Thế giới đã sẵn sàng cho cuộc đại tấn công của mã độc tống tiền?

Mối hiểm họa đến từ các cuộc tấn công ransomware trong tương lai
Các cuộc tấn công của mã độc tống tiền WannaCry và NotPetya đã khiến hàng loạt các công ty lớn bị ảnh hưởng và chi hàng tỷ đồng để khắc phục thiệt hại. Một báo cáo mới từ các công ty bảo mật cảnh báo rằng một cuộc tấn công của mã độc tống tiền quy mô lớn khác sẽ sớm xảy ra.

WannaCry và NotPetya là hai sự cố nghiêm trọng đã ảnh hưởng đến các công ty có quy mô lớn nhỏ khác nhau trên toàn thế giới. Hai mã độc này đã lan truyền đi nhanh chóng và khiến nhiều tổ chức lớn rơi vào tình trạng bế tắc.

Trong khi mối đe dọa từ hai cuộc tấn công này gần như đã được giảm nhẹ thì các biến thể của cả hai vẫn không ngừng lan truyền và xâm nhập vào các hệ thống. Một báo cáo mới cho thấy rằng rất có thể sẽ có một cuộc tấn công tương tự mang tính chất toàn cầu khác sắp diễn ra. Nếu được phối hợp và thực hiện đúng cách, cuộc tấn công đó có thể gây thiệt hại thậm chí lớn hơn so với hai cuộc tấn công kể trên và sẽ gây ra thiệt hại hàng tỷ đô la cho các công ty bị ảnh hưởng.

Chi phí của các cuộc tấn công mã độc tống tiền toàn cầu

Mã độc tống tiền WannaCry được ước tính đã lây nhiễm 200.000 máy tính trên 150 quốc gia, lây lan qua các phiên bản Microsoft Windows tồn tại lỗ hổng chưa được vá. Trong khi đó, mã độc tống tiền NotPetya lan truyền thông qua một bản cập nhật bị xâm phạm của một ứng dụng thuế phổ biến của Ukraine. Các công ty bị ảnh hưởng ở Ukraine và các khu vực khác của châu Âu đã cáo buộc Nga đứng sau dàn dựng vụ tấn công này.

Cả hai mã độc này đều sử dụng khai thác EternalBlue – được phát triển bởi NSA và bị rò rỉ bởi nhóm tin tặc Shadow Broker. Nhóm này đã lợi dụng các lỗ hổng trong giao thức SMB (Windows Server Message Block).

Theo tính toán của chính phủ, WannaCry đã tiêu tốn khoảng 91,5 triệu bảng Anh [118 triệu đô la], trong đó 19 triệu bảng cho bản thân cuộc tấn công và 72,5 triệu bảng sử dụng để khắc phục và nâng cấp hệ thống sau khi xảy ra vụ tấn công. Mặc dù lợi nhuận thực tế từ cuộc tấn công chỉ đạt gần 100.000 đô la, nhưng theo ước tính thì tổng chi phí toàn cầu của cuộc tấn công có thể lên tới 4 tỷ đô la.

Mã độc NotPetya cũng gây ra tình trạng phổ biến và tốn kém tương tự. Công ty vận chuyển Maersk và công ty FedEx, mỗi công ty mất khoảng 300 triệu đô la. Công ty công nghệ hình ảnh và ngôn ngữ Nuance nói rằng khoản lỗ của họ là khoảng 90 triệu đô la, trong khi công ty luật DLA Piper đã phải trả chi phí cho 15.000 giờ làm thêm cho đội ngũ IT để khắc phục tác động của NotPetya. Theo nghiên cứu từ các công ty bị ảnh hưởng thì chi phí toàn cầu gây ra bởi các cuộc tấn công NotPetya rơi vào khoảng 1,2 tỷ đô la.

Theo báo cáo của Lloyds of London, cuộc tấn công Bashe: Một cuộc tấn công mã độc tống tiền toàn cầu khác tương tự như WannaCry và NotPetya có thể ảnh hưởng đến hơn 600.000 doanh nghiệp trên toàn thế giới và gây thiệt hại 193 tỷ đô la doanh thu và khắc phục.

Cách một mã độc tương tự WannaCry có thể làm tê liệt các tổ chức trên toàn thế giới?

Trong các kịch bản được đề xuất bởi dự án Quản lý rủi ro mạng (CyRiM) và Trung tâm nghiên cứu rủi ro Cambridge (CCRS) thì nhiều khả năng sẽ có một cuộc tấn công mã độc tống tiền mới có tên gọi là Bashe.

Cuộc tấn công này sẽ xâm nhập vào hệ thống của các tổ chức thông qua các email độc hại, lan truyền và mã hóa bất kỳ thiết bị nào được kết nối với mạng. Đồng thời mã độc tống tiền này sẽ lan rộng hơn nữa bằng cách tự động chuyển tiếp email độc hại đến tất cả các địa chỉ liên hệ. Trong kịch bản nghiêm trọng nhất được đưa ra thì ngay cả các bản sao lưu cũng có thể bị xóa.

Kịch bản này được xây dựng dựa trên các bộ dữ liệu lịch sử CCRS, xung quanh các sự cố về phần mềm độc hại và bảo mật, bao gồm tỷ lệ lây nhiễm, tỷ lệ sao chép và chi phí thiệt hại. Kịch bản này dự đoán rằng sẽ phải có ít nhất sáu lập trình viên để thực hiện cuộc tấn công mã độc tống tiền trên quy mô toàn cầu trong vòng một năm. Giả định rằng các thiếu sót của các cuộc tấn công quy mô lớn trước đây.

Mặc dù khoản tiền chuộc được đề xuất sẽ tương đối thấp ở mức khoảng 700 đô la cho mỗi lần lây nhiễm (hoặc 350 đô la cho mỗi thiết bị để được sửa chữa hoặc thay thế mà không phải trả tiền chuộc), các chi phí được tính toán bao gồm phản ứng sự cố mạng, kiểm soát và giảm thiểu thiệt hại, gián đoạn kinh doanh, mất doanh thu và giảm năng suất sẽ dao động ở mức từ 85 tỷ đô la đến 193 tỷ đô la tùy thuộc vào mức độ nghiêm trọng của cuộc tấn công. Tổ chức tội phạm phát triển mã độc Bashe sẽ nhận được từ 1,14 đến 2,78 tỷ đô la từ các hoạt động tống tiền.

Chăm sóc sức khỏe, sản xuất và bán lẻ là ba lĩnh vực bị ảnh hưởng nhiều nhất trong các kịch bản dự đoán khác nhau. Mỗi lĩnh vực sẽ bị thâm hụt từ 9 đến 25 tỷ đô la nếu bị mã mã độc tống tiền này tấn công.

Liệu mã mã độc tống tiền Bashe có phải là một kịch bản khả thi?

Cuộc tấn công này được đánh giá là “một kịch bản cực đoạn và khó có thể xảy ra”, tuy nhiên lại “cực kỳ hợp lý, vì trong lịch sử đã từng có tiền lệ”. Minh chứng chính là hai cuộc tấn công WannaCry và NotPetya đều đã xảy đầy bất ngờ. Hàng loạt các công ty lớn ở nhiều thị trường khác nhau đã bị tấn công, mức độ lan mã độc nhanh chóng và các công ty bị ảnh hưởng nặng nề.

Trong khi một số người đặt nghi vấn về khả năng xảy ra một cuộc tấn công mã độc tống tiền quy mô lớn và nguy hiểm như vậy, thì tất cả các nhà nghiên cứu bảo mật CSO đều đồng ý rằng cuộc tấn công này hoàn toàn có thể xảy ra nếu chủ thể đứng sau thực hiện là một quốc gia. Bởi để tìm ra các lỗ hổng zero-day nghiêm trọng và khởi động một cuộc tấn công trên diện rộng thường yêu cầu nguồn lực vô cùng lớn, và chỉ các chính phủ có thể thực hiện điều đó. Hoặc chí ít thì chính phủ đã phát triển nó và sau đó rò rỉ như lỗ hổng EternalBlue. Ngoài ra, thực tế một cuộc tấn công thu hút sự chú ý như vậy nhiều khả năng được nhà nước bảo trợ vì tội các tôi phạm ‘chân chính’ thường thích hoạt động lặng lẽ hơn.

Các tổ chức đã rút ra bài học từ các cuộc tấn công mã độc tống tiền hay chưa?

Mặc dù cuộc tấn công Bashe chỉ mang tính giả thuyết, thế nhưng nó đã nhấn mạnh một sự thật rằng rất nhiều tổ chức vẫn chưa rút ra được bài học sau những cuộc tấn công quy mô lớn trước đây. Nhà nghiên cứu bảo mật của Kaspersky đã khẳng định WannaCry hẳn là một lời cảnh tỉnh lớn cho nhiều tổ chức và doanh nghiệp. Bất kỳ tổ chức nào bị tấn công chắc chắn đã xem xét lại các quy trình của họ, đặc biệt là các tổ chức lớn. Tuy nhiên, các công ty may mắn không bị ảnh hưởng tại thời điểm đó có lẽ vẫn chưa thấy được hết tác động khủng khiếp của rủi ro đã xảy ra. 

Phát hành các bản vá cho những lỗ hổng tồn tại tiếp tục là một thách thức đối với các tổ chức. Theo một báo cáo từ Veracodefound, hơn 85% các ứng dụng có ít nhất một lỗ hổng, trong đó phần lớn các lỗ hổng này vẫn chưa được khắc phục sau một tháng kể từ khi được phát hiện. Hơn một nửa trong số đó vẫn tồn tại tới tận ba tháng sau khi được báo cáo.

Mặc dù có thể không phải là một cuộc tấn công mã độc tống tiền nhưng các lỗ hổng kích hoạt những cuộc tấn công lớn khác vẫn còn phổ biến ở nhiều công ty. Chẳng hạn như vi phạm đối với Equifax – được Ủy ban Giám sát Nhà Hoa Kỳ dán nhãn là “hoàn toàn có thể ngăn chặn” – đã được kích hoạt thông qua lỗ hổng chưa được vá trong các thành phần của Apache Struts. Công ty này đã mất thông tin nhận dạng cá nhân của 143 triệu người. Sonatype đã tìm thấy hơn 18.000 doanh nghiệp vẫn đang sử dụng phiên bản chứa lỗ hổng của Apache Struts, bao gồm cả 2/3 các công ty Fortune 100 toàn cầu.

Ngay cả khi các công ty đang tiến hành vá các lỗ hổng đã gây ra các cuộc tấn công trước đó, thì những kẻ tấn công lại tiếp tục phát hiện ra các lỗ hổng mới để khai thác. Báo cáo đã chỉ ra rằng rằng IoT và các hệ thống kiểm soát công nghiệp (ICS) có thể sẽ gặp phải sự cố gián đoạn nghiêm trọng. Theo Kaspersky, hơn 40% máy tính ICS mà công ty này giám sát đã bị tấn công bởi các phần mềm độc hại ít nhất một lần trong nửa đầu năm 2018. Các công ty công nghiệp cũng đang tiếp tục đấu tranh với bảo mật ICS bất chấp tính chất nhạy cảm của hoạt động này.

Làm thế nào để ngăn chặn các cuộc tấn công ransomware giống như Bashe trong thế giới thực?

Mặc dù Bashe là một thử nghiệm what-if (nếu xảy ra-thì), nhưng các tổ chức cần phải chú trọng vào tính thực tiễn của nó và có các biện pháp bảo mật cần thiết cho hệ thống của mình càng sớm càng tốt.  Hậu quả từ các cuộc tấn công sẽ không kết thúc nhanh chóng như cách chúng bắt đầu. Một cuộc tấn công như vậy [Bashe] thậm chí có thể gây ra tác hại lớn hơn, vì vậy, điều quan trọng là các công ty phải thực hiện các biện pháp phòng ngừa thích hợp trước một hành vi tấn công mạng – thay vì tập trung vào phục hồi sau đó. Các công ty cần kiểm tra liên tục hệ thống của mình, thực hiện đánh giá quy trình công nghệ, nơi lưu trữ dữ liệu v.v.

Một bài học quan trọng từ Wannacry và NotPetya là sự tồn tại của một mạng internet lớn, liên kết thực tế mọi mạng nội bộ (mạng công ty địa phương) với các mạng khác sử dụng VPN và các trang web khác. Đây thực sự là minh chứng cho việc thiếu hoàn toàn phòng thủ của các hệ thống trong các mạng này.

Các biện pháp phòng thủ rất cần được thực hiện để đảm bảo an toàn cho hệ thống của các tổ chức để giảm thiểu các tác động từ các cuộc tấn công mã độc tống tiền như Bashe.  Những phòng thủ đó là:

  • Vá sớm, vá thường xuyên: Hầu như mọi cuộc tấn công bởi các sâu máy tính quy mô lớn trong lịch sử đều dựa vào các lỗ hổng bảo mật chưa được vá, cho phép kẻ gian lây truyền các phần mềm độc hại mà không cần sự tương tác của con người.
  • Lọc các tệp đính kèm email đáng ngờ để giảm tiếp xúc với nhân viên: Hãy chắc chắn rằng bạn cũng đang lọc nội dung bên ngoài. Điều này có thể đưa ra một cảnh báo sớm về một máy tính bị tấn công nằm trong hệ thống của bạn.
  • Tách mạng của bạn: Những người làm Marketing không cần truy cập vào cơ sở dữ liệu nhân sự hoặc hồ sơ pháp lý của công ty cùng một lúc. Máy tính tiền và máy ATM của công ty bạn cũng không cần phải ở trên cùng một mạng với nhóm telesales.
  • Đừng chỉ dựa vào các bản sao lưu trực tuyến: Kịch bản Bashe trong trường hợp xấu nhất dường như dựa vào việc tất cả các bản sao lưu của bạn bị phá hủy ngay lập tức và đồng thời trong cuộc tấn công. Hãy tự bảo vệ mình bằng cách lưu trữ một bản sao offline ở một nơi thực sự an toàn.
  • Chọn mật khẩu thích hợp: Những kẻ gian trên mạng hiện nay không vội vàng như trước đây. Nếu những kẻ này có thể đăng nhập với tư cách quản trị viên, chúng thường sẽ không tấn công ngay lập tức. Chúng sẽ tự chỉ định mình là người quản trị toàn bộ mạng của bạn và tìm hiểu càng nhiều càng tốt trước khi đưa ra quyết định làm thế nào để có thể tống tiền bạn.
  • Xem xét nhật ký máy của bạn: Nếu bạn không thường xuyên xem xét nhật ký của mình để khám phá về những điều bạn có thể học từ đó, chẳng hạn những người tham gia, những người bị theo dõi, những người trực tuyến, v.v – thì bạn cũng có thể không giữ phần lịch sử này ở vị trí ưu tiên sử dụng khi cần.

CSO