Doanh nghiệp bị tấn công bằng ransomware: Phải làm gì khi cơn ác mộng trở thành sự thật?

[Christine May]

Khi bị ransomware tấn công, doanh nghiệp cần làm gì? Hướng dẫn chi tiết cách xử lý khủng hoảng, phục hồi dữ liệu và đàm phán với hacker để giảm thiểu thiệt hại.

Khi hệ thống máy tính trong doanh nghiệp bất ngờ hiện thông báo mã hóa dữ liệu và yêu cầu chuộc tiền, điều đó đồng nghĩa bạn vừa trở thành nạn nhân của một cuộc tấn công ransomware. Đây là tình huống tồi tệ không ai mong muốn, nhưng vẫn ngày càng xảy ra phổ biến. Vì thế, hiểu rõ cách ứng phó và phục hồi là điều sống còn đối với bất kỳ tổ chức nào.

Đánh giá tình hình và xử lý ban đầu​

Ngay khi phát hiện bị mã hóa dữ liệu, điều đầu tiên cần làm là xác định mức độ ảnh hưởng và nguyên nhân lây nhiễm. Việc này giúp bịt các lỗ hổng bảo mật, ngăn chặn lây lan thêm. Với các doanh nghiệp đã mua bảo hiểm an ninh mạng, công ty bảo hiểm thường cử chuyên gia hỗ trợ điều tra và xử lý. Trong bối cảnh ransomware ngày càng tinh vi, các hãng bảo hiểm đang đầu tư mạnh để không phải liên tục chi trả khoản tiền chuộc ngày càng lớn.

Xóa sạch hệ thống và khôi phục từ bản sao lưu​

Hầu hết các công ty sẽ chọn cách làm sạch hệ thống, tức xóa toàn bộ dữ liệu và khôi phục lại từ các bản sao lưu an toàn. Ngay cả khi bạn quyết định trả tiền để nhận mã giải mã, hệ thống vẫn cần được rà soát kỹ lưỡng vì hacker có thể cài cắm mã độc khác chờ dịp quay lại. Khôi phục xong mà không kiểm tra toàn diện sẽ rất rủi ro.

Khi bắt buộc phải trả tiền chuộc​

Dù nhiều tổ chức kiên quyết không nhượng bộ, một số trường hợp buộc phải cân nhắc chi trả, nhất là khi dữ liệu quan trọng không thể phục hồi hoặc thời gian khôi phục gây gián đoạn nghiêm trọng. Ví dụ, vụ tấn công đường ống Colonial Pipeline ở Mỹ đã khiến chính quyền phải trả tiền vì ảnh hưởng đến nguồn cung nhiên liệu, gây ra hỗn loạn tại các trạm xăng.

Trong các cuộc tấn công lớn như với UnitedHealth (vụ Change Healthcare), công ty mẹ đã phải chi tới 22 triệu USD bằng bitcoin để khôi phục hệ thống vì hàng nghìn hiệu thuốc bị gián đoạn hoạt động.

Nghệ thuật đàm phán: hiểu rõ đối thủ và giữ bình tĩnh​

Nếu phải đàm phán, điều quan trọng là xác định nhóm tấn công thuộc dạng chuyên nghiệp hay nghiệp dư. Các tổ chức tội phạm lớn hoạt động như công ty: có đội ngũ đàm phán, phát triển mã độc, kỹ thuật viên hỗ trợ kỹ thuật. Họ thường yêu cầu khoản tiền chuộc dựa trên doanh thu nạn nhân – khoảng 5%/năm.

Tuy nhiên, mức tiền này có thể giảm nếu đàm phán kéo dài. Tin tặc cũng muốn kết thúc nhanh để nhận tiền, nên nếu bạn biết cách kéo dài thời gian và thể hiện thái độ đàm phán chủ động, họ có thể “giảm giá sâu”.

Ngược lại, các nhóm tấn công nghiệp dư thường chỉ cần tiền và có thể lật lọng, như trường hợp của PowerSchool. Dù đã trả tiền, dữ liệu vẫn bị phát tán, khiến khách hàng của họ tiếp tục bị tống tiền lần nữa.

Thanh toán bằng bitcoin và rủi ro liên quan​

Hầu hết các vụ đòi tiền chuộc hiện nay đều yêu cầu thanh toán bằng bitcoin, do tính ẩn danh cao. Một số nạn nhân có thể thu hồi tiền nếu cơ quan chức năng can thiệp kịp thời, như vụ Colonial Pipeline. Thậm chí một đại học ở Hà Lan còn kiếm lời khi giá bitcoin tăng trong quá trình xử lý.

Tuyệt đối giữ bí mật khi có bên hỗ trợ​

Nếu thuê công ty chuyên xử lý sự cố hoặc sử dụng bảo hiểm mạng, doanh nghiệp cần tuyệt đối giữ bí mật trước nhóm tấn công. Một số nhóm có thể tăng tiền chuộc nếu phát hiện bạn có bảo hiểm, hoặc từ chối đàm phán nếu biết có chuyên gia đứng sau.

Phòng ngừa vẫn là chìa khóa​

Cuối cùng, điều cốt lõi là: hãy đầu tư vào phòng ngừa. Phần lớn các vụ tấn công nhắm vào những nạn nhân dễ bị tổn thương - không có bảo vệ đầu cuối, hệ thống lỗi thời, hoặc không sao lưu dữ liệu định kỳ. Nếu bạn xây dựng được một hệ thống an ninh mạng vững chắc, phần lớn các nhóm ransomware sẽ bỏ qua bạn và tìm “trái ngọt dễ hái” hơn.

Và hãy nhớ rằng: mỗi lần trả tiền chuộc là một lần tiếp tay cho tội phạm mạng. Giải pháp dài hạn không nằm ở việc chi tiền, mà ở khả năng tự bảo vệ. (Register)