Skip to main content

How to protect your corporate network from ransomware (VI)


Sự xuất hiện bất ngờ của ransomware (mã độc) và việc hack dữ liệu người dùng

Ransomware là một loại phần mềm độc hại mà hacker sử dụng để mã hóa hệ thống hoặc dữ liệu của nạn nhân, khiến cho chúng không thể sử dụng được, sau đó đe dọa, tống tiền họ.

Trong bộ phim truyền hình nổi tiếng “Startup” của đài TVN, công ty khởi nghiệp của nhân vật chính đã bị nhiễm ransomware và hacker đe dọa sẽ phá hủy tất cả khóa giải mã các tệp đã bị mã hóa, nếu không chuyển khoản 300 triệu won cho họ trong vòng 12 giờ. 


Phân cảnh bị nhiễm ransomware trong phim Startup (tvN)

Hacker đã xâm nhập vào hệ thống thông qua một lỗ hổng khi một lập trình viên fresher tự ý mở cổng 20 nhằm kết nối qua SSH (Secure Shell) đến máy chủ từ xa để làm việc tại nhà. Với việc sản phẩm vẫn đang trong giai đoạn thử nghiệm beta, nên không có bản sao lưu nào được thực hiện trước đó. 
Tất nhiên, khi nhân vật chính xuất hiện, anh ta đã tìm kiếm thư viện Task Scheduler để phát hiện dấu vết của các tập tin lạ đang được thực thi, tìm ra khóa giải mã để khôi phục dữ liệu, từ đó hoàn tất quá trình xử lý nhiễm ransomware. 
Đó là câu chuyện được xem thoáng qua trên TV, nhưng các sự cố về bảo mật dữ liệu như nhiễm ransomware, spyware, phishing và việc cài đặt mã độc làm mất dữ liệu của khách hàng diễn ra rất thường xuyên xung quanh chúng ta. 

Ransomware là?

Ransomware là một loại phần mềm độc hại (malware) được thiết kế để chặn quyền truy cập vào hệ thống máy tính hoặc các tệp tin cho đến khi một số tiền nhất định hoặc tiền chuộc được chi trả. Hình thức tấn công mạng này mã hóa dữ liệu của nạn nhân, làm cho người bị hại không thể truy cập được, kẻ tấn công thường yêu cầu thanh toán bằng tiền điện tử để cung cấp khóa giải mã hoặc mở khóa hệ thống. Theo IBM Security X-Force Threat Intelligence Index 2023, các cuộc tấn công Ransomware chiếm 17% tổng các cuộc tấn công mạng vào năm 2022.

Ransomware có thể lan truyền thông qua nhiều phương tiện khác nhau như sử dụng email phishing, website độc hại, và lợi dụng các lỗ hổng phần mềm để tấn công. Nếu mã độc xâm nhập vào hệ thống, nó sẽ mã hóa tệp hoặc toàn bộ hệ thống, khiến nạn nhân bị hạn chế hoặc hoàn toàn không thể truy cập dữ liệu của họ. Sau đó, kẻ tấn công yêu cầu thanh toán với lời đe dọa xóa vĩnh viễn các tệp hoặc tăng tiền chuộc nếu thanh toán không được thực hiện trong một khoảng thời gian xác định.


Một trường hợp tấn công ransomware thực tế đã xảy ra ở Việt Nam

Trước đó, có một khách hàng ở Việt Nam đã chuyển đổi (migrate) hệ thống ERP cũ, đã hoạt động trong 10 năm, sang môi trường đám mây (Cloud). Server máy chủ của khách hàng đặt tại nhà máy tại Thái Lan, và khi công ty ở Việt Nam mua lại nhà máy Thái Lan, đã tiến hành việc di chuyển cơ sở dữ liệu ERP lên đám mây. 
Trong quá trình này, khi quản trị viên di chuyển cơ sở dữ liệu 10 năm tuổi (MySQL) có dung lượng 20TB sang Việt Nam, họ đã vô tình để lộ máy chủ DB lên mạng internet. Chỉ sau 2 ngày, quản trị viên nhận được email như sau:




"Để khôi phục cơ sở dữ liệu bị mất của bạn, hãy chuyển 0.02 BTC Bitcoin đến địa chỉ bên dưới. 

………………..  Sau đó, hãy gửi cho chúng tôi địa chỉ IP hoặc tên miền của máy chủ của bạn cùng với ID thanh toán qua email.

Chúng tôi hiện đang giữ bản sao lưu của cơ sở dữ liệu như sau. Nếu email được gửi đến mà không có IP của máy chủ tương ứng, địa chỉ tên miền khác, thông tin thanh toán khác, sẽ bị bỏ qua. Nếu chúng tôi không nhận được tiền thanh toán trong vòng 10 ngày, tất cả dữ liệu rò rỉ của bạn sẽ bị xóa.


Tính đến tháng 12 năm 2023, 1 Bitcoin tương đương khoảng 30 triệu won. 0.02 Bitcoin tương đương khoảng 600,000 won.

Đó không phải là số tiền quá lớn, nhưng sau khi gửi số tiền này, họ sẽ chỉ cung cấp cho bạn một phần dữ liệu của Database và yêu cầu thanh toán thêm cho phần còn lại. Ban đầu, họ có thể đưa ra một mức giá thấp cho dữ liệu không quan trọng và nhận thanh toán, sau đó sẽ yêu cầu giá cao hơn cho dữ liệu quan trọng hơn về sau. Và hầu hết các doanh nghiệp vừa và nhỏ có thể không có tài khoản Bitcoin hoặc không biết cách thực hiện các giao dịch như vậy. Nếu tiếp tục chuyển cho họ như vậy, số tiền sẽ tăng lên 10 triệu won, 100 triệu won. 

Chúng ta bị hacking như thế nào?

Để xác nhận xem hệ thống của chúng ta đã bị hack hay không, trước tiên chúng ta cần kiểm tra các nhật ký (logs). Trong số đó, hãy tìm địa chỉ IP kết nối với máy chủ DB và kiểm tra đại khái là quốc gia, khu vực nào. 

Đặc biệt, nếu IP của máy chủ DB là IP công cộng hoặc bị lộ ra bên ngoài, hacker có thể dễ dàng xác định thông tin IP và Port. (Vì có các trang web cung cấp thông tin này). 

Và các hacker ransomware thường để lại các yêu cầu của họ ở những nơi mà các quản trị viên hệ thống có thể dễ dàng tìm thấy. Dưới đây là thông tin về số lượng Bitcoin mong muốn, địa chỉ Bitcoin và địa chỉ email tạm thời của hacker được ghi trong bảng MySQL một cách tinh tế như sau. 


Ví dụ về các cuộc tấn công Ransomware chuyên dụng (MySQL table) Nguồn: tìm kiếm của Google

Máy chủ DB thông thường có thể dễ dàng bị tấn công trong các trường hợp sau. 

  • Cho phép truy cập từ xa vào máy chủ DB từ bên ngoài 
  • Sử dụng giá trị mặc định của MySQL (tên người dùng và số port)
  • Sử dụng mật khẩu dễ dàng (12345678, pass1234, v.v.)
  • Sự nhiễm virus thông qua các tài khoản đáng ngờ không được sử dụng
  • Bỏ qua tự động cập nhật, vá lỗi (patch), v.v... trong một thời gian dài

Ngăn chặn Ransomware

Cần có nỗ lực của người dùng để ngăn chặn việc hack máy chủ DB. Dù cho khả năng bảo mật của AWS Cloud có tốt đến đâu, người dùng vẫn cần tuân thủ các hướng dẫn cơ bản sau. 

Những nguyên tắc phòng ngừa ransomware được khuyến nghị bởi Bộ Khoa học và Công nghệ Thông tin cùng Cơ quan An toàn thông tin và Internet Hàn Quốc (KISA) như sau. 

  • Áp dụng kiến trúc 3 tầng WEB-Application-DB
  • Cấm sử dụng IP, Port truy cập bên ngoài DB (tránh sử dụng các số cổng mặc định (default port) cho các dịch vụ quan trọng).
  • Khi truy cập từ bên ngoài, hạn chế truy cập thông qua SSH và hạn chế tài khoản truy cập.
  • Sao lưu định kỳ (back up) 
  • Thay đổi mật khẩu định kỳ
  • Mã hóa theo từng bảng trong cơ sở dữ liệu (DB table)
  • Tránh sử dụng số port mặc định

Tuy nhiên, trên hết, điều quan trọng nhất trong quản lý bảo mật là sự phòng ngừa và việc sao lưu. 

Tech Valley Cyber Security Solutions có công nghệ và nhân lực chuyên biệt cho nhiều giải pháp đám mây khác nhau như: chẩn đoán bảo mật doanh nghiệp, cơ sở dữ liệu và mã hóa dữ liệu cũng như phát hiện xâm nhập,v.v... thông qua quan hệ đối tác với nhiều giải pháp quản lý bảo mật khác nhau ở Việt Nam và Hàn Quốc cũng như quan hệ đối tác với các giải pháp và công nghệ của bên thứ ba.



 

Vietnam IT Blogger | Tech Valley CEO Doyeon (Patrick) Kim

go2hanoi (KakaoTalk),  patrick@techvalley.biz

** The copyright for this post is owned by Patrick Kim. This content is intended for publication, and individuals seeking to quote or reproduce it must obtain prior permission.

 Feb. 21,2024・Translated and Published by Uptempo Global 

Labels:
Location: 베트남 Hanoi, 하노이

Comments

Post a Comment

Popular posts from this blog

“When Will an AWS Data Center Arrive in Vietnam?”

 Amazon Web Service (AWS), the leader in Vietnam’s cloud market, has been closely working with the Vietnamese government to encourage major corporations to adopt AWS global clouds.  Nevertheless, AWS, as well as international cloud platforms like GCP (Google Cloud Platform), Microsoft Azure, and Alibaba still have their servers located abroad, failing to meet government regulations (drafted amendment to Decree 72 of the Law on Cybersecurity) regarding domestic data storage.  Even though other key foreign cloud companies criticize Vietnam’s banning of international data transfer, AWS says it’s willing to comply with government regulations on the cloud business in all countries in order to protect customers’ data. (AWS Singapore Priya Lakshmi) However, for a CSP (Cloud Service Provider) to construct a data center, they need to invest billions of dollars and obtain government permission, licenses, and so forth by working with interested parties.  There are also many oth...
Post a Comment
Read more

[NGÀNH CÔNG NGHIỆP GAME VIỆT NAM] Khát khao tài năng và đào tạo nhân tài tại các trường đại học

TIỀM NĂNG VÀ THÁCH THỨC CỦA NGÀNH CÔNG NGHIỆP GAME VIỆT NAM Theo báo cáo của Statista, năm 2024 ngành công nghiệp Game Việt Nam tạo ra tổng doanh thu khoảng 450 triệu USD. Con số này ​​sẽ tiếp tục tăng trưởng với tốc độ hàng năm là 8,6% và đạt 580 triệu USD vào năm 2027. Dự kiến doanh thu của thị trường Game Việt Nam 2018-2027 (Nguồn:  Statista ) Bằng chứng là, tại sự kiện Think Apps 2023 do Google tổ chức vào cuối tháng 7 năm 2023 tại thành phố Hồ Chí Minh, đại diện Google đã trích dẫn dữ liệu từ báo cáo của DataAI và AppMagic cho thấy Việt Nam đã thăng hạng lên vị trí nổi bật trong số 15 quốc gia hàng đầu trong ngành Game. Số lượng tải xuống là 5 tỷ lần. Đặc biệt, cứ 25 trò chơi được giới thiệu trên App Store thì có 1 trò chơi được tạo ra tại Việt Nam.  Ms. Phuong - Sinh viên năm 1 tại khoa lập trình Đại học RMIT  Tuy nhiên, mặc dù ngành công nghiệp Game Việt Nam đang phát triển một cách nhanh chóng nhưng vẫn chưa chiếm được vị trí lớn trên bản đồ Game thế giới. Có rất ...
Post a Comment
Read more

[The Game Industry in Vietnam] The Thirst for Creativity, and Universities Fostering Talent

 The Bright and Dark Sides of Vietnam’s Game Industry According to a report published by Statista, the game industry in Vietnam is anticipated to generate a total revenue of 450 million dollars in 2024, with an expected annual growth rate of 8.6% by 2027. In that year, the revenue is projected to reach 580 million dollars. Estimated revenues of Vietnam’s game market from 2018 to 2027 (Source: Statista ) As if to underscore this, during the Think Apps 2023 event held by Google in Ho Chi Minh City at the end of July 2023, the presenter from Google highlighted Vietnam’s rise to a significant position among the top 15 countries by referring to data published by DataAI and AppMagic. The number of downloads has reached 5 billion, and, furthermore, one in every 25 games featured on the App Store is made in Vietnam.  Ms. Phuong, currently a freshman in the Game Design program at RMIT  Despite the rapid growth of its gaming industry, Vietnam has not yet secured a prominent positio...
1 comment
Read more