Làm thế nào để đối phó với một cuộc tấn công ransomware

Làm thế nào để đối phó với một cuộc tấn công ransomware

March 13, 2019 | vietsunshine

Nếu điều tồi tệ nhất đã xảy ra, bạn đã trở thành nạn nhân của một cuộc tấn công ransomware. Vậy bạn sẽ phải làm gì?

Bảo vệ dữ liệu quan trọng của tổ chức của bạn là một công việc tốn kém, với ngân sách bảo mật liên tục bị siết chặt nhưng  bạn vẫn phải chống lại mối đe dọa ngày càng mở rộng.

Ransomware chắc chắn là một trong những cuộc tấn công mạng gây tê liệt nhất và gây ra hậu quả lâu dài cho các công ty bị nhiễm. Mặc dù số lượng các cuộc tấn công ransomware đã bắt đầu có dấu hiệu giảm đi, nhưng bây giờ không phải là lúc để tự mãn với chiến lược bảo mật của bạn.

Các cuộc tấn công của Ransomware vẫn đang diễn ra và chỉ vì tổ chức của bạn có thể không được nhắm mục tiêu riêng lẻ, nếu bạn không vá đúng cách, thì rất có thể bạn sẽ trở thành nạn nhân của một cuộc tấn công diện rộng, được thiết kế để xâm nhập vào bất kỳ hệ thống nào có lỗ hổng.

Dưới đây là cái nhìn tổng quan ngắn gọn về ransomware cùng với danh sách các bước mà các chuyên gia bảo mật khuyên bạn nên thực hiện trong trường hợp bị tấn công ransomware và một số điều bạn nên tránh.

Ransomware là gì?

Ransomware lần đầu tiên xuất hiện vào năm 2005 và kể từ đó, nó đã trở thành cuộc tấn công mạng phổ biến nhất trên toàn thế giới. Kể từ ngày đầu tiên, mục đích của nó là tạo ra doanh thu từ các nạn nhân và theo các tính toán gần đây từ Cybersecurance Ventures đưa ra thiệt hại ước tính cho các cuộc tấn công ransomware là khoảng 11,5 tỷ USD.

Có hai loại ransomware chính là mã hóa (crypto) và khóa (locker). Khi một liên kết hoặc ứng dụng độc hại được mở, crypto-ransomware sẽ mã hóa tất cả các tệt, thư mục và ổ cứng trên thiết bị bị nhiễm, cùng với lời hứa sẽ khôi phục lại khi kẻ tấn công nhận được tiền chuộc. Locker-ransomware chỉ đơn giản là khóa người dùng khỏi thiết bị của họ.

Thật không may, những kẻ tấn công ransomware không kén chọn khi nói đến người mà chúng nhắm đến. Tấn công một doanh nghiệp có thể gây ra thiệt hại rất lớn, nhưng khi người dùng thông thường bị nhiễm, vì thiếu kiến thức và thông tin, họ có thể dễ dàng trả tiền chuộc.

Do đó, tội phạm mạng tung ra kiểu tấn công này thường áp dụng phương pháp tán xạ, vì ngay cả khi chỉ một số ít nạn nhân trả tiền, ransomware rất rẻ để triển khai những kẻ tấn công vẫn được đảm bảo lợi nhuận.

Một cuộc tấn công ransomware có thể gây tổn hại rất lớn, nếu bạn xử lý hậu không tốt thì thiệt hại về mặt uy tín có thể là thảm họa; khiến bạn mất nhiều hơn chỉ là các tập tin của bạn.

Bạn nên làm gì trong trường hợp doanh nghiệp bị tấn công ransomware?

Theo dõi cuộc tấn công

Cách phổ biến nhất ransomware làm cho nó vào hệ thống của bạn là thông qua một liên kết độc hại hoặc tệp đính kèm email. Nếu bạn may mắn, phần mềm độc hại sẽ chỉ ảnh hưởng đến  những máy mở mã độc, tuy nhiên, nếu hệ thống mạng của bạn không có các bản vá và giải pháp bảo mật, toàn bộ hệ thống của bạn sẽ bị nhiễm.

Trước tiên, bạn cần xác định vị trí máy bị nhiễm ban đầu và tìm hiểu xem họ đã mở bất kỳ email đáng ngờ nào hay nhận thấy bất kỳ hoạt động bất thường nào trên máy của họ. Càng tìm được nguồn càng sớm, bạn càng có thể hành động nhanh hơn.

“Rút phích cắm”

Sau khi thiết bị ban đầu bị xâm nhập, ransomware lây lan qua kết nối mạng của bạn, nghĩa là bạn càng sớm loại bỏ máy bị nhiễm khỏi mạng văn phòng của mình, thì các máy khác càng ít bị nhiễm. Khi thông báo cho nhân viên về nhu ngắt kết nối thiết bị khỏi mạng, đừng quên liên hệ với mọi nhân viên. Chỉ vì ai đó không ở trong văn phòng, nếu họ kết nối với mạng, họ vẫn có thể trở thành nạn nhân của cuộc tấn công.

Trong trường hợp hoàn hảo, nhóm bảo mật của bạn đã có kế hoạch cho các tình huống như thế này, vì vậy có thể là trường hợp bạn chỉ bàn giao cho họ và họ sẽ giảm thiểu thiệt hại nhất có thể. Khi không kế hoạch nào được chuẩn bị trước, một cuộc họp nên được tổ chức để phác thảo những gì cần phải xảy ra tiếp theo. Điều rất quan trọng là để cho mọi người biết chính xác những gì được mong đợi ở họ.

Thông báo cho nhóm bảo mật CNTT hoặc bộ phận trợ giúp của bạn

Không có gì lạ khi các tổ chức lớn có một nhóm bảo mật CNTT và thậm chí là một Giám đốc An toàn Thông tin (CISO), người sẽ là người thực hiện kế hoạch hành động của bạn và xử lý giao thức sau khi bị tấn công.

Tuy nhiên, đối với một số công ty nhỏ hơn, hạn chế về ngân sách thường có nghĩa là có những chuyên gia này trong doanh nghiệp là bất khả thi. Trong trường hợp đó, điều quan trọng là CIO được thông báo đầy đủ về tất cả các vấn đề bảo mật và có thể nắm quyền trong trường hợp khủng hoảng.

Nó cũng hữu ích để vạch ra một dòng thời gian của vi phạm. Điều này sẽ giúp bạn trong các cuộc tấn công tương lai và giúp bạn tìm hiểu về các hệ thống bảo mật hiện tại của bạn. Thông thường các cuộc tấn công mạng để lại manh mối trong dữ liệu, do đó, việc tìm kiếm đầy đủ về điều đó sẽ là cần thiết trong hầu hết các trường hợp.

Thông báo cho cơ quan chức năng

Nếu công ty của bạn xử lý dữ liệu thuộc về công dân trong Liên minh Châu Âu, GDPR hiện yêu cầu bạn thông báo cho ICO trong vòng 72 giờ kể từ khi xảy ra vi phạm. Không làm điều đó có nghĩa là tổ chức của bạn không tuân thủ luật pháp và với mức phạt lên tới 4% doanh thu toàn cầu hàng năm hoặc 20 triệu euro.

Nếu dữ liệu được lưu trữ có liên quan tới danh tính (identity), bạn nên thông báo cho nhân viên bảo vệ dữ liệu hoặc tương đương.

Thông báo cho tất cả nhân viên và khách hàng

Minh bạch là chìa khóa trong các tình huống như thế này. Khi nói đến các cuộc tấn công mạng, liên kết yếu nhất của bạn thường là nhân viên của bạn và bất chấp những nỗ lực tốt nhất, tất cả chúng ta đều có thể dễ dàng phạm sai lầm có thể gây nguy hiểm cho dữ liệu của công ty.

Thay vì chỉ tay, hãy thông báo cho nhân viên của bạn rằng đã có vi phạm, điều này có nghĩa là bạn dự định thực hiện hành động nào. Bạn cũng nên cho họ biết về bất kỳ thời gian ngừng hoạt động hệ thống dự kiến nào sẽ ảnh hưởng đến công việc của họ.

Nó cũng rất quan trọng đối với khách hàng của bạn, những người có thể đã bị xâm phạm dữ liệu của họ trong một cuộc tấn công ransomware. Rõ ràng, không có điểm nào bị che dấu khi doanh nghiệp bị vi phạm, bạn sẽ nhận được sự đánh giá cao của khách hàng.

Khi bạn đã có thêm một chút thời gian để thiết lập lại chính xác những gì đã sai, đó là khi bạn cần thông báo cho khách hàng. Điều đó là rất quan trọng, khách hàng cần nghe các tin tức này từ bạn chứ không phải từ các phương tiện truyền thông.

Cập nhật tất cả các hệ thống bảo mật của bạn

Vá, cập nhật, đầu tư và lặp lại. Sau khi sự cố kết thúc, bạn sẽ cần thực hiện kiểm tra bảo mật tổng thể và cập nhật tất cả các hệ thống.

Điều này có thể mất một chút thời gian và thậm chí tốn một số tiền, nhưng nếu bạn coi trọng dữ liệu của mình và danh tiếng của công ty bạn, bạn nên làm điều đó.

Những gì bạn chắc chắn không nên làm

Hoảng loạn

Mặc dù chúng tôi luôn khuyên bạn nên có kế hoạch trước khi bạn trở thành nạn nhân của một cuộc tấn công ransomware, nhưng nếu điều tồi tệ nhất xảy ra và bạn không có một chiến lược nào thì bạn hãy cố gắng đừng hoảng sợ. Quyết định ngẫu hứng sẽ không giúp ích gì cho tình huống của bạn, nếu bạn cần giúp đỡ, hãy yêu cầu.

Bất kỳ rối loạn rõ ràng nào có khả năng có thể bị khai thác bởi tội phạm mạng, khiến bạn dễ bị tấn công hơn nữa.

Trả tiền chuộc

Các cuộc tấn công của Ransomware đã chứng kiến sự tăng đột biến cách đây vài năm vì bọn tội phạm nhận ra rằng chúng có thể kiếm được số tiền tương đối lớn với chi phí nhỏ.

Đáng báo động nhất, nghiên cứu đã chỉ ra rằng một phần ba các công ty thừa nhận rằng thực sự hiệu quả hơn về chi phí khi chỉ trả tiền chuộc mỗi lần hơn là đầu tư vào một hệ thống bảo mật thích hợp.

Thật không may, việc các doanh nghiệp tiếp tục trả tiền chuộc mà không trang bị các giải pháp an ninh mạng sẽ khiến họ tiếp tục rơi vào các cuộc tấn công khác, và tội phạm mạng thì có thêm động lực để tìm kiếm các chiến thuật mới.

Thông thường, các chuyên gia và chính quyền khuyên không nên trả tiền chuộc vì nhiều lý do. Thứ nhất, chỉ vì bạn đã trả tiền chuộc, điều đó không có nghĩa là bạn sẽ nhận được một khóa mã hóa để mở khóa dữ liệu của mình. Thứ hai, nó có thể khuyến khích các tin tặc yêu cầu số tiền lớn hơn từ các nạn nhân trong tương lai.

Cuối cùng, chỉ có bạn mới có thể đánh giá xem dữ liệu của bạn có xứng đáng với chi phí hay không.

Nguồn: How to respond to a ransomware attack

Xem thêm: Tấn công Ransomware đã trở thành đại dịch toàn cầu

Trend Micro: Tấn công ransomware tăng 193.000% ở Việt Nam

Tags: , ,