CyberThao
Writer
Ransomware đang không ngừng phát triển, trở thành mối đe dọa có tổ chức và ngày càng tinh vi. Thay vì tấn công trực diện vào hệ thống sản xuất như trước, giờ đây tin tặc lại nhắm vào “tuyến phòng thủ cuối cùng” — chính là hệ thống sao lưu. Mục tiêu là xóa bỏ khả năng phục hồi dữ liệu, khiến các tổ chức không còn cách nào khác ngoài việc trả tiền chuộc.
Vì sao bản sao lưu lại dễ bị tấn công?
Kẻ tấn công ngày càng khéo léo trong việc vô hiệu hóa hệ thống phòng thủ sao lưu. Chúng có thể:
Vô hiệu hóa các tác vụ sao lưu tự động.
Xóa ảnh chụp nhanh dữ liệu hoặc sửa chính sách lưu giữ.
Mã hóa các ổ đĩa sao lưu có kết nối mạng.
Khai thác các lỗ hổng trong nền tảng sao lưu.
Nếu hạ tầng sao lưu không được thiết kế để chống lại những rủi ro này, bạn sẽ dễ dàng mất luôn cả dữ liệu phục hồi – một điều cực kỳ nguy hiểm.
Một trong những nguyên nhân khiến hệ thống sao lưu dễ bị xâm phạm là do thiếu sự tách biệt với môi trường sản xuất. Các bản sao lưu nằm cùng hệ thống với dữ liệu gốc sẽ rất dễ bị ransomware lan truyền và mã hóa. Ngoài ra, nếu bạn chỉ dựa vào một nhà cung cấp đám mây (ví dụ: sao lưu Microsoft 365 ngay trong hệ sinh thái Microsoft), bạn đang tạo ra một điểm lỗi duy nhất – một khi bị tấn công là mất sạch cả hai đầu.
Các kỹ thuật xâm nhập phổ biến gồm:
Tấn công Active Directory (AD): Giành quyền kiểm soát các quyền truy cập để can thiệp vào hệ thống sao lưu.
Chiếm quyền máy chủ ảo: Khai thác lỗ hổng trong phần mềm ảo hóa để truy cập vào máy lưu trữ dữ liệu sao lưu.
Tấn công phần mềm Windows: Lợi dụng dịch vụ nội bộ hoặc cấu hình sai trên các phần mềm sao lưu chạy Windows.
Khai thác các lỗ hổng (CVE): Tấn công vào những lỗi bảo mật chưa được vá.
Chiến lược 3-2-1-1-0: Giải pháp bảo vệ sao lưu khỏi ransomware
Quy tắc sao lưu truyền thống 3-2-1 (3 bản sao, 2 phương tiện, 1 bản sao ngoài) không còn đủ trong thời đại ransomware. Giải pháp mới là chiến lược 3-2-1-1-0, giúp tăng khả năng phục hồi trong tình huống xấu nhất:
3 bản sao dữ liệu: Bao gồm 1 bản gốc + 2 bản sao lưu. Hãy ưu tiên sao lưu theo hình ảnh (image-based) để ghi lại toàn bộ hệ điều hành, ứng dụng và dữ liệu — giúp khôi phục toàn diện hơn.
2 phương tiện lưu trữ: Chẳng hạn lưu trữ song song trên đĩa cứng vật lý và đám mây.
1 bản sao ngoài trang: Cần có một bản sao được lưu ở địa điểm tách biệt về mặt địa lý.
1 bản sao không thể thay đổi: Lưu trữ dữ liệu trên kho lưu trữ đám mây “không thể chỉnh sửa” — tức không thể bị mã hóa hoặc xóa bởi phần mềm độc hại.
0 lỗi sao lưu: Cần kiểm tra và xác minh định kỳ để đảm bảo mọi bản sao đều có thể khôi phục.
Để chiến lược này hoạt động hiệu quả, bạn cần:
Phân đoạn mạng sao lưu, không để truy cập trực tiếp từ Internet.
Áp dụng nguyên tắc “quyền tối thiểu” (Least Privilege), sử dụng kiểm soát truy cập theo vai trò (RBAC).
Bật xác thực đa yếu tố (MFA) cho tất cả quyền truy cập — nên ưu tiên sinh trắc học thay vì mã OTP.
Mã hóa dữ liệu từ đầu đến cuối bằng khóa riêng do bạn kiểm soát.
Thường xuyên cập nhật bản vá, tắt các dịch vụ không cần thiết và bảo vệ thiết bị vật lý bằng khóa, camera và giám sát truy cập.
Giải pháp sao lưu đám mây cũng cần được bảo vệ
Ngay cả nền tảng đám mây cũng không an toàn nếu bạn không phân đoạn đúng cách. Hãy tránh việc sao lưu vào cùng hệ sinh thái với dữ liệu gốc (như Azure hay Microsoft 365). Thay vào đó, hãy:
Phân đoạn và cô lập: Lưu bản sao trong môi trường đám mây riêng biệt, có xác thực độc lập.
Tách rời thông tin đăng nhập: Không dùng lại mật khẩu/khóa API từ hệ thống sản xuất.
Kiểm soát quyền truy cập nghiêm ngặt: Kích hoạt cảnh báo khi có hành vi lạ, như xóa tác nhân sao lưu hoặc thay đổi chính sách lưu giữ.
Datto BCDR – nền tảng bảo vệ sao lưu toàn diện
Datto BCDR là một nền tảng phục hồi sau thảm họa được thiết kế để bảo vệ dữ liệu dù trong tình huống tồi tệ nhất. Với thiết bị SIRIS và ALTO kết hợp cùng đám mây bất biến của Datto, bạn có thể:
Duy trì sao lưu cục bộ và đám mây: Hệ thống sản xuất có thể chuyển đổi liền mạch giữa hai môi trường.
Phòng thủ trước ransomware: Nền tảng được xây dựng trên Linux giúp giảm thiểu lỗ hổng, kết hợp tính năng phát hiện ransomware chủ động.
Xác minh sao lưu tự động: Ảnh chụp VM được kiểm tra khả năng khởi động và khả năng vận hành ứng dụng sau khi phục hồi.
Phục hồi siêu nhanh: Tính năng “1-click DR” và khả năng phục hồi snapshot đám mây đã xóa nhờ Cloud Deletion Defense™ đảm bảo doanh nghiệp không bị gián đoạn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/how-to-protect-your-backups-from-ransomware-attacks.html
Vì sao bản sao lưu lại dễ bị tấn công?
Kẻ tấn công ngày càng khéo léo trong việc vô hiệu hóa hệ thống phòng thủ sao lưu. Chúng có thể:
Vô hiệu hóa các tác vụ sao lưu tự động.
Xóa ảnh chụp nhanh dữ liệu hoặc sửa chính sách lưu giữ.
Mã hóa các ổ đĩa sao lưu có kết nối mạng.
Khai thác các lỗ hổng trong nền tảng sao lưu.
Nếu hạ tầng sao lưu không được thiết kế để chống lại những rủi ro này, bạn sẽ dễ dàng mất luôn cả dữ liệu phục hồi – một điều cực kỳ nguy hiểm.
Một trong những nguyên nhân khiến hệ thống sao lưu dễ bị xâm phạm là do thiếu sự tách biệt với môi trường sản xuất. Các bản sao lưu nằm cùng hệ thống với dữ liệu gốc sẽ rất dễ bị ransomware lan truyền và mã hóa. Ngoài ra, nếu bạn chỉ dựa vào một nhà cung cấp đám mây (ví dụ: sao lưu Microsoft 365 ngay trong hệ sinh thái Microsoft), bạn đang tạo ra một điểm lỗi duy nhất – một khi bị tấn công là mất sạch cả hai đầu.
Các kỹ thuật xâm nhập phổ biến gồm:
Tấn công Active Directory (AD): Giành quyền kiểm soát các quyền truy cập để can thiệp vào hệ thống sao lưu.
Chiếm quyền máy chủ ảo: Khai thác lỗ hổng trong phần mềm ảo hóa để truy cập vào máy lưu trữ dữ liệu sao lưu.
Tấn công phần mềm Windows: Lợi dụng dịch vụ nội bộ hoặc cấu hình sai trên các phần mềm sao lưu chạy Windows.
Khai thác các lỗ hổng (CVE): Tấn công vào những lỗi bảo mật chưa được vá.
Chiến lược 3-2-1-1-0: Giải pháp bảo vệ sao lưu khỏi ransomware
Quy tắc sao lưu truyền thống 3-2-1 (3 bản sao, 2 phương tiện, 1 bản sao ngoài) không còn đủ trong thời đại ransomware. Giải pháp mới là chiến lược 3-2-1-1-0, giúp tăng khả năng phục hồi trong tình huống xấu nhất:
3 bản sao dữ liệu: Bao gồm 1 bản gốc + 2 bản sao lưu. Hãy ưu tiên sao lưu theo hình ảnh (image-based) để ghi lại toàn bộ hệ điều hành, ứng dụng và dữ liệu — giúp khôi phục toàn diện hơn.
2 phương tiện lưu trữ: Chẳng hạn lưu trữ song song trên đĩa cứng vật lý và đám mây.
1 bản sao ngoài trang: Cần có một bản sao được lưu ở địa điểm tách biệt về mặt địa lý.
1 bản sao không thể thay đổi: Lưu trữ dữ liệu trên kho lưu trữ đám mây “không thể chỉnh sửa” — tức không thể bị mã hóa hoặc xóa bởi phần mềm độc hại.
0 lỗi sao lưu: Cần kiểm tra và xác minh định kỳ để đảm bảo mọi bản sao đều có thể khôi phục.
Để chiến lược này hoạt động hiệu quả, bạn cần:
Phân đoạn mạng sao lưu, không để truy cập trực tiếp từ Internet.
Áp dụng nguyên tắc “quyền tối thiểu” (Least Privilege), sử dụng kiểm soát truy cập theo vai trò (RBAC).
Bật xác thực đa yếu tố (MFA) cho tất cả quyền truy cập — nên ưu tiên sinh trắc học thay vì mã OTP.
Mã hóa dữ liệu từ đầu đến cuối bằng khóa riêng do bạn kiểm soát.
Thường xuyên cập nhật bản vá, tắt các dịch vụ không cần thiết và bảo vệ thiết bị vật lý bằng khóa, camera và giám sát truy cập.
Giải pháp sao lưu đám mây cũng cần được bảo vệ
Ngay cả nền tảng đám mây cũng không an toàn nếu bạn không phân đoạn đúng cách. Hãy tránh việc sao lưu vào cùng hệ sinh thái với dữ liệu gốc (như Azure hay Microsoft 365). Thay vào đó, hãy:
Phân đoạn và cô lập: Lưu bản sao trong môi trường đám mây riêng biệt, có xác thực độc lập.
Tách rời thông tin đăng nhập: Không dùng lại mật khẩu/khóa API từ hệ thống sản xuất.
Kiểm soát quyền truy cập nghiêm ngặt: Kích hoạt cảnh báo khi có hành vi lạ, như xóa tác nhân sao lưu hoặc thay đổi chính sách lưu giữ.
Datto BCDR – nền tảng bảo vệ sao lưu toàn diện
Datto BCDR là một nền tảng phục hồi sau thảm họa được thiết kế để bảo vệ dữ liệu dù trong tình huống tồi tệ nhất. Với thiết bị SIRIS và ALTO kết hợp cùng đám mây bất biến của Datto, bạn có thể:
Duy trì sao lưu cục bộ và đám mây: Hệ thống sản xuất có thể chuyển đổi liền mạch giữa hai môi trường.
Phòng thủ trước ransomware: Nền tảng được xây dựng trên Linux giúp giảm thiểu lỗ hổng, kết hợp tính năng phát hiện ransomware chủ động.
Xác minh sao lưu tự động: Ảnh chụp VM được kiểm tra khả năng khởi động và khả năng vận hành ứng dụng sau khi phục hồi.
Phục hồi siêu nhanh: Tính năng “1-click DR” và khả năng phục hồi snapshot đám mây đã xóa nhờ Cloud Deletion Defense™ đảm bảo doanh nghiệp không bị gián đoạn.
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/how-to-protect-your-backups-from-ransomware-attacks.html
