Skip to main content

How to protect your corporate network from ransomware (VI)


Sự xuất hiện bất ngờ của ransomware (mã độc) và việc hack dữ liệu người dùng

Ransomware là một loại phần mềm độc hại mà hacker sử dụng để mã hóa hệ thống hoặc dữ liệu của nạn nhân, khiến cho chúng không thể sử dụng được, sau đó đe dọa, tống tiền họ.

Trong bộ phim truyền hình nổi tiếng “Startup” của đài TVN, công ty khởi nghiệp của nhân vật chính đã bị nhiễm ransomware và hacker đe dọa sẽ phá hủy tất cả khóa giải mã các tệp đã bị mã hóa, nếu không chuyển khoản 300 triệu won cho họ trong vòng 12 giờ. 


Phân cảnh bị nhiễm ransomware trong phim Startup (tvN)

Hacker đã xâm nhập vào hệ thống thông qua một lỗ hổng khi một lập trình viên fresher tự ý mở cổng 20 nhằm kết nối qua SSH (Secure Shell) đến máy chủ từ xa để làm việc tại nhà. Với việc sản phẩm vẫn đang trong giai đoạn thử nghiệm beta, nên không có bản sao lưu nào được thực hiện trước đó. 
Tất nhiên, khi nhân vật chính xuất hiện, anh ta đã tìm kiếm thư viện Task Scheduler để phát hiện dấu vết của các tập tin lạ đang được thực thi, tìm ra khóa giải mã để khôi phục dữ liệu, từ đó hoàn tất quá trình xử lý nhiễm ransomware. 
Đó là câu chuyện được xem thoáng qua trên TV, nhưng các sự cố về bảo mật dữ liệu như nhiễm ransomware, spyware, phishing và việc cài đặt mã độc làm mất dữ liệu của khách hàng diễn ra rất thường xuyên xung quanh chúng ta. 

Ransomware là?

Ransomware là một loại phần mềm độc hại (malware) được thiết kế để chặn quyền truy cập vào hệ thống máy tính hoặc các tệp tin cho đến khi một số tiền nhất định hoặc tiền chuộc được chi trả. Hình thức tấn công mạng này mã hóa dữ liệu của nạn nhân, làm cho người bị hại không thể truy cập được, kẻ tấn công thường yêu cầu thanh toán bằng tiền điện tử để cung cấp khóa giải mã hoặc mở khóa hệ thống. Theo IBM Security X-Force Threat Intelligence Index 2023, các cuộc tấn công Ransomware chiếm 17% tổng các cuộc tấn công mạng vào năm 2022.

Ransomware có thể lan truyền thông qua nhiều phương tiện khác nhau như sử dụng email phishing, website độc hại, và lợi dụng các lỗ hổng phần mềm để tấn công. Nếu mã độc xâm nhập vào hệ thống, nó sẽ mã hóa tệp hoặc toàn bộ hệ thống, khiến nạn nhân bị hạn chế hoặc hoàn toàn không thể truy cập dữ liệu của họ. Sau đó, kẻ tấn công yêu cầu thanh toán với lời đe dọa xóa vĩnh viễn các tệp hoặc tăng tiền chuộc nếu thanh toán không được thực hiện trong một khoảng thời gian xác định.


Một trường hợp tấn công ransomware thực tế đã xảy ra ở Việt Nam

Trước đó, có một khách hàng ở Việt Nam đã chuyển đổi (migrate) hệ thống ERP cũ, đã hoạt động trong 10 năm, sang môi trường đám mây (Cloud). Server máy chủ của khách hàng đặt tại nhà máy tại Thái Lan, và khi công ty ở Việt Nam mua lại nhà máy Thái Lan, đã tiến hành việc di chuyển cơ sở dữ liệu ERP lên đám mây. 
Trong quá trình này, khi quản trị viên di chuyển cơ sở dữ liệu 10 năm tuổi (MySQL) có dung lượng 20TB sang Việt Nam, họ đã vô tình để lộ máy chủ DB lên mạng internet. Chỉ sau 2 ngày, quản trị viên nhận được email như sau:




"Để khôi phục cơ sở dữ liệu bị mất của bạn, hãy chuyển 0.02 BTC Bitcoin đến địa chỉ bên dưới. 

………………..  Sau đó, hãy gửi cho chúng tôi địa chỉ IP hoặc tên miền của máy chủ của bạn cùng với ID thanh toán qua email.

Chúng tôi hiện đang giữ bản sao lưu của cơ sở dữ liệu như sau. Nếu email được gửi đến mà không có IP của máy chủ tương ứng, địa chỉ tên miền khác, thông tin thanh toán khác, sẽ bị bỏ qua. Nếu chúng tôi không nhận được tiền thanh toán trong vòng 10 ngày, tất cả dữ liệu rò rỉ của bạn sẽ bị xóa.


Tính đến tháng 12 năm 2023, 1 Bitcoin tương đương khoảng 30 triệu won. 0.02 Bitcoin tương đương khoảng 600,000 won.

Đó không phải là số tiền quá lớn, nhưng sau khi gửi số tiền này, họ sẽ chỉ cung cấp cho bạn một phần dữ liệu của Database và yêu cầu thanh toán thêm cho phần còn lại. Ban đầu, họ có thể đưa ra một mức giá thấp cho dữ liệu không quan trọng và nhận thanh toán, sau đó sẽ yêu cầu giá cao hơn cho dữ liệu quan trọng hơn về sau. Và hầu hết các doanh nghiệp vừa và nhỏ có thể không có tài khoản Bitcoin hoặc không biết cách thực hiện các giao dịch như vậy. Nếu tiếp tục chuyển cho họ như vậy, số tiền sẽ tăng lên 10 triệu won, 100 triệu won. 

Chúng ta bị hacking như thế nào?

Để xác nhận xem hệ thống của chúng ta đã bị hack hay không, trước tiên chúng ta cần kiểm tra các nhật ký (logs). Trong số đó, hãy tìm địa chỉ IP kết nối với máy chủ DB và kiểm tra đại khái là quốc gia, khu vực nào. 

Đặc biệt, nếu IP của máy chủ DB là IP công cộng hoặc bị lộ ra bên ngoài, hacker có thể dễ dàng xác định thông tin IP và Port. (Vì có các trang web cung cấp thông tin này). 

Và các hacker ransomware thường để lại các yêu cầu của họ ở những nơi mà các quản trị viên hệ thống có thể dễ dàng tìm thấy. Dưới đây là thông tin về số lượng Bitcoin mong muốn, địa chỉ Bitcoin và địa chỉ email tạm thời của hacker được ghi trong bảng MySQL một cách tinh tế như sau. 


Ví dụ về các cuộc tấn công Ransomware chuyên dụng (MySQL table) Nguồn: tìm kiếm của Google

Máy chủ DB thông thường có thể dễ dàng bị tấn công trong các trường hợp sau. 

  • Cho phép truy cập từ xa vào máy chủ DB từ bên ngoài 
  • Sử dụng giá trị mặc định của MySQL (tên người dùng và số port)
  • Sử dụng mật khẩu dễ dàng (12345678, pass1234, v.v.)
  • Sự nhiễm virus thông qua các tài khoản đáng ngờ không được sử dụng
  • Bỏ qua tự động cập nhật, vá lỗi (patch), v.v... trong một thời gian dài

Ngăn chặn Ransomware

Cần có nỗ lực của người dùng để ngăn chặn việc hack máy chủ DB. Dù cho khả năng bảo mật của AWS Cloud có tốt đến đâu, người dùng vẫn cần tuân thủ các hướng dẫn cơ bản sau. 

Những nguyên tắc phòng ngừa ransomware được khuyến nghị bởi Bộ Khoa học và Công nghệ Thông tin cùng Cơ quan An toàn thông tin và Internet Hàn Quốc (KISA) như sau. 

  • Áp dụng kiến trúc 3 tầng WEB-Application-DB
  • Cấm sử dụng IP, Port truy cập bên ngoài DB (tránh sử dụng các số cổng mặc định (default port) cho các dịch vụ quan trọng).
  • Khi truy cập từ bên ngoài, hạn chế truy cập thông qua SSH và hạn chế tài khoản truy cập.
  • Sao lưu định kỳ (back up) 
  • Thay đổi mật khẩu định kỳ
  • Mã hóa theo từng bảng trong cơ sở dữ liệu (DB table)
  • Tránh sử dụng số port mặc định

Tuy nhiên, trên hết, điều quan trọng nhất trong quản lý bảo mật là sự phòng ngừa và việc sao lưu. 

Tech Valley Cyber Security Solutions có công nghệ và nhân lực chuyên biệt cho nhiều giải pháp đám mây khác nhau như: chẩn đoán bảo mật doanh nghiệp, cơ sở dữ liệu và mã hóa dữ liệu cũng như phát hiện xâm nhập,v.v... thông qua quan hệ đối tác với nhiều giải pháp quản lý bảo mật khác nhau ở Việt Nam và Hàn Quốc cũng như quan hệ đối tác với các giải pháp và công nghệ của bên thứ ba.



 

Vietnam IT Blogger | Tech Valley CEO Doyeon (Patrick) Kim

go2hanoi (KakaoTalk),  patrick@techvalley.biz

** The copyright for this post is owned by Patrick Kim. This content is intended for publication, and individuals seeking to quote or reproduce it must obtain prior permission.

 Feb. 21,2024・Translated and Published by Uptempo Global 

Labels:
Location: 베트남 Hanoi, 하노이

Comments

Post a Comment

Popular posts from this blog

Make in Vietnam - Phần 1: Thực trạng ngành IT Outsourcing tại Việt Nam

Khi có dịp đi công tác Hà Nội lần đầu vào năm 2013, được gặp gỡ các công ty về lĩnh vực CNTT, Telco, đài truyền hình Việt Nam, hầu hết những người Việt Nam tôi quen đều nói rằng: “Phần mềm ở Việt Nam đều miễn phí, nên hãy cân nhắc đến việc đầu tư vào lĩnh vực này. Khi số lượng người đăng ký tăng lên và doanh số bán bản quyền cũng tăng, sẽ đến thời điểm có thể chuyển sang mô hình trả phí, vì vậy hãy kiên nhẫn và chúng ta sẽ tiến xa cùng nhau." Thật là một lời nói khá mơ hồ. Tại Việt Nam, mô hình Revenue Share (Chia sẻ doanh thu) rất được ưa chuộng. Hãy cùng nhau chia sẻ doanh thu. Ở Việt Nam, ngành công nghiệp phần mềm còn một chặng đường dài trong vấn đề trả phí mua hoặc phí sử dụng sản phẩm, vì người dùng có thói quen mượn tạm sử dụng các ứng dụng phần mềm, khi hết thời gian được dùng miễn phí, họ xóa ứng dụng, cài đặt và tạo lại tài khoản để sử dụng tiếp. Lúc đó, điều này làm tôi hoài nghi về việc liệu ngành công nghiệp phần mềm ở Việt Nam có thể phát triển trong bối cảnh nhận t
Post a Comment
Read more

“When Will an AWS Data Center Arrive in Vietnam?”

 Amazon Web Service (AWS), the leader in Vietnam’s cloud market, has been closely working with the Vietnamese government to encourage major corporations to adopt AWS global clouds.  Nevertheless, AWS, as well as international cloud platforms like GCP (Google Cloud Platform), Microsoft Azure, and Alibaba still have their servers located abroad, failing to meet government regulations (drafted amendment to Decree 72 of the Law on Cybersecurity) regarding domestic data storage.  Even though other key foreign cloud companies criticize Vietnam’s banning of international data transfer, AWS says it’s willing to comply with government regulations on the cloud business in all countries in order to protect customers’ data. (AWS Singapore Priya Lakshmi) However, for a CSP (Cloud Service Provider) to construct a data center, they need to invest billions of dollars and obtain government permission, licenses, and so forth by working with interested parties.  There are also many other issues, includin
Post a Comment
Read more

Make in Vietnam 1 - The Current State of Outsourcing in Vietnam

In 2013, when I took my first business trip to Hanoi to meet people from various local IT, telecommunications, and broadcasting companies, most of my friends living there said, "As people here expect software to be free, you should think of it as an investment at first. Let’s patiently wait for the number of users and license sales to grow so we can make it a paid service." What a vague thing to say. The overwhelmingly dominant business model in Vietnam is revenue sharing (RS), which literally means sharing profits. This is a country where people use software designed by someone else until the free license expires and make a new account to use it again, so the idea of charging software users seems quite distant, which once made me wonder whether Vietnam’s software industry could grow at all.  However, since 2016, the country’s IT industry has seen tremendous changes and development. With Samsung starting full-scale production of its mobile phones in Vietnam, Android developer
Post a Comment
Read more