơn, chứ không phải lại quay về thói quen như cũ.
Giai đoạn rút kinh nghiệm: Điều này rất quan trọng. Sau khi đã ổn định rồi, cần phải rút kinh nghiệm cho bản thân, có sự đầu tư nâng cấp hệ thống, đào tạo phổ biến kiến thức cho cán bộ nhân viên để vận hành an toàn hơn, khi có thời gian rồi, chúng ta cũng phải rà soát xây dựng lại toàn bộ hệ thống quy trình.
Đó là cách phản ứng lại một cuộc tấn công mã hoá dữ liệu.
- Dò tìm: tin tặc cố gắng tìm ra lỗ hổng trên hệ thống mục tiêu. Ví dụ như quét lỗ hổng website, máy chủ mail server (ở Việt Nam, máy chủ Microsoft Exchange là mục tiêu ưa thích của các hacker), các lỗ hổng phần mềm trên hệ thống, thường là các lỗ hổng zero day mà người sử dụng và nhà sản xuất chưa biết. Nếu thông qua lỗ hổng zero day, cuộc tấn công gần như không thể ngăn chặn. Việc hacker dò tìm lỗ hổng này thường mất vài tháng chứ không phải ngày một ngày hai. Vì thế, trong thời gian dò tìm, nếu chúng ta giám sát tốt, biết đối tượng đang dò tìm thì có thể ngăn chặn từ sớm, tránh được nguy cơ bị tấn công mã hóa dữ liệu.
- Nằm vùng: Đây là bước rất quan trọng với hacker cũng như với cả đội ngũ quản trị hệ thống. Bước này thường kéo dài từ 3-6 tháng. Nếu có khả năng giám sát, phát hiện ra trong giai đoạn này thì cũng có thể ngăn chặn được. Việc nằm vùng giúp hacker thu thập thông tin, xác định mục tiêu quan trọng. Có 3 mục tiêu hacker nhắm tới, đó là dữ liệu quan trọng nằm ở đâu, hệ thống quản trị người dùng như thế nào (chiếm được hệ thống quản trị người dùng có nghĩa là toàn quyền kiểm soát hệ thống này), nhiệm vụ của các hệ thống CNTT trong tổ chức, doanh nghiệp đó như nào? Ví dụ ngân hàng chuyển tiền ra sao? Kết nối với ngân hàng thế giới như thế nào? Với các tổ chức chứng khoán thì giao dịch của khách hàng ra sao? Hacker cần thời gian để tìm hiểu việc này. Đôi khi họ trở thành các chuyên gia, về ngân hàng, tài chính, hiểu hệ thống của ngân hàng còn hơn cả những người đang vận hành.
- Dọn dẹp: Trước khi chúng ta tìm ra hacker, họ đã kịp xoá toàn bộ các dữ liệu truy cập. Việc này rất quan trọng với hacker bởi các hệ thống thường lưu trữ log truy cập, các hacker có thể tìm xem hệ thống lưu trữ log ở đâu, dọn dẹp log truy cập để xoá dấu vết. Sau khi dọn dẹp xong mới bắt đầu đòi tiền.
- Đòi tiền: Yêu cầu trả tiền để có chìa khóa mở khóa dữ liệu. Thông thường hacker để luôn khoá trên hệ thống của nạn nhân, rồi mã hóa luôn cái khoá đó. Thường thì khi vào hệ thống của nạn nhân, nó sẽ sinh ra khoá giải mã và mã luôn khoá giải mã đó, để mỗi nạn nhân là một khoá khác nhau, tránh trường hợp một nạn nhân bỏ tiền mua khoá rồi share cho ông khác, và cũng để đỡ bị lẫn lộn. Hacker sẽ đóng gói khoá vào một cái hộp. Khi trả tiền hacker sẽ đưa mật mã mở hộp đó ra để lấy khoá.
- Rửa tiền: Hacker sẽ chọn hình thức thanh toán bằng tiền số để che giấu hành vi phạm tội. Bitcoin đang phục vụ đắc lực cho hoạt động rửa tiền.
- Lặp lại: Hacker có thể lặp lại việc tấn công với các nạn nhân khác hoặc với chính nạn nhân đó. Một lần hacker lấy được tiền tức là nạn nhân có tiền. Hacker có thể quay lại với danh nghĩa nhóm này hay nhóm khác. Đây là hình thức tấn công mang tính triệt hạ, chúng ta vừa mất tiền mà lại trở thành mục tiêu của các đối tượng xấu.
Khi bị mã hoá dữ liệu cần phải làm gì?
Ông Vũ Ngọc Sơn cũng chia sẻ về các bước phản ứng cần thiết khi bị tấn công mã hóa dữ liệu.
Đầu tiên khi có một sự cố xảy ra cần phải cấp cứu, cách ly hệ thống bị tấn công. Nhiều người nói về biện pháp rút điện, rút phích cắm, nghe thì thô sơ nhưng lại rất hợp lý. Điều này không những để hacker không tấn công tiếp mà còn để cơ quan điều tra có chứng cứ. Nếu chúng ta làm gì đó quá sớm, sẽ ảnh hưởng đến các dấu vết để lại trên hệ thống. Nếu chúng ta vẫn để máy chạy, hacker có thể vào xoá dấu vết. Cách tốt nhất là chúng ta rút điện ra. Nghe thì có vẻ thủ công nhưng lại hiệu quả. Tuy nhiên lưu ý, chúng ta chỉ rút điện ngắt kết nối mạng, chứ không rút điện hệ thống máy chủ.
Tiếp theo, cần liên hệ với đơn vị phụ trách. Trung tâm an ninh mạng quốc gia là nơi điều phối các hoạt động ứng cứu và điều tra sự cố
Đánh giá nhanh dữ liệu có khả năng khôi phục không? (trong 1 - 2 phút), đánh giá dữ liệu bị mã hoá có khôi phục được từ dữ liệu sao lưu không? Đây là bước rất quan trọng. Nếu đánh giá tốt sẽ có bước ứng xử phù hợp để nhanh chóng khôi phục lại hệ thống.
Chúng ta cũng phải thông báo với các bên liên quan, không thể giấu được.
Sau khi cấp cứu, khi tĩnh tâm hơn, chúng ta sẽ chuyển sang rà soát, tìm ra lỗ hổng hacker khai thác để thâm nhập. Chúng ta có thể dựng một phân vùng sạch lên (vừa rồi VNDirect đã dựng lên một phần vùng sạch) một vùng an toàn, để từ đó, khi rà soát xong máy chủ nào thì đưa vào phân vùng đó.
Chúng ta thực hiện giám sát ngay, điều này rất quan trọng. Vì không có giám sát nên chúng ta mới bị tấn công, chúng ta phải khắc phục ngay, khi sạch máy chủ nào chúng ta phải giám sát ngay máy chủ đó, bổ sung các giải pháp phòng thủ nếu có điều kiện.
Có doanh nghiệp đã kiệt quệ rồi nên không có tiền ngay để đầu tư giải pháp. Chúng ta cần liệt kê các giải pháp cần đầu tư, khi có kinh tế chúng ta sẽ đầu tư lại. Đặc biệt, cần có nguy quy chế khẩn cấp để ứng phó với các sự cố. Quy chế này cần ban hành ngay để toàn bộ nhân viên, người tham gia hệ thống cần biết được tiếp theo nên làm gì, đảm bảo an ninh như thế nào.
Giai đoạn phục hồi: Đưa từng phần của hệ thống vào hoạt động. Đó là lý do, với VNDirect mọi người hay nói sao lâu thế, tôi có trả lời rằng việc VNDirect đưa vào hoạt động tính theo ngày còn nhanh, thậm chí còn phải tính theo tháng. Bởi vì một hệ thống rất lớn bị tấn công, chúng ta không biết bắt đầu từ đâu, phải làm sạch từng máy chủ, ban hành quy trình, đưa vào giám sát cần rất nhiều thời gian, không thể tính bằng ngày được.
VNDirect đã rất nhanh chóng đưa một số dịch vụ cơ bản vào hoạt động, tất nhiên còn nhiều dịch vụ chưa lên, nhưng chúng ta cũng cần phải ghi nhận sự cố gắng rất lớn từ phía doanh nghiệp, PVOil cũng vậy, trở lại rất nhanh. Chúng ta phải biết rằng các dịch vụ đó khi trở lại chỉ là dịch vụ cơ bản chứ không phải toàn bộ.
Đội vận hành phải tuân thủ nghiêm ngặt quy trình an ninh mạng đã đặt ra, đồng thời phải tăng cường giám sát 24/7. Đã bị tấn công rồi thì chúng ta cần phải chú ý hơn, chứ không phải lại quay về thói quen như cũ.
Giai đoạn rút kinh nghiệm: Điều này rất quan trọng. Sau khi đã ổn định rồi, cần phải rút kinh nghiệm cho bản thân, có sự đầu tư nâng cấp hệ thống, đào tạo phổ biến kiến thức cho cán bộ nhân viên để vận hành an toàn hơn, khi có thời gian rồi, chúng ta cũng phải rà soát xây dựng lại toàn bộ hệ thống quy trình.
Đó là cách phản ứng lại một cuộc tấn công mã hoá dữ liệu.
