How to protect your corporate network from ransomware (VI)

March 11, 2024

Sự xuất hiện bất ngờ của ransomware (mã độc) và việc hack dữ liệu người dùng

Ransomware là một loại phần mềm độc hại mà hacker sử dụng để mã hóa hệ thống hoặc dữ liệu của nạn nhân, khiến cho chúng không thể sử dụng được, sau đó đe dọa, tống tiền họ.

Trong bộ phim truyền hình nổi tiếng “Startup” của đài TVN, công ty khởi nghiệp của nhân vật chính đã bị nhiễm ransomware và hacker đe dọa sẽ phá hủy tất cả khóa giải mã các tệp đã bị mã hóa, nếu không chuyển khoản 300 triệu won cho họ trong vòng 12 giờ. 

Phân cảnh bị nhiễm ransomware trong phim Startup (tvN)

Hacker đã xâm nhập vào hệ thống thông qua một lỗ hổng khi một lập trình viên fresher tự ý mở cổng 20 nhằm kết nối qua SSH (Secure Shell) đến máy chủ từ xa để làm việc tại nhà. Với việc sản phẩm vẫn đang trong giai đoạn thử nghiệm beta, nên không có bản sao lưu nào được thực hiện trước đó. 

Tất nhiên, khi nhân vật chính xuất hiện, anh ta đã tìm kiếm thư viện Task Scheduler để phát hiện dấu vết của các tập tin lạ đang được thực thi, tìm ra khóa giải mã để khôi phục dữ liệu, từ đó hoàn tất quá trình xử lý nhiễm ransomware. 

Đó là câu chuyện được xem thoáng qua trên TV, nhưng các sự cố về bảo mật dữ liệu như nhiễm ransomware, spyware, phishing và việc cài đặt mã độc làm mất dữ liệu của khách hàng diễn ra rất thường xuyên xung quanh chúng ta. 

Ransomware là?

Ransomware là một loại phần mềm độc hại (malware) được thiết kế để chặn quyền truy cập vào hệ thống máy tính hoặc các tệp tin cho đến khi một số tiền nhất định hoặc tiền chuộc được chi trả. Hình thức tấn công mạng này mã hóa dữ liệu của nạn nhân, làm cho người bị hại không thể truy cập được, kẻ tấn công thường yêu cầu thanh toán bằng tiền điện tử để cung cấp khóa giải mã hoặc mở khóa hệ thống. Theo IBM Security X-Force Threat Intelligence Index 2023, các cuộc tấn công Ransomware chiếm 17% tổng các cuộc tấn công mạng vào năm 2022.

Ransomware có thể lan truyền thông qua nhiều phương tiện khác nhau như sử dụng email phishing, website độc hại, và lợi dụng các lỗ hổng phần mềm để tấn công. Nếu mã độc xâm nhập vào hệ thống, nó sẽ mã hóa tệp hoặc toàn bộ hệ thống, khiến nạn nhân bị hạn chế hoặc hoàn toàn không thể truy cập dữ liệu của họ. Sau đó, kẻ tấn công yêu cầu thanh toán với lời đe dọa xóa vĩnh viễn các tệp hoặc tăng tiền chuộc nếu thanh toán không được thực hiện trong một khoảng thời gian xác định.

Một trường hợp tấn công ransomware thực tế đã xảy ra ở Việt Nam

Trước đó, có một khách hàng ở Việt Nam đã chuyển đổi (migrate) hệ thống ERP cũ, đã hoạt động trong 10 năm, sang môi trường đám mây (Cloud). Server máy chủ của khách hàng đặt tại nhà máy tại Thái Lan, và khi công ty ở Việt Nam mua lại nhà máy Thái Lan, đã tiến hành việc di chuyển cơ sở dữ liệu ERP lên đám mây. 

Trong quá trình này, khi quản trị viên di chuyển cơ sở dữ liệu 10 năm tuổi (MySQL) có dung lượng 20TB sang Việt Nam, họ đã vô tình để lộ máy chủ DB lên mạng internet. Chỉ sau 2 ngày, quản trị viên nhận được email như sau:

“Để khôi phục cơ sở dữ liệu bị mất của bạn, hãy chuyển 0.02 BTC Bitcoin đến địa chỉ bên dưới. 

………………..  Sau đó, hãy gửi cho chúng tôi địa chỉ IP hoặc tên miền của máy chủ của bạn cùng với ID thanh toán qua email.

Chúng tôi hiện đang giữ bản sao lưu của cơ sở dữ liệu như sau. Nếu email được gửi đến mà không có IP của máy chủ tương ứng, địa chỉ tên miền khác, thông tin thanh toán khác, sẽ bị bỏ qua. Nếu chúng tôi không nhận được tiền thanh toán trong vòng 10 ngày, tất cả dữ liệu rò rỉ của bạn sẽ bị xóa.

Tính đến tháng 12 năm 2023, 1 Bitcoin tương đương khoảng 30 triệu won. 0.02 Bitcoin tương đương khoảng 600,000 won.

Đó không phải là số tiền quá lớn, nhưng sau khi gửi số tiền này, họ sẽ chỉ cung cấp cho bạn một phần dữ liệu của Database và yêu cầu thanh toán thêm cho phần còn lại. Ban đầu, họ có thể đưa ra một mức giá thấp cho dữ liệu không quan trọng và nhận thanh toán, sau đó sẽ yêu cầu giá cao hơn cho dữ liệu quan trọng hơn về sau. Và hầu hết các doanh nghiệp vừa và nhỏ có thể không có tài khoản Bitcoin hoặc không biết cách thực hiện các giao dịch như vậy. Nếu tiếp tục chuyển cho họ như vậy, số tiền sẽ tăng lên 10 triệu won, 100 triệu won. 

Chúng ta bị hacking như thế nào?

Để xác nhận xem hệ thống của chúng ta đã bị hack hay không, trước tiên chúng ta cần kiểm tra các nhật ký (logs). Trong số đó, hãy tìm địa chỉ IP kết nối với máy chủ DB và kiểm tra đại khái là quốc gia, khu vực nào. 

Đặc biệt, nếu IP của máy chủ DB là IP công cộng hoặc bị lộ ra bên ngoài, hacker có thể dễ dàng xác định thông tin IP và Port. (Vì có các trang web cung cấp thông tin này). 

Và các hacker ransomware thường để lại các yêu cầu của họ ở những nơi mà các quản trị viên hệ thống có thể dễ dàng tìm thấy. Dưới đây là thông tin về số lượng Bitcoin mong muốn, địa chỉ Bitcoin và địa chỉ email tạm thời của hacker được ghi trong bảng MySQL một cách tinh tế như sau. 

Ví dụ về các cuộc tấn công Ransomware chuyên dụng (MySQL table) Nguồn: tìm kiếm của Google

Máy chủ DB thông thường có thể dễ dàng bị tấn công trong các trường hợp sau. 

• Cho phép truy cập từ xa vào máy chủ DB từ bên ngoài 
• Sử dụng giá trị mặc định của MySQL (tên người dùng và số port)
• Sử dụng mật khẩu dễ dàng (12345678, pass1234, v.v.)
• Sự nhiễm virus thông qua các tài khoản đáng ngờ không được sử dụng
• Bỏ qua tự động cập nhật, vá lỗi (patch), v.v… trong một thời gian dài

Ngăn chặn Ransomware

Cần có nỗ lực của người dùng để ngăn chặn việc hack máy chủ DB. Dù cho khả năng bảo mật của AWS Cloud có tốt đến đâu, người dùng vẫn cần tuân thủ các hướng dẫn cơ bản sau. 

Những nguyên tắc phòng ngừa ransomware được khuyến nghị bởi Bộ Khoa học và Công nghệ Thông tin cùng Cơ quan An toàn thông tin và Internet Hàn Quốc (KISA) như sau. 

• Áp dụng kiến trúc 3 tầng WEB-Application-DB
• Cấm sử dụng IP, Port truy cập bên ngoài DB (tránh sử dụng các số cổng mặc định (default port) cho các dịch vụ quan trọng).
• Khi truy cập từ bên ngoài, hạn chế truy cập thông qua SSH và hạn chế tài khoản truy cập.
• Sao lưu định kỳ (back up) 
• Thay đổi mật khẩu định kỳ
• Mã hóa theo từng bảng trong cơ sở dữ liệu (DB table)
• Tránh sử dụng số port mặc định

Tuy nhiên, trên hết, điều quan trọng nhất trong quản lý bảo mật là sự phòng ngừa và việc sao lưu. 

Tech Valley Cyber Security Solutions có công nghệ và nhân lực chuyên biệt cho nhiều giải pháp đám mây khác nhau như: chẩn đoán bảo mật doanh nghiệp, cơ sở dữ liệu và mã hóa dữ liệu cũng như phát hiện xâm nhập,v.v… thông qua quan hệ đối tác với nhiều giải pháp quản lý bảo mật khác nhau ở Việt Nam và Hàn Quốc cũng như quan hệ đối tác với các giải pháp và công nghệ của bên thứ ba.

Vietnam IT Blogger | Tech Valley CEO Doyeon (Patrick) Kim

go2hanoi (KakaoTalk),  patrick@techvalley.biz

** The copyright for this post is owned by Patrick Kim. This content is intended for publication, and individuals seeking to quote or reproduce it must obtain prior permission.

 Feb. 21,2024・Translated and Published by Uptempo Global 

 Feb. 21,2024・Translated and Published by Uptempo Global 

LABELS: MAKE IN VIETNAM (VI)

LOCATION: 베트남 HANOI, 하노이