Phân tích tình huống, nguyên nhân và bài học an ninh mạng trong vụ ransomware tấn công dữ liệu doanh nghiệp.
Diễn Biến Vụ Việc
Bối Cảnh Ransomware Tấn Công
Năm 2021, một công ty tại Bạc Liêu đã bị tấn công bởi ransomware, dẫn đến việc dữ liệu kế toán của họ bị mã hóa. Công ty này có đội ngũ IT phụ trách và đã cài đặt phần mềm diệt virus, nhưng vẫn không thể ngăn chặn được cuộc tấn công này. Dữ liệu bị mã hóa là từ phần mềm kế toán MISA, và trong quá trình cài đặt MISA, người dùng bắt buộc phải cài đặt Ultraviewer – một phần mềm điều khiển từ xa không có các cam kết bảo mật và chứng nhận an toàn.
Nguyên Nhân Tình Nghi
Ultraviewer được cho là nguyên nhân tình nghi nhất của cuộc tấn công ransomware này. Phần mềm này mang nhiều phốt xấu về việc chạy ngầm và can thiệp vào máy tính một cách âm thầm, hoạt động như một backdoor và malware. Điều này đặt ra nhiều nghi vấn về tính an toàn và bảo mật của Ultraviewer.
Sự Thiếu Chuyên Nghiệp Trong Xử Lý Sự Cố
Khi sự việc xảy ra, máy tính của công ty bị mã hóa bởi ransomware. Đáng lẽ, kỹ thuật viên IT phải ngắt thiết bị và cô lập, không cho nó tiếp tục hoạt động, và tìm hiểu xem loại ransomware này đã có công cụ giải mã (decrypt) chưa. Tuy nhiên, kỹ thuật viên này đã không thực hiện các bước cần thiết và chỉ báo cáo rằng công ty nên nộp tiền chuộc dữ liệu. Đây là một sự thiếu chuyên nghiệp nghiêm trọng.
Ngoài ra, còn có những điểm thiếu chuyên nghiệp khác như:
- Data backup định kỳ cũng nằm trên một máy tính sử dụng: Điều này làm tăng nguy cơ mất dữ liệu khi máy tính bị tấn công.
- Phần mềm diệt virus không được cài đặt cấu hình an toàn: Dù đã có phần mềm diệt virus, nhưng việc thiếu cấu hình an toàn đã khiến hệ thống dễ bị tấn công.
- Không ngăn chặn Ultraviewer: Ultraviewer có thể đã được sử dụng đại trà bởi nhân viên kỹ thuật, tạo điều kiện cho phía tấn công theo dõi và tấn công.
- Người dùng tùy tiện cài đặt các phần mềm khác: Việc người dùng tự ý cài đặt các phần mềm không rõ nguồn gốc hoặc không được kiểm duyệt có thể tạo ra các lỗ hổng bảo mật nghiêm trọng.
- Quản trị không giới hạn quyền sử dụng thiết bị: Việc không giới hạn quyền sử dụng thiết bị cho người dùng có thể dẫn đến việc cài đặt và sử dụng các phần mềm không an toàn, tăng nguy cơ bị tấn công.
Ông Thợ Lâu Năm
Có một câu chuyện nổi tiếng về một ông thợ lâu năm. Một ngày nọ, một chiếc thuyền bị hỏng và không ai có thể tìm ra lỗi. Chủ thuyền đã mời rất nhiều thợ đến sửa nhưng không ai thành công. Cuối cùng, ông thợ lâu năm đến, chỉ gõ một cái vào đúng chỗ và chiếc thuyền bỗng chạy được. Ông thợ lấy một khoản tiền lớn cho công việc của mình. Chủ thuyền phản ánh rằng sao lại lấy mắc tiền chỉ vì một cái gõ. Ông thợ trả lời rằng, cái gõ đó chỉ đáng một ít tiền, nhưng biết gõ vào đâu mới là điều quan trọng và đáng giá.
Câu chuyện này minh họa rằng, nhiều người dùng thường nghĩ rằng “cái này dễ, chuyện kia thường thôi” với chuyên môn của người khác và tự làm dẫn đến những hậu quả không khắc phục được. Việc không tôn trọng và đánh giá đúng mức chuyên môn của người khác có thể dẫn đến những sai lầm nghiêm trọng và tốn kém.
Bài Học Rút Ra
- Cần có quy trình xử lý sự cố rõ ràng và chuyên nghiệp: Đội ngũ IT cần được đào tạo và có quy trình cụ thể để xử lý các cuộc tấn công ransomware.
- Đảm bảo an toàn và bảo mật cho các phần mềm điều khiển từ xa: Các phần mềm như Ultraviewer cần được kiểm tra và đảm bảo an toàn trước khi sử dụng.
- Backup dữ liệu định kỳ và lưu trữ ở nơi an toàn: Dữ liệu backup cần được lưu trữ ở nơi an toàn, không nằm trên cùng một hệ thống với dữ liệu chính.
- Cấu hình an toàn cho phần mềm diệt virus: Phần mềm diệt virus cần được cài đặt và cấu hình đúng cách để bảo vệ hệ thống khỏi các cuộc tấn công.
- Giới hạn quyền sử dụng thiết bị cho người dùng: Quản trị cần giới hạn quyền sử dụng thiết bị để ngăn chặn việc cài đặt và sử dụng các phần mềm không an toàn.
Hãy Hành Động
Qua case study này, chúng ta thấy rõ tầm quan trọng của việc lựa chọn dịch vụ IT an toàn và chuyên nghiệp. Người dùng cần tìm kiếm các dịch vụ IT có uy tín, có khả năng tư vấn giải pháp xử lý sự cố một cách hiệu quả, thay vì chỉ bày vẽ thêm các giải pháp không cần thiết. Đồng thời, cần chú ý đến đạo đức nghề nghiệp của kỹ thuật viên, đảm bảo họ luôn hành động vì lợi ích của khách hàng.
Cuối cùng, việc phổ cập sự tôn trọng chuyên môn và tuân thủ các quy định là vô cùng quan trọng. Người dùng không nên tùy ý làm theo mẹo hay tự ý can thiệp vào hệ thống mà không có kiến thức chuyên môn, để tránh những hậu quả không mong muốn.
