Tấn công bằng mã độc tinh vi: Cảnh báo đỏ cho ngân hàng, doanh nghiệp lớn Việt Nam

Đích ngắm tội phạm mạng

Từ đầu tháng 11/2023 đến nay, hàng loạt vụ tấn công của hacker vào các tập đoàn, ngân hàng lớn trên toàn thế giới gây chấn động. Mới nhất, Ngân hàng Công thương Trung Quốc (ICBC), sau khi nhóm hacker có tên Lockbit tấn công ransomware (mã độc) vào chi nhánh tại Mỹ vào ngày 9/11, đã trả tiền chuộc cho hacker. Lockbit đã tấn công một số tổ chức lớn nhất thế giới trong những tháng gần đây, đánh cắp và gây rò rỉ dữ liệu trong trường hợp nạn nhân từ chối trả tiền chuộc.

Trước đó 2 tuần, cũng nhóm tội phạm này tấn công Tập đoàn Boeing, đánh cắp "một lượng lớn" dữ liệu nhạy cảm từ nhà sản xuất máy bay Mỹ và tuyên bố sẽ tung lên mạng Internet nếu Boeing không trả tiền chuộc

Theo Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA), Lockbit tấn công 1.700 tổ chức của Mỹ trong 3 năm qua. Thủ thuật quen thuộc của nhóm là tìm cách lây nhiễm mã độc vào hệ thống của các tổ chức nạn nhân nhằm khóa dữ liệu, hoặc đánh cắp dữ liệu, sau đó tống tiền.

Trước đó, vào cuối tháng 10/2023, một nhóm hacker chưa rõ danh tính đã xâm nhập và mã hóa thành công máy chủ của SouthWestphalia - IT (Đức). Để ngăn chặn sự lây lan của mã độc, SouthWestphalia-IT đã buộc phải giới hạn khả năng truy cập vào hạ tầng thông tin của mình ở hơn 70 địa phương, chủ yếu nằm ở khu vực Bắc Rhine-Westphalia, khiến cho các dịch vụ công của chính quyền bị gián đoạn nghiêm trọng.

Ở châu Mỹ - Latin, Tập đoàn Grupo GTD, nhà cung cấp dịch vụ cho khách hàng khắp châu Mỹ - Latinh, vừa phải hứng chịu một cuộc tấn công bằng mã độc quy mô rất lớn làm gián đoạn nghiêm trọng hoạt động viễn thông tại Mỹ - Latin.

Điểm chung của các cuộc tấn công nói trên là, hacker sử dụng mã độc xâm nhập vào hệ thống nhằm đánh cắp dữ liệu, khiến hệ thống ngừng hoạt động và sau đó yêu cầu nạn nhân trả tiền chuộc.

Hàng loạt mã độc đột kích tại Việt Nam

Tại Việt Nam, từ đầu năm 2023 đến nay, thủ đoạn dùng mã độc nhằm đánh cắp thông tin, dữ liệu, chiếm đoạt tài khoản ngân hàng ngày càng tinh vi. Mới đây nhất, Group-IB đã phát hiện ra một Trojan Android mới và đặt tên là “GoldDigger”, chúng nhắm mục tiêu cụ thể đến người dùng của hơn 50 ứng dụng ngân hàng và ví tiền điện tử của Việt Nam, với mục đích đánh cắp thông tin cá nhân của họ.

Trojan này hoạt động trên hệ điều hành Android và được phát hiện lần đầu tiên vào tháng 6/2023. Group-IB đã xác định được hơn 10 trang web giả mạo cửa hàng ứng dụng Google Play và trang web giả mạo của Công ty. GoldDigger mạo danh Cổng thông tin Chính phủ Việt Nam và một công ty năng lượng, lạm dụng dịch vụ trợ năng của Android để trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ứng dụng ngân hàng, chặn tin nhắn SMS và thực hiện nhiều hành động khác nhau của người dùng.

“Hiện nay, số lượng thiết bị bị nhiễm và số lượng bị đánh cắp vẫn chưa được xác định. Chúng tôi nhận thấy, hiện GoldDigger chủ yếu tập trung vào các mục tiêu ở Việt Nam”, nhóm nghiên cứu tại Group-IB cho biết.

Công ty CP Công nghệ An ninh mạng Quốc gia (NCS) cũng vừa phát hiện mã độc mới có tên “SecuriDropper” có khả năng qua mặt tính năng cài đặt hạn chế (Restricted Settings) trên điện thoại Android, chiếm quyền điều khiển thiết bị, tài khoản ngân hàng… Trong khi đó, Công ty An ninh mạng Bkav cũng cho biết, quý III/2023, biến thể mới của nhiều dòng vi rút đánh cắp dữ liệu nổi tiếng như RedLine, Erbium... có xu hướng sử dụng các kỹ thuật qua mặt phần mềm diệt vi rút (AV) bằng cách giả mạo chữ ký số và lợi dụng tiến trình chuẩn trên máy tính trong các chiến dịch tấn công mới. Việt Nam nằm trong số những quốc gia là đích nhắm tấn công bởi vi rút Erbium cùng với Mỹ, Pháp, Colombia, Tây Ban Nha... Erbium là phần mềm độc hại đánh cắp thông tin, được phát tán dưới dạng cài cắm trong các sản phẩm crack/cheat game để lấy cắp thông tin đăng nhập, thông tin ví tiền điện tử của nạn nhân.

Theo thống kê, chỉ riêng trong tháng 10/2023, Cục An toàn thông tin đã ghi nhận, cảnh báo và hướng dẫn xử lý 1.010 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 17,9% so với cùng kỳ năm 2022.

Ứng phó với thủ đoạn tinh vi

Các cuộc tấn công bằng mã độc đòi tiền chuộc đã và đang gây ra tổn thất tài chính lớn cho các doanh nghiệp, ngân hàng, tổ chức. Doanh nghiệp bị tấn công mà không xử lý kịp thời và triệt để có thể dẫn đến những thiệt hại vô cùng nặng nề, kéo theo nhiều hệ quả như đình trệ hoạt động, sụt giảm kinh doanh, đánh mất hình ảnh và lòng tin của khách hàng… Đặc biệt nguy hiểm hơn là số lượng các mã độc với cách thức tấn công ngày càng tinh vi, khó phòng chống.

Ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty NCS nhận định: “Các vụ việc tấn công mã độc đòi tiền chuộc sẽ tiếp tục diễn ra trong thời gian tới. Vì thế, người dùng cần trang bị các giải pháp sao lưu dữ liệu an toàn, sử dụng các phần mềm an ninh mạng có khả năng chống mã hóa dữ liệu để bảo vệ cho máy tính, máy chủ”.

Ông Đinh Văn Kiệt, Giám đốc Trung tâm Sản phẩm thế hệ mới (Công ty An ninh mạng Viettel) cho rằng, các tổ chức, doanh nghiệp khối tài chính, ngân hàng cần có biện pháp bảo vệ thông tin, dữ liệu trước hết trong chính nội bộ của mình, để giảm thiểu sự tấn công, đánh cắp dữ liệu đến từ những nguy cơ, rủi ro bên trong. Trước hết, doanh nghiệp cần phân loại nhóm đối tượng chính trong tổ chức có thể đe dọa cho dữ liệu của đơn vị để có biện pháp quản trị phù hợp. Chẳng hạn, đánh giá, phân loại dữ liệu theo 3 loại: mật, nội bộ và công khai, từ đó đưa ra chính sách, trang bị giải pháp bảo vệ tương ứng.

Còn theo ông Nguyễn Gia Đức, Giám đốc quốc gia Fortinet Việt Nam, doanh nghiệp phải luôn đề cao cảnh giác, trang bị chiến lược bài bản để tự bảo vệ và chống lại tấn công ransomware. Đặc biệt, một chiến lược tổng thể, toàn diện về an toàn thông tin, kết hợp việc triển khai các công nghệ tiên tiến, cùng với việc đào tạo là yêu cầu thiết yếu đối với mỗi doanh nghiệp.

Tú Ân