Ransomware tống tiền kép: Vì sao 'có backup rồi' là chưa đủ và doanh nghiệp cần chuẩn bị gì

Trong các loại tấn công mạng nhắm vào doanh nghiệp, ransomware là loại biến một sự cố kỹ thuật thành khủng hoảng kinh doanh nhanh nhất: hệ thống ngừng hoạt động, dữ liệu bị khóa, và một thông điệp đòi tiền chuộc đếm ngược trên màn hình. Điều nhiều ban lãnh đạo chưa cập nhật là ransomware đã thay đổi căn bản về cách thức trong vài năm qua — và những biện pháp phòng ngừa của 5 năm trước, kể cả 'chúng tôi có backup đầy đủ', không còn đủ nữa.

Một cuộc tấn công ransomware thực sự diễn ra như thế nào

Hình dung phổ biến — nhân viên mở nhầm file, vài phút sau cả công ty bị mã hóa — hầu như không còn đúng. Các nhóm ransomware chuyên nghiệp vận hành như một quy trình nhiều giai đoạn:

1. Xâm nhập ban đầu. Qua email phishing, tài khoản VPN/RDP không có MFA, hoặc lỗ hổng chưa vá trên hệ thống công khai. Nhiều nhóm thậm chí mua quyền truy cập có sẵn từ các 'initial access broker' trên chợ đen.
2. Trinh sát và leo thang. Kẻ tấn công âm thầm khảo sát mạng nội bộ, leo thang lên quyền quản trị, xác định đâu là dữ liệu giá trị và — quan trọng — backup nằm ở đâu.
3. Đánh cắp dữ liệu. Trước khi mã hóa, chúng trích xuất hàng trăm GB dữ liệu nhạy cảm ra ngoài: hợp đồng, dữ liệu khách hàng, tài liệu tài chính, email nội bộ.
4. Vô hiệu hóa phòng thủ và backup. Tắt phần mềm bảo vệ, xóa hoặc mã hóa các bản backup nối mạng, xóa shadow copy.
5. Mã hóa và ra giá. Chỉ đến lúc này màn hình đòi tiền chuộc mới xuất hiện — thường vào ban đêm hoặc cuối tuần, khi đội IT phản ứng chậm nhất.

Toàn bộ chuỗi này thường kéo dài từ vài ngày đến vài tuần. Nghĩa là trước thời điểm 'bùng nổ', đã có một khoảng thời gian dài kẻ tấn công hiện diện trong hệ thống và để lại dấu vết — đăng nhập bất thường, tài khoản quản trị mới, công cụ lạ được cài. Tổ chức nào giám sát tốt sẽ có cơ hội chặn đứng cuộc tấn công khi nó còn chưa gây thiệt hại.

Tống tiền kép, tống tiền ba: vì sao backup không còn là lá bài tẩy

Khi nhiều doanh nghiệp bắt đầu phòng ngừa tốt bằng backup, các nhóm ransomware đổi chiến thuật. Tống tiền kép (double extortion): ngoài đòi tiền để giải mã, chúng đe dọa công bố dữ liệu đã đánh cắp lên các 'leak site' công khai nếu không được trả tiền. Một số nhóm đi xa hơn — tống tiền ba: gọi điện trực tiếp cho khách hàng và đối tác của nạn nhân, hoặc tấn công DDoS song song để gia tăng sức ép.

Điều này thay đổi hoàn toàn phép tính: bạn có thể khôi phục hệ thống từ backup trong vài ngày, nhưng không có backup nào khôi phục được dữ liệu đã nằm trong tay kẻ tấn công. Lúc này doanh nghiệp đối mặt đồng thời với thiệt hại vận hành, nghĩa vụ thông báo vi phạm dữ liệu cá nhân trong 72 giờ theo quy định, và rủi ro uy tín khi dữ liệu khách hàng xuất hiện trên mạng. Phòng ngừa để dữ liệu không bị lấy đi ngay từ đầu, vì vậy, quan trọng không kém khả năng phục hồi.

Ba lớp phòng ngừa: chặn cửa, phát hiện sớm, giới hạn thiệt hại

Lớp 1 — Chặn các cửa vào phổ biến nhất

Lớp 2 — Phát hiện sớm trong 'khoảng lặng' trước mã hóa

• EDR trên máy chủ và máy trạm. Công cụ phát hiện và phản ứng đầu cuối nhận ra các hành vi đặc trưng: dump credentials, quét mạng nội bộ, chạy công cụ điều khiển từ xa lạ.
• Log tập trung và cảnh báo cho các sự kiện đắt giá. Không cần SOC hoàn chỉnh mới bắt đầu được — chỉ riêng cảnh báo khi có tài khoản quản trị mới được tạo, đăng nhập VPN từ vị trí lạ, hoặc dịch vụ backup bị tắt đã bắt được nhiều cuộc tấn công giữa chừng.
• Để ý các dấu hiệu mềm. Máy chậm bất thường, phần mềm bảo vệ tự tắt, file lạ xuất hiện trên các máy chủ — nhân viên IT cần được khuyến khích báo cáo và điều tra thay vì 'restart là hết'.

Lớp 3 — Giới hạn thiệt hại khi điều xấu nhất xảy ra

• Phân đoạn mạng. Hệ thống kế toán không cần 'nhìn thấy' máy chủ sản xuất; máy nhân viên không cần truy cập trực tiếp database. Mạng phẳng là lý do một máy nhiễm kéo theo toàn bộ công ty.
• Đặc quyền tối thiểu. Càng ít tài khoản có quyền quản trị rộng, kẻ tấn công càng khó leo thang — các nguyên tắc trong bài viết về quản lý truy cập của chúng tôi áp dụng trực tiếp ở đây.
• Backup đúng nghĩa — chi tiết ngay bên dưới, vì đây là kiểm soát quan trọng nhất lớp này.

Backup 3-2-1 đúng nghĩa (và vì sao đa số doanh nghiệp làm sai)

Quy tắc kinh điển: 3 bản sao dữ liệu, trên 2 loại phương tiện khác nhau, trong đó 1 bản nằm ngoài hệ thống chính (offsite). Phiên bản cập nhật cho thời đại ransomware thêm hai yêu cầu: 1 bản bất biến hoặc ngoại tuyến (immutable/offline — kẻ tấn công chiếm được quyền quản trị cũng không xóa hay mã hóa được), và 0 lỗi khi kiểm tra phục hồi.

• Sai lầm phổ biến nhất: toàn bộ backup đều nối mạng và truy cập được bằng chính tài khoản quản trị domain — kẻ tấn công chiếm quyền admin là xóa được sạch backup trước khi mã hóa.
• Sai lầm thứ hai: chưa bao giờ phục hồi thử. Đến lúc cần mới phát hiện bản backup hỏng, thiếu dữ liệu, hoặc thời gian phục hồi thực tế tính bằng tuần thay vì giờ. Hãy diễn tập restore ít nhất mỗi quý và đo thời gian thực tế.
• Sai lầm thứ ba: chỉ backup dữ liệu mà quên cấu hình hệ thống — phục hồi xong dữ liệu nhưng mất thêm nhiều ngày dựng lại hạ tầng từ con số không.

Câu hỏi khó: có nên trả tiền chuộc không?

Quan điểm nhất quán của giới bảo mật và các cơ quan thực thi pháp luật: không khuyến khích trả tiền. Trả tiền không bảo đảm nhận được khóa giải mã hoạt động, không bảo đảm dữ liệu bị đánh cắp được xóa (nhiều nhóm vẫn bán hoặc tống tiền lại sau đó), nuôi dưỡng mô hình tội phạm, và có thể kéo theo rủi ro pháp lý. Quan trọng hơn: các doanh nghiệp đã trả tiền thường bị đánh dấu là 'mục tiêu sẵn sàng chi trả' và bị tấn công lại.

Kết luận: chuẩn bị trước rẻ hơn ứng phó sau

Ransomware là loại rủi ro hiếm hoi mà gần như mọi biện pháp phòng ngừa đều có giá trị kép: MFA, vá lỗ hổng, phân quyền, backup được kiểm tra — tất cả đồng thời chặn nhiều loại tấn công khác. Một doanh nghiệp làm tốt các nền tảng này không miễn nhiễm, nhưng đủ 'đắt' để đa số nhóm tấn công cơ hội chuyển sang mục tiêu dễ hơn.