Ransomware, một loại phần mềm độc hại được thiết kế để mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để khôi phục, đã trở thành mối đe dọa toàn cầu trong những năm gần đây. Tại Việt Nam, tình hình ransomware cũng không kém phần nghiêm trọng, với nhiều cuộc tấn công lớn gây thiệt hại đáng kể cho các tổ chức và doanh nghiệp.
Tình hình ransomware tại Việt Nam
Sự gia tăng của các cuộc tấn công
Trong những năm gần đây, Việt Nam đã chứng kiến sự gia tăng đột biến của các cuộc tấn công ransomware. Các tổ chức tài chính, cơ quan chính phủ, doanh nghiệp tư nhân đều trở thành mục tiêu của những kẻ tấn công. Sự phát triển nhanh chóng của công nghệ và sự phụ thuộc ngày càng tăng vào các hệ thống kỹ thuật số đã làm gia tăng nguy cơ tấn công ransomware.
Các loại ransomware phổ biến
Một số loại ransomware phổ biến đã xuất hiện tại Việt Nam bao gồm WannaCry, Petya, GandCrab. Những loại ransomware này không chỉ gây ra thiệt hại tài chính lớn mà còn làm gián đoạn hoạt động của nhiều tổ chức quan trọng.
Các cuộc tấn công lớn tại Việt Nam
Cuộc tấn công WannaCry (2017)
Vào tháng 5/2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng mã độc tống tiền WannaCry đã diễn ra từ ngày 12-15/5. WannaCry (còn được gọi là WannaDecryptor 2.0) là phần mềm mã độc tống tiền tự lan truyền trên các máy tính sử dụng hệ điều hành Microsoft Windows. Cuộc tấn công WannaCry đã gây chấn động toàn cầu và Việt Nam cũng không phải là ngoại lệ. WannaCry lợi dụng lỗ hổng trong hệ điều hành Windows để mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc bằng Bitcoin. Nhiều bệnh viện, doanh nghiệp và cơ quan chính phủ tại Việt Nam đã bị ảnh hưởng, dẫn đến tình trạng gián đoạn hoạt động và thiệt hại tài chính nghiêm trọng.
Cuộc tấn công GandCrab (2018)
Xuất hiện từ đầu năm 2018 trên thế giới, mã độc tống tiền GandCrab được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG, khi bị lây nhiễm, toàn bộ các tập tin dữ liệu trên máy người dùng sẽ bị mã hóa và phần mở rộng của tập tin bị đổi thành *.GDCB hoặc *.CRAB, đồng thời mã độc sinh ra một tệp CRAB-DECRYPT.txt nhằm yêu cầu và hướng dẫn người dùng trả tiền chuộc từ 400-1.000 USD bằng cách thanh toán qua tiền điện tử DASH để giải mã dữ liệu.
Năm 2018, ransomware GandCrab đã tấn công nhiều tổ chức tại Việt Nam, bao gồm cả các doanh nghiệp lớn và các tổ chức tài chính. GandCrab không chỉ mã hóa dữ liệu mà còn yêu cầu tiền chuộc cao, gây ra những thiệt hại lớn về kinh tế và làm gián đoạn hoạt động kinh doanh.
Cuộc tấn công Maze (2020)
Vào cuối năm 2019 và đầu năm 2020, đã xuất hiện một xu hướng mới trong các cuộc tấn công ransomware. Thay vì chỉ giới hạn việc mã hóa các tập tin của nạn nhân, các tác giả ransomware bắt đầu lấy cắp dữ liệu nhạy cảm từ các mục tiêu của họ. Các biến thể ransomware có tính năng lấy cắp dữ liệu người dùng bao gồm Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet và Snatch.
Maze là một loại ransomware đã xuất hiện tại Việt Nam vào năm 2020 và tấn công nhiều doanh nghiệp lớn. Điều đặc biệt về Maze là ngoài việc mã hóa dữ liệu, kẻ tấn công còn đe dọa công khai dữ liệu nếu tiền chuộc không được trả, tạo ra áp lực lớn đối với các nạn nhân. Một số doanh nghiệp đã phải trả tiền chuộc để bảo vệ thông tin nhạy cảm của mình.
Ngoài các cuộc tấn công lớn kể trên, Việt Nam còn phải đối mặt với nhiều cuộc tấn công ransomware khác nhau mỗi năm. Các tổ chức liên tục phải đối mặt với nguy cơ mất dữ liệu và thiệt hại tài chính từ những cuộc tấn công này.
Năm 2024 chứng kiến một số cuộc tấn công ransomware lớn tại Việt Nam, gây ra nhiều thiệt hại cho các doanh nghiệp và tổ chức. Các cuộc tấn công đáng chú ý:
VNDIRECT và PVOIL
Hai doanh nghiệp lớn VNDIRECT (một công ty chứng khoán) và PVOIL (công ty dầu khí) đã bị tấn công ransomware. Cuộc tấn công này gây gián đoạn nghiêm trọng trong hoạt động của họ, khiến cho nhiều hệ thống bị tê liệt và dữ liệu quan trọng bị mã hóa. Vụ việc đã thu hút sự chú ý lớn và là lời cảnh tỉnh cho nhiều doanh nghiệp khác về nguy cơ của ransomware.
Bệnh viện Mắt Trung ương
Một cuộc tấn công ransomware đã nhắm vào hệ thống của Bệnh Viện Mắt Trung Ương, gây ra sự cố lớn trong việc quản lý hồ sơ bệnh nhân. Cuộc tấn công này không chỉ ảnh hưởng đến việc điều trị bệnh nhân mà còn gây lo ngại về an ninh thông tin y tế tại các cơ sở y tế lớn.
Tấn công LockBit
Nhóm ransomware LockBit đã tấn công vào các máy chủ của một số tổ chức tại Việt Nam, mã hóa dữ liệu và yêu cầu tiền chuộc. LockBit là một trong những nhóm ransomware hoạt động mạnh mẽ nhất toàn cầu, và cuộc tấn công này đã làm gia tăng mức độ cảnh giác của các doanh nghiệp đối với các cuộc tấn công mạng.
Gần đây nhất, vào ngày 04/6/2024, VNPost đã trở thành mục tiêu của một cuộc tấn công ransomware nghiêm trọng, gây ra nhiều gián đoạn và thiệt hại đáng kể. Cuộc tấn công này được cho là do nhóm ransomware BlackCat/ALPHV thực hiện, vốn đã gây ra nhiều vụ tấn công tương tự trên toàn cầu.
Sự cố này đã làm tê liệt nhiều hệ thống của VNPost, bao gồm cả hệ thống quản lý đơn hàng và dữ liệu khách hàng. Kết quả, VNPost phải tạm dừng một số dịch vụ và chuyển sang các quy trình thủ công để duy trì hoạt động (BleepingComputer) (HIPAA Journal).
Sau khi phát hiện cuộc tấn công, VNPost đã nhanh chóng liên hệ với các chuyên gia an ninh mạng, cơ quan chức năng để hỗ trợ khôi phục hệ thống và điều tra nguồn gốc của cuộc tấn công. Dù đã có nỗ lực lớn trong việc khôi phục hệ thống, quá trình này vẫn gặp nhiều khó khăn do mức độ phức tạp của ransomware và những tổn thất về dữ liệu.
Các chuyên gia an ninh mạng cảnh báo rằng các cuộc tấn công ransomware đang ngày càng phổ biến và tinh vi hơn, đòi hỏi các tổ chức và doanh nghiệp phải liên tục cập nhật và nâng cao các biện pháp bảo mật để bảo vệ hệ thống của mình trước những mối đe dọa này. Sự cố tại VNPost là một lời cảnh tỉnh về tầm quan trọng của an ninh mạng trong bối cảnh kỹ thuật số hiện nay.
Giải pháp và khuyến nghị
Tăng cường bảo mật hệ thống
Các tổ chức cần đầu tư vào các giải pháp bảo mật mạnh mẽ để bảo vệ dữ liệu và hệ thống của mình khỏi các cuộc tấn công ransomware. Điều này bao gồm việc cập nhật phần mềm thường xuyên, sử dụng các phần mềm bảo mật tiên tiến, và đào tạo nhân viên về các biện pháp an ninh mạng.
Xây dựng kế hoạch phòng ngừa và phục hồi
Việc xây dựng một kế hoạch phòng ngừa và phục hồi khi bị tấn công ransomware là rất quan trọng. Các tổ chức nên có các bản sao lưu dữ liệu định kỳ và đảm bảo rằng các bản sao lưu này không bị kết nối với mạng chính để tránh bị mã hóa bởi ransomware.
Hợp tác quốc tế
Việc hợp tác với các tổ chức an ninh mạng quốc tế và các cơ quan chức năng có thể giúp tăng cường khả năng phát hiện và đối phó với các cuộc tấn công ransomware. Sự phối hợp quốc tế sẽ giúp chia sẻ thông tin và kinh nghiệm, từ đó nâng cao khả năng bảo vệ của các tổ chức tại Việt Nam.
Ransomware đang là mối đe dọa nghiêm trọng đối với Việt Nam, ảnh hưởng đến nhiều tổ chức và doanh nghiệp. Để đối phó với tình hình này, các tổ chức cần tăng cường bảo mật hệ thống, xây dựng kế hoạch phòng ngừa và phục hồi, hợp tác với các tổ chức an ninh mạng quốc tế. Chỉ khi đó, chúng ta mới có thể giảm thiểu rủi ro và thiệt hại do ransomware gây ra.
