Năm 2018, đã có hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu. Ảnh: Đức Thanh

Cảnh báo đỏ

Chiều tối 14/2, hệ thống giám sát virus của Bkav vừa phát đi cảnh báo đang có một chiến dịch tấn công có chủ đích của hacker nước ngoài nhằm vào các server public của Việt Nam. Các địa chỉ phát động tấn công của hacker xuất phát từ Nga, châu Âu và châu Mỹ.

“Rất nhiều cơ quan, tổ chức tại Việt Nam đã bị hacker tấn công, xâm nhập máy chủ, sau đó thực hiện mã hóa toàn bộ dữ liệu trên server. Hiện chưa có con số thống kê đầy đủ, nhưng theo ước tính của Bkav, đến cuối buổi chiều 14/2, số nạn nhân có thể đã lên đến hàng trăm cơ quan, tổ chức”, Bkav cho hay.

Theo phân tích của các chuyên gia Bkav, cách thức tấn công của hacker là rà quét các server cài hệ điều hành Windows của các cơ quan, tổ chức tại Việt Nam, dò mật khẩu của các server này bằng cách sử dụng từ điển để thử từng mật khẩu (brute force). Nếu dò thành công, hacker sẽ thực hiện đăng nhập từ xa qua dịch vụ remote desktop, cài mã độc mã hóa tống tiền lên máy của nạn nhân.

Các dữ liệu sẽ bị mã hóa bao gồm các file văn bản, file tài liệu, file cơ sở dữ liệu, file thực thi… Nạn nhân muốn lấy lại dữ liệu phải trả tiền chuộc cho hacker. Hacker không công bố số tiền nạn nhân phải trả như các mã độc mã hóa tống tiền thông thường, mà yêu cầu nạn nhân phải liên lạc qua email để trao đổi, thỏa thuận cụ thể. Theo ghi nhận của Bkav, mỗi máy chủ bị mã hóa dữ liệu, hacker để lại một email khác nhau để liên hệ.

Các chuyên gia Bkav cũng cho biết, Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí. Các quản trị có thể tải Bkav để quét và kiểm tra cho các máy chủ.

Trước đó, cuối tháng 12/2018, mã độc mới là biến thể thuộc thế hệ thứ năm của GandCrab đã tràn về Việt Nam, với gần 4.000 máy tính bị lây nhiễm. GandCrab phát tán bằng cách gửi cho nạn nhân một email giả mạo với nội dung yêu cầu mở file văn bản đính kèm. Nếu mở file, máy tính sẽ bị nhiễm mã độc và toàn bộ dữ liệu trên máy sẽ bị mã hóa, không thể mở được. Thông báo đòi tiền chuộc sẽ hiện trên máy tính của nạn nhân, yêu cầu người dùng cài trình duyệt Tor để trả tiền điện tử Dash hoặc Bitcoin với giá trị tương đương 200 - 1.200 USD, tùy theo số lượng dữ liệu bị mã hóa.

Hai mấu chốt phòng chống mã độc

Theo thống kê, năm 2018, virus máy tính đã gây thiệt hại 14.900 tỷ đồng tại Việt Nam và đã có hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu. Đặc biệt, hai dòng mã độc phổ biến tại Việt Nam khiến người dùng bị mất dữ liệu là dòng mã độc mã hóa tống tiền ransomware và dòng virus xóa dữ liệu trên USB.

Ông Nguyễn Minh Đức, nhà sáng lập, kiêm CEO Công ty cổ phần An toàn thông tin CyRadar cho biết, nạn mã hóa dữ liệu và tống tiền nhắm vào nhóm doanh nghiệp nhỏ và vừa đang rất cao. So với các doanh nghiệp quy mô lớn, nhiều doanh nghiệp nhỏ gần như chưa có trang bị bảo vệ, phòng vệ, nên rất dễ bị tấn công, bị mã hóa dữ liệu.

Theo ông Đức, các doanh nghiệp cần giải quyết được 2 vấn đề mấu chốt là nâng cao nhận thức, ý thức về đảm bảo an toàn thông tin của lãnh đạo, cũng như của từng người sử dụng trong doanh nghiệp. Đồng thời, lựa chọn được một giải pháp công nghệ phù hợp giúp bảo vệ hệ thống của đơn vị mình.

Để phòng chống mã độc tấn công đòi tiền chuộc, ông  Khổng Huy Hùng, CEO Công ty cổ phần Công nghệ An ninh không gian mạng Việt Nam (VNCS) cho rằng, yếu tố quan trọng nhất là doanh nghiệp, tổ chức nâng cao nhận thức về an toàn thông tin, bảo mật dữ liệu bằng việc tăng cường đầu tư vào các giải pháp đảm bảo an toàn thông tin “thức thời” phù hợp với thực tế là các đối tượng tấn công ngày càng sử dụng các kỹ thuật hiện đại hơn.

Còn theo ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav, để phòng chống triệt để loại mã độc tống tiền như W32.WeakPass hay GandCrab, Bkav khuyến cáo quản trị viên lên kế hoạch rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, cần đặt mật khẩu mạnh cho máy chủ, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết. Trong trường hợp vẫn cần phải duy trì remote desktop, cần giới hạn quyền truy cập, cấu hình chỉ cho các IP cố định, biết trước được phép remote vào.