Tổng cộng:
Tổng cộng:

Tấn công mã hoá tống tiền tại Việt Nam

Tấn công mã hoá tống tiền tại Việt Nam

1. Tổng Quan Về Tấn Công Mã Hóa (Ransomware)

Tấn công mã hóa, hay ransomware, là một dạng phần mềm độc hại (malware) mã hóa dữ liệu của nạn nhân và yêu cầu một khoản tiền chuộc để khôi phục truy cập. Các cuộc tấn công này đã trở thành một trong những mối đe dọa an ninh mạng lớn nhất hiện nay, gây thiệt hại lớn về kinh tế và làm gián đoạn hoạt động của nhiều tổ chức và cá nhân.

2. Các Vụ Tấn Công Nổi Bật Tại Việt Nam

Trong những năm gần đây, Việt Nam đã chứng kiến một số vụ tấn công mã hóa lớn gây ảnh hưởng nghiêm trọng. Dưới đây là phân tích kỹ thuật của một số vụ nổi bật:

a. Tấn Công Vào Tập Đoàn Công Nghệ Lớn (2021)
  • Mục tiêu: Một tập đoàn công nghệ lớn tại Việt Nam.
  • Phương thức tấn công: Sử dụng một phiên bản tùy chỉnh của ransomware REvil.
  • Chi tiết kỹ thuật:
    • Khai thác lỗ hổng: Tấn công ban đầu thông qua lỗ hổng bảo mật trong phần mềm quản lý từ xa (RDP) và phần mềm quản lý máy chủ không cập nhật.
    • Cấp quyền truy cập: Kẻ tấn công sử dụng công cụ như Mimikatz để thu thập thông tin xác thực và di chuyển ngang qua hệ thống.
    • Mã hóa dữ liệu: Sử dụng thuật toán mã hóa AES-256 để mã hóa dữ liệu, sau đó mã hóa khóa AES bằng khóa công khai RSA-2048.
    • Yêu cầu tiền chuộc: Một khoản tiền lớn bằng Bitcoin được yêu cầu để giải mã dữ liệu.
b. Tấn Công Vào Hệ Thống Y Tế (2022)
  • Mục tiêu: Một bệnh viện lớn tại Hà Nội.
  • Phương thức tấn công: Ransomware Ryuk.
  • Chi tiết kỹ thuật:
    • Phương thức lây nhiễm: Thông qua email phishing chứa tệp đính kèm độc hại.
    • Tấn công vào hệ thống: Sau khi nhiễm vào hệ thống, Ryuk sử dụng công cụ PsExec để triển khai mã độc trên nhiều máy tính trong mạng.
    • Mã hóa: Dữ liệu trên các máy chủ và máy tính cá nhân bị mã hóa, làm gián đoạn hoạt động của bệnh viện.
    • Khôi phục: Bệnh viện phải trả một khoản tiền lớn để nhận được công cụ giải mã.
c. Tấn Công Vào Công Ty Chứng Khoán (2023)
  • Mục tiêu: Một công ty chứng khoán lớn tại TP. Hồ Chí Minh.
  • Phương thức tấn công: Ransomware DoppelPaymer.
  • Chi tiết kỹ thuật:
    • Khai thác lỗ hổng: Sử dụng lỗ hổng trong hệ thống quản lý tài chính và phần mềm giao dịch chứng khoán.
    • Xâm nhập hệ thống: Kẻ tấn công đã sử dụng phần mềm độc hại để khai thác lỗ hổng, sau đó di chuyển ngang qua hệ thống và mã hóa các tệp tin quan trọng.
    • Mã hóa: Thuật toán AES-256 được sử dụng để mã hóa dữ liệu, sau đó khóa AES được mã hóa bằng RSA-2048.
    • Yêu cầu tiền chuộc: Một khoản tiền chuộc lớn bằng Bitcoin đã được yêu cầu để giải mã dữ liệu, đe dọa sẽ công khai các dữ liệu nhạy cảm nếu không được đáp ứng.
d. Tấn Công Vào Dịch Vụ Hàng Hóa Sân Bay (2023)
  • Mục tiêu: Một công ty dịch vụ hàng hóa sân bay lớn tại Hà Nội.
  • Phương thức tấn công: Ransomware LockBit.
  • Chi tiết kỹ thuật:
    • Phương thức lây nhiễm: Thông qua một lỗ hổng trong phần mềm quản lý kho hàng hóa.
    • Xâm nhập hệ thống: Kẻ tấn công sử dụng công cụ để di chuyển ngang qua hệ thống, tìm kiếm và mã hóa các dữ liệu quan trọng liên quan đến quản lý và vận chuyển hàng hóa.
    • Mã hóa: Thuật toán AES-256 được sử dụng để mã hóa các tệp tin, khóa AES được mã hóa bằng RSA-2048.
    • Yêu cầu tiền chuộc: Kẻ tấn công yêu cầu một khoản tiền chuộc lớn bằng Bitcoin để cung cấp công cụ giải mã và đe dọa sẽ công khai dữ liệu nhạy cảm nếu không được đáp ứng.

Tình hình tiếp tục diễn biến phức tạp trong nửa đầu 2024 với nhiều công ty lớn bị tấn công mã hoá gây tổn thất lớn cả về tài chính và danh tiếng.

3. Phân Tích Kỹ Thuật Về Tấn Công Ransomware

a. Vector Tấn Công Phổ Biến
  • Email phishing: Gửi email lừa đảo với tệp đính kèm hoặc liên kết độc hại.
  • Khai thác lỗ hổng: Sử dụng lỗ hổng trong phần mềm và hệ điều hành.
  • Mạng ngang hàng (P2P): Tấn công qua các kết nối mạng ngang hàng.
b. Quy Trình Tấn Công
  1. Giai đoạn xâm nhập: Sử dụng các vector tấn công để xâm nhập vào hệ thống.
  2. Di chuyển ngang: Sau khi xâm nhập, kẻ tấn công di chuyển ngang qua mạng, thu thập thông tin xác thực và tìm kiếm dữ liệu quan trọng.
  3. Mã hóa: Mã hóa dữ liệu bằng thuật toán mạnh như AES và RSA.
  4. Yêu cầu tiền chuộc: Đưa ra yêu cầu tiền chuộc để cung cấp công cụ giải mã.
c. Công Cụ và Kỹ Thuật Thường Dùng
  • Mimikatz: Thu thập thông tin xác thực từ bộ nhớ.
  • PsExec: Triển khai mã độc trên các máy tính trong mạng.
  • PowerShell: Sử dụng các tập lệnh PowerShell để thực hiện các tác vụ độc hại.

4. Biện Pháp Phòng Chống và Phục Hồi

a. Phòng Ngừa
  • Cập nhật phần mềm: Thường xuyên cập nhật hệ điều hành và phần mềm để vá các lỗ hổng bảo mật.
  • Đào tạo nhân viên: Tăng cường đào tạo nhận thức về an ninh mạng cho nhân viên.
  • Sao lưu dữ liệu: Thực hiện sao lưu dữ liệu định kỳ và kiểm tra khả năng khôi phục.
b. Phản Ứng Khi Bị Tấn Công
  • Cô lập hệ thống: Nhanh chóng cô lập các hệ thống bị nhiễm để ngăn chặn sự lây lan.
  • Khôi phục từ sao lưu: Sử dụng các bản sao lưu để khôi phục dữ liệu.
  • Liên hệ chuyên gia: Tìm kiếm sự hỗ trợ từ các chuyên gia an ninh mạng để giải quyết sự cố
Bài trước Thiết bị tường lửa
Bài tiếp theo Juniper Network: Lỗ Hổng Bảo Mật CVE-2024-2973

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *