Một công ty trở thành nạn nhân của một cuộc tấn công bằng mã độc tống tiền ransomware và chấp nhận trả cho bọn tội phạm hàng triệu đô la để khôi phục mạng của họ. Sau hai tuần, họ lại trở thành nạn nhân của cùng một băng đảng ransomware. Lý do là họ đã không kiểm tra được nguyên tại sao cuộc tấn công có thể xảy ra và tìm cách khắc phục lỗ hổng đó để có thể phòng chống ransomware một cách hiệu quả.
Sau khi trả tiền (bằng bitcoin) và nhận khóa khôi phục, công ty (được dấu tên) chỉ dừng lại ở đó, không phân tích cách thức tội phạm mạng xâm nhập vào mạng và tìm cách khắc phục. Và điều gì đến đã đến, chưa đầy 2 tuần sau họ lại bị tấn công và cuối cùng công phải trả tiền chuộc lần thứ hai.
Vụ việc là một bài học cho các tổ chức khác: nếu bạn trở thành nạn nhân của một cuộc tấn công bằng mã độc tống tiền ransomware, hãy tìm hiểu xem làm thế nào để bọn tội phạm mạng có thể tự xâm nhập vào mạng mà không bị phát hiện trước khi ransomware được tung ra.
Đối với hầu hết các nạn nhân, ưu tiên hàng đầu của họ là lấy lại dữ liệu và đảm bảo doanh nghiệp của họ có thể hoạt động trở lại. Tuy nhiên, vấn đề thực sự là mã độc tống tiền ransomware thường chỉ là một triệu chứng dễ thấy của một vụ xâm nhập mạng nghiêm trọng hơn. Và vấn đề đó có thể đã tồn tại trong thời gian dài.
Để cài đặt mã độc tống tiền ransomware, bọn tội phạm mạng có thể đã có được quyền truy cập cửa sau vào mạng (backdoor), có khả năng thông qua một cuộc xâm nhập phần mềm độc hại trước đó. Cũng có khi hacker có được đặc quyền của quản trị viên hoặc thông tin đăng nhập khác.
Nếu những kẻ tấn công có được những thông tin đó, họ có thể dễ dàng triển khai một cuộc tấn công khác nếu họ muốn. Trong ví dụ nêu chi tiết ở trên, vì nạn nhân chưa kiểm tra cách mạng của họ bị xâm nhập.
Do đó, việc kiểm tra mạng sau sự cố ransomware và xác định cách phần mềm độc hại có thể xâm nhập vào mạng cũng như không bị phát hiện trong bao lâu là điều mà tất cả các tổ chức trở thành nạn nhân của ransomware nên xem xét cùng với việc khôi phục mạng – hoặc tốt nhất là trước khi họ thậm chí còn nghĩ đến việc khôi phục mạng.
Một số người có thể tin rằng trả tiền chuộc cho bọn tội phạm sẽ là cách nhanh nhất và tiết kiệm chi phí nhất để khôi phục mạng. Tuy nhiên không chỉ phải trả tiền chuộc, có thể lên tới hàng triệu USD, mà việc phân tích sau sự kiện và xây dựng lại hệ thống mạng bị hư hỏng cũng tốn một khoản lớn.
Việc trở thành nạn nhân của một cuộc tấn công bằng mã độc tống tiền ransomware thường sẽ dẫn đến sự gián đoạn kéo dài trước khi các hoạt động giống như bất kỳ điều gì bình thường. Khôi phục sau sự cố ransomware hiếm khi là một quá trình nhanh chóng. Việc điều tra, xây dựng lại hệ thống và khôi phục dữ liệu thường kéo dài nhiều tuần làm việc. Cách tốt nhất để tránh bất kỳ điều này là đảm bảo mạng của bạn được an toàn trước các cuộc tấn công mạng bằng cách đảm bảo hệ điều hành và các bản vá bảo mật được cập nhật và áp dụng xác thực đa yếu tố trên toàn mạng. Các tổ chức cũng được khuyến nghị rằng thường xuyên sao lưu mạng của họ – và lưu trữ các bản sao lưu đó ngoại tuyến – để trong trường hợp tấn công ransomware thành công, mạng có thể được khôi phục với ít gián đoạn nhất có thể.
Theo zdnet
