Trace Id is missing
Bỏ qua để tới nội dung chính
Microsoft Security

Mã độc tống tiền là gì?

Tìm hiểu thêm về mã độc tống tiền, cách thức hoạt động và cách bạn có thể bảo vệ bản thân cũng như doanh nghiệp của mình khỏi loại hình tấn công qua mạng này.

Định nghĩa về mã độc tống tiền

Mã độc tống tiền là một loại phần mềm gây hại hoặc phần mềm xấu, đe dọa nạn nhân bằng cách phá hủy hoặc chặn quyền truy nhập vào dữ liệu hoặc hệ thống quan trọng cho đến khi khoản tiền chuộc được thanh toán. Trước đây, hầu hết mã độc tống tiền đều nhắm vào các cá nhân, nhưng gần đây, mã độc tống tiền do con người điều khiển lại nhắm vào các tổ chức và trở thành mối đe dọa lớn hơn, khó ngăn chặn và đảo ngược hơn. Với mã độc tống tiền do con người điều khiển, nhóm tấn công sử dụng thông tin thu thập được để có được quyền truy nhập vào mạng doanh nghiệp của tổ chức. Một số cuộc tấn công thuộc loại này tinh vi đến mức những kẻ tấn công sử dụng tài liệu tài chính nội bộ mà chúng thu thập được để đặt ra số tiền chuộc.

Tin tức liên quan đến các cuộc tấn công bằng mã độc tống tiền

Đáng buồn là mối đe dọa về mã độc tống tiền hiện đang xuất hiện rất phổ biến trong tin tức. Những cuộc tấn công bằng mã độc tống tiền thu hút nhiều sự quan tâm gần đây đã ảnh hưởng đến các nhà cung cấp hạ tầng, dịch vụ chăm sóc sức khỏe và dịch vụ CNTT quan trọng. Các cuộc tấn công này càng có phạm vi rộng thì ảnh hưởng của chúng càng trở nên khó dự đoán hơn. Dưới đây là thông tin về một số cuộc tấn công bằng mã độc tống tiền và mức độ ảnh hưởng của chúng đối với các tổ chức:

  • Vào Tháng Ba 2022, hệ thống bưu điện của Hy Lạp đã trở thành nạn nhân của mã độc tống tiền. Cuộc tấn công đã tạm thời làm gián đoạn việc gửi thư và làm ảnh hưởng đến việc xử lý giao dịch tài chính.
  • Một trong những hãng hàng không lớn nhất Ấn Độ đã gặp phải cuộc tấn công bằng mã độc tống tiền vào Tháng Năm 2022. Sự cố này đã dẫn đến việc hoãn và hủy chuyến bay, cũng như khiến hàng trăm hành khách bị mắc kẹt.
  • Một công ty lớn trong lĩnh vực Nhân sự đã bị mã độc tống tiền tấn công vào Tháng Mười Hai 2021, dẫn đến hệ thống quản lý bảng lương và ngày nghỉ cho các khách hàng sử dụng dịch vụ đám mây của công ty đó bị ảnh hưởng.
  • Vào Tháng Năm 2021, một đường ống dẫn nhiên liệu của Hoa Kỳ đã đóng cửa các dịch vụ để ngăn chặn các hành vi vi phạm tiếp theo sau khi một cuộc tấn công bằng mã độc tống tiền xâm phạm thông tin cá nhân của hàng nghìn nhân viên. Các ảnh hưởng đã khiến giá khí đốt tăng mạnh trên toàn bộ khu vực bờ đông.
  • Một công ty phân phối hóa chất của Đức đã bị mã độc tống tiền tấn công vào Tháng Tư 2021. Cuộc tấn công này đã lấy cắp hơn 6.000 thông tin về ngày sinh, số An sinh xã hội và số giấy phép lái xe, cũng như một số dữ liệu y tế.
  •  Nhà cung cấp thịt lớn nhất thế giới đã trở thành mục tiêu của cuộc tấn công bằng mã độc tống tiền vào Tháng Năm 2021. Sau khi tạm thời đưa website về trạng thái ngoại tuyến và tạm dừng sản xuất, cuối cùng thì công ty đã trả tiền chuộc 11 triệu USD bằng Bitcoin.

Mã độc tống tiền hoạt động như thế nào?

Các cuộc tấn công bằng mã độc tống tiền hoạt động dựa trên việc nắm quyền kiểm soát dữ liệu hoặc thiết bị của cá nhân hoặc tổ chức như một phương thức đòi tiền chuộc. Trong những năm trước, các cuộc tấn công lừa đảo phi kỹ thuật là công cụ phổ biến nhất, nhưng gần đây, mã độc tống tiền do con người điều khiển đã trở nên phổ biến trong giới phạm tội nhờ tiềm năng kiếm tiền rất lớn.

Mã độc tống tiền lừa đảo phi kỹ thuật 
Những cuộc tấn công này sử dụng hình thức lừa đảo qua mạng – trong đó kẻ tấn công giả mạo công ty hoặc website hợp pháp để lừa nạn nhân bấm vào liên kết hoặc mở tệp đính kèm email sẽ cài đặt mã độc tống tiền vào thiết bị của họ. Các cuộc tấn công thường đi cùng thông báo gây hoang mang, thúc đẩy nạn nhân hành động do sợ hãi. Ví dụ: Kẻ phạm tội trên mạng có thể đóng giả là một ngân hàng nổi tiếng và gửi email thông báo rằng tài khoản của người nhận đã bị đóng băng do hoạt động đáng ngờ, thúc giục họ bấm vào liên kết trong email để giải quyết sự cố. Sau khi họ bấm vào liên kết, mã độc tống tiền sẽ được cài đặt.

Mã độc tống tiền do con người điều khiển
Mã độc tống tiền do con người điều khiển thường bắt đầu thông qua thông tin xác thực tài khoản bị đánh cắp. Sau khi những kẻ tấn công đã có được quyền truy nhập vào mạng của tổ chức theo cách này, chúng sẽ sử dụng tài khoản bị đánh cắp để xác định thông tin xác thực của các tài khoản có phạm vi truy nhập rộng hơn và tìm kiếm dữ liệu cũng như các hệ thống quan trọng với doanh nghiệp có tiềm năng thu lợi tài chính cao. Sau đó, chúng cài đặt mã độc tống tiền trên những dữ liệu nhạy cảm hoặc các hệ thống quan trọng với doanh nghiệp này, chẳng hạn như bằng cách mã hóa các tệp nhạy cảm để tổ chức không thể truy nhập cho đến khi trả tiền chuộc. Kẻ phạm tội trên mạng thường yêu cầu thanh toán bằng tiền điện tử vì muốn ẩn danh.

Những kẻ tấn công này nhắm vào các tổ chức lớn, có thể trả tiền chuộc cao hơn mức tiền chuộc của cá nhân thông thường. Số tiền này đôi khi lên đến hàng triệu USD. Do vi phạm ở quy mô này gây ra mức độ rủi ro cao nên nhiều tổ chức chọn thanh toán tiền chuộc thay vì để dữ liệu nhạy cảm của mình bị rò rỉ hoặc để xảy ra nguy cơ bị kẻ phạm tội trên mạng tiếp tục tấn công, ngay cả khi việc thanh toán chưa chắc đã đảm bảo ngăn chặn bất kỳ hậu quả nào trong số này.

Khi các cuộc tấn công bằng mã độc tống tiền do con người điều khiển ngày càng phát triển, kẻ phạm tội đằng sau các cuộc tấn công sẽ trở nên có tổ chức hơn. Trên thực tế, nhiều hoạt động mã độc tống tiền hiện sử dụng mô hình Mã độc tống tiền dưới dạng dịch vụ, nghĩa là một nhóm các nhà phát triển tội phạm tự tạo mã độc tống tiền, rồi thuê các bên liên kết phạm tội trên mạng khác tấn công mạng của tổ chức và cài đặt mã độc tống tiền, phân chia lợi nhuận giữa hai nhóm theo tỷ lệ được thỏa thuận.

Các loại hình tấn công bằng mã độc tống tiền khác nhau

Mã độc tống tiền có hai dạng chính: mã độc tống tiền mã hóa và mã độc tống tiền khóa thiết bị.

Mã độc tống tiền mã hóa
Khi một cá nhân hoặc tổ chức trở thành nạn nhân của cuộc tấn công bằng mã độc tống tiền mã hóa, kẻ tấn công sẽ mã hóa dữ liệu hoặc tệp nhạy cảm của nạn nhân để nạn nhân không thể truy nhập, trừ phi trả tiền chuộc theo yêu cầu. Trên lý thuyết, sau khi thanh toán, nạn nhân sẽ nhận được một khóa mật mã hóa để có được quyền truy nhập vào các tệp hoặc dữ liệu. Tuy nhiên, ngay cả khi nạn nhân trả tiền chuộc, vẫn không có gì đảm bảo rằng kẻ phạm tội trên mạng sẽ gửi khóa mật mã hóa hoặc từ bỏ quyền kiểm soát. Doxware là một dạng mã độc tống tiền mã hóa thực hiện mã hóa và đe dọa tiết lộ công khai thông tin cá nhân của nạn nhân, thường với mục đích làm nhục hoặc bôi xấu để họ phải trả tiền chuộc.

Mã độc tống tiền khóa thiết bị
Trong cuộc tấn công bằng mã độc tống tiền khóa thiết bị, nạn nhân sẽ bị ngăn truy nhập, cũng như không thể đăng nhập vào thiết bị của họ. Trên màn hình của nạn nhân sẽ xuất hiện thư tống tiền, giải thích rằng họ đã bị ngăn truy nhập và hướng dẫn cách trả tiền chuộc để lấy lại quyền truy nhập. Dạng mã độc tống tiền này thường sử dụng mã hóa, vì vậy sau khi nạn nhân lấy lại quyền truy nhập vào thiết bị của họ, mọi tệp và dữ liệu nhạy cảm vẫn được giữ nguyên.

Cách ứng phó với cuộc tấn công từ mã độc tống tiền

Nếu trở thành nạn nhân của cuộc tấn công bằng mã độc tống tiền, bạn có các lựa chọn cầu viện và loại bỏ.

Hãy thận trọng khi trả tiền chuộc
Mặc dù bạn có thể dễ dàng trả tiền chuộc với hy vọng xử lý được vấn đề, nhưng không có gì đảm bảo rằng kẻ phạm tội trên mạng sẽ giữ lời và cấp cho bạn quyền truy nhập vào dữ liệu. Các chuyên gia bảo mật và cơ quan hành pháp khuyến cáo nạn nhân của các cuộc tấn công bằng mã độc tống tiền không trả tiền chuộc theo yêu cầu, vì làm như vậy có thể khiến các nạn nhân tiếp tục gặp phải các mối đe dọa trong tương lai và sẽ tích cực tiếp tay cho giới tội phạm. Nếu bạn đã trả tiền chuộc bằng thẻ tín dụng, hãy liên hệ ngay với ngân hàng của bạn để có thể dừng thanh toán.

Cách ly dữ liệu bị nhiễm độc
Ngay khi có thể, hãy cách ly dữ liệu bị xâm phạm để ngăn chặn mã độc tống tiền lan sang các khu vực khác trong mạng của bạn.

Chạy chương trình chống phần mềm xấu
Bạn có thể xử lý nhiều cuộc tấn công bằng mã độc tống tiền bằng cách cài đặt chương trình chống phần mềm xấu để loại bỏ mã độc tống tiền. Sau khi bạn đã chọn một giải pháp uy tín về chống phần mềm xấu, chẳng hạn như Microsoft Defender, hãy đảm bảo luôn cập nhật cũng như luôn chạy giải pháp này để bạn được bảo vệ trước các cuộc tấn công mới nhất.

Báo cáo về cuộc tấn công
Liên hệ với các cơ quan hành pháp tại địa phương hoặc liên bang để báo cáo về cuộc tấn công. Ở Hoa Kỳ, đây là văn phòng khu vực địa phương FBI,  IC3 hoặc  Cơ quan Mật vụ. Mặc dù bước này có thể sẽ không giải quyết bất kỳ mối lo ngại nào ngay lập tức nhưng là điều quan trọng cần làm bởi các cơ quan này có nhiệm vụ tích cực theo dõi và giám sát các cuộc tấn công khác nhau. Việc cung cấp cho họ thông tin chi tiết về trải nghiệm của bạn có thể là một thông tin hữu ích trong bức tranh tổng quan về việc tìm và truy tố kẻ phạm tội trên mạng hoặc nhóm kẻ phạm tội trên mạng.

Bảo vệ chống mã độc tống tiền

Trước tình trạng tấn công bằng mã độc tống tiền ngày càng gia tăng và rất nhiều thông tin cá nhân của mọi người được lưu trữ dưới dạng kỹ thuật số, khả năng tránh khỏi cuộc tấn công là rất khó. Rất may là có nhiều cách để đảm bảo an toàn cho cuộc sống số của bạn – của bạn, chứ không phải của người khác. Dưới đây là cách để cảm thấy an tâm với khả năng bảo vệ chống mã độc tống tiền chủ động.

Cài đặt chương trình chống phần mềm xấu
Hình thức bảo vệ tốt nhất là ngăn chặn. Bạn có thể phát hiện và ngăn chặn nhiều cuộc tấn công bằng mã độc tống tiền với dịch vụ uy tín về chống phần mềm xấu, chẳng hạn như Microsoft Defender cho Điểm cuối, Microsoft Defender XDR hoặc Microsoft Defender cho Đám mây. Khi bạn sử dụng một chương trình chống phần mềm xấu, trước tiên, thiết bị của bạn sẽ quét mọi tệp hoặc liên kết mà bạn cố gắng mở để giúp đảm bảo các tệp hoặc liên kết đó an toàn. Nếu đó là tệp hoặc website độc hại, chương trình chống phần xấu sẽ cảnh báo bạn và đề xuất bạn không mở tệp hoặc website đó. Những chương trình này cũng có thể loại bỏ mã độc tống tiền khỏi thiết bị đã bị nhiễm.

Tổ chức các khóa đào tạo thường xuyên
Luôn cập nhật cho nhân viên cách phát hiện dấu hiệu lừa đảo qua mạng và các cuộc tấn công bằng mã độc tống tiền khác thông qua các khóa đào tạo thường xuyên. Điều này sẽ không chỉ hướng dẫn nhân viên về biện pháp làm việc an toàn hơn mà còn cả về cách sử dụng thiết bị cá nhân sao cho an toàn hơn.

Di chuyển lên đám mây
Khi bạn di chuyển dữ liệu của mình sang một dịch vụ trên nền điện toán đám mây, như Dịch vụ sao lưu lên đám mây Azure hoặc Sao lưu lưu trữ Azure Block Blobbạn có thể dễ dàng sao lưu dữ liệu để đảm bảo an toàn hơn. Nếu dữ liệu của bạn có bị mã độc tống tiền xâm phạm, các dịch vụ này sẽ giúp đảm bảo phục hồi ngay lập tức và toàn diện.

Áp dụng mô hình Zero Trust
 Mô hình Zero Trust đánh giá rủi ro tất cả các thiết bị và người dùng trước khi cho phép truy nhập vào ứng dụng, tệp, cơ sở dữ liệu và thiết bị khác, làm giảm khả năng một danh tính hay thiết bị độc hại có thể truy nhập tài nguyên và cài đặt phần mềm xấu. Ví dụ: Việc triển khai xác thực đa yếu tố, một thành phần của mô hình Zero Trust, đã cho thấy có thể làm giảm hơn 99% hiệu quả của các cuộc tấn công danh tính. Để đánh giá giai đoạn sẵn sàng tiếp nhận Zero Trust trong tổ chức, hãy thực hiện bài Đánh giá khả năng sẵn sàng tiếp nhận Zero Trust.

Tham gia nhóm chia sẻ thông tin
Các nhóm chia sẻ thông tin, thường được tổ chức theo ngành hoặc vị trí địa lý, khuyến khích các tổ chức có cấu trúc tương tự làm việc cùng nhau để hướng tới các giải pháp an ninh mạng . Những nhóm này cũng cung cấp cho các tổ chức những lợi ích khác nhau, chẳng hạn như dịch vụ ứng phó sự cố và điều tra kỹ thuật số, tin tức về các mối đe dọa mới nhất và giám sát dải IP cũng như miền công cộng.

Duy trì bản sao lưu ngoại tuyến
Vì một số mã độc tống tiền sẽ cố gắng tìm kiếm và xóa mọi bản sao lưu trực tuyến mà bạn có thể có, bạn nên giữ một bản sao lưu ngoại tuyến được cập nhật của dữ liệu nhạy cảm, cũng như thường xuyên kiểm tra bản sao lưu này để đảm bảo dữ liệu có thể khôi phục nếu bạn có bị mã độc tống tiền xấu tấn công. Điều không may là việc duy trì bản sao lưu ngoại tuyến sẽ không khắc phục được sự cố nếu bạn bị tấn công bằng mã độc tống tiền mã hóa, nhưng đây có thể là một công cụ hiệu quả để sử dụng trong cuộc tấn công bằng mã độc tống tiền khóa thiết bị.

Luôn cập nhật phần mềm
Ngoài việc duy trì cập nhật mọi giải pháp chống phần mềm xấu (hãy cân nhắc chọn cập nhật tự động), bạn đừng quên tải xuống và cài đặt mọi bản cập nhật hệ thống và bản vá phần mềm khác ngay khi có sẵn. Điều này giúp giảm thiểu mọi lỗ hổng bảo mật mà kẻ phạm tội trên mạng có thể khai thác để có được quyền truy nhập vào mạng hoặc thiết bị của bạn.

Tạo kế hoạch ứng phó sự cố
Giống như việc lập kế hoạch hành động khẩn cấp về cách thoát khỏi nhà nếu có hỏa hoạn sẽ giúp bạn an toàn hơn và chuẩn bị tốt hơn, việc tạo kế hoạch ứng phó sự cố gồm những việc cần làm nếu bị mã độc tống tiền tấn công sẽ cung cấp cho bạn các bước có thể thực thi cần làm trong các tình huống tấn công khác nhau, giúp bạn trở lại hoạt động bình thường và an toàn sớm nhất có thể.

Giúp bảo vệ tất cả bằng Microsoft Security

Microsoft Sentinel

Có được cái nhìn toàn diện về doanh nghiệp của bạn với giải pháp quản lý sự kiện và sự cố bảo mật (SIEM) trên đám mây.

Microsoft Defender XDR

Bảo mật điểm cuối, danh tính, email và ứng dụng của bạn bằng tính năng phát hiện và phản hồi mở rộng (XDR).

Microsoft Defender cho Đám mây

Bảo vệ các môi trường đa đám mây và kết hợp của bạn từ khi phát triển đến lúc vận hành.

Thông tin về mối đe dọa của Microsoft Defender

Hiểu rõ các tác nhân đe dọa và công cụ của chúng bằng bản đồ internet hoàn chỉnh được cập nhật liên tục.

Chống lại mối đe dọa từ mã độc tống tiền

Luôn đón đầu các mối đe dọa bằng cách sử dụng khả năng làm gián đoạn cuộc tấn công và phản hồi tự động của Microsoft Security.

Báo cáo Phòng vệ số Microsoft

Làm quen với hiện trạng mối đe dọa và cách xây dựng hệ thống phòng vệ số.

Xây dựng chương trình chống mã độc tống tiền

Khám phá cách Microsoft tạo ra Trạng thái phục hồi chống lại mã độc tống tiền tối ưu để loại bỏ mã độc tống tiền.

Sử dụng cẩm nang để ngăn chặn mã độc tống tiền

Diễn đạt rõ và trực quan hóa vai trò của mọi người trong quy trình ngăn chặn mã độc tống tiền.

Câu hỏi thường gặp

  • Thật không may, gần như bất kỳ ai có sự hiện diện trực tuyến đều có thể trở thành nạn nhân của cuộc tấn công bằng mã độc tống tiền. Thiết bị cá nhân và mạng doanh nghiệp đều là mục tiêu thường xuyên của kẻ phạm tội trên mạng.

    Tuy nhiên, việc đầu tư vào các giải pháp chủ động như dịch vụ bảo vệ trước mối đe dọa, là một cách khả thi để ngăn mã độc tống tiền lây nhiễm vào mạng hoặc thiết bị của bạn. Do đó, các cá nhân và tổ chức có sẵn chương trình chống phần mềm xấu và các giao thức bảo mật khác, chẳng hạn như mô hình Zero Trust, trước khi cuộc tấn công xảy ra ít có khả năng trở thành nạn nhân của cuộc tấn công bằng mã độc tống tiền nhất.

  • Cuộc tấn công bằng mã độc tống tiền truyền thống xảy ra khi một cá nhân bị lừa tương tác với nội dung độc hại, chẳng hạn như mở email chứa phần mềm xấu hoặc truy nhập website có hại, từ đó cài đặt mã độc tống tiền vào thiết bị của họ.

    Trong cuộc tấn công bằng mã độc tống tiền do con người điều hành, một nhóm kẻ tấn công sẽ nhắm mục tiêu và xâm phạm dữ liệu nhạy cảm của tổ chức, thường là thông qua thông tin xác thực bị đánh cắp.

    Thông thường, đối với cả mã độc tống tiền lừa đảo phi kỹ thuật và mã độc tống tiền do con người điều khiển, nạn nhân hoặc tổ chức sẽ nhận được thư tống tiền cho biết chi tiết dữ liệu bị đánh cắp và mức tiền chuộc. Tuy nhiên, việc trả tiền chuộc sẽ không đảm bảo rằng dữ liệu thực sự được trả lại hoặc các hành vi vi phạm trong tương lai sẽ bị ngăn chặn.

  • Ảnh hưởng của cuộc tấn công bằng mã độc tống tiền có thể rất khủng khiếp. Ở cả cấp độ cá nhân và tổ chức, các nạn nhân có thể cảm thấy bị buộc phải trả số tiền chuộc lớn mà không đảm bảo rằng dữ liệu của họ sẽ được trả lại hoặc các cuộc tấn công tiếp theo sẽ không xảy ra. Nếu kẻ phạm tội trên mạng làm rò rỉ thông tin nhạy cảm của tổ chức, tổ chức đó có thể mất uy tín và bị xem là không đáng tin cậy. Ngoài ra, tùy thuộc vào loại thông tin bị rò rỉ và quy mô của tổ chức, hàng nghìn cá nhân có thể đối mặt với nguy cơ trở thành nạn nhân của hành vi trộm cắp danh tính hoặc các tội phạm mạng khác.

  • Kẻ phạm tội trên mạng là những kẻ cần tiền, chúng lây nhiễm mã độc tống tiền lên các thiết bị của nạn nhân. Chúng thường đòi tiền chuộc bằng tiền điện tử để đảm bảo bản chất ẩn danh và không thể theo dõi. Trong cuộc tấn công bằng mã độc tống tiền lừa đảo phi kỹ thuật nhắm vào một cá nhân, số tiền chuộc có thể là hàng trăm hoặc hàng nghìn USD. Trong cuộc tấn công bằng mã độc tống tiền do con người điều khiển nhắm vào tổ chức, số tiền chuộc có thể lên đến hàng triệu USD. Những cuộc tấn công tinh vi hơn nhắm vào các tổ chức này có thể sử dụng thông tin tài chính bí mật mà những kẻ phạm tội trên mạng tìm thấy khi xâm phạm mạng để làm cơ sở đặt ra số tiền chuộc mà chúng tin rằng tổ chức có thể chi trả.

  • Nạn nhân nên báo cáo về cuộc tấn công bằng mã độc tống tiền cho các cơ quan hành pháp tại địa phương hoặc liên bang. Ở Hoa Kỳ, đây là văn phòng khu vực địa phương FBI,  IC3 hoặc  Cơ quan Mật vụ. Các chuyên gia bảo mật và các nhân viên hành pháp khuyến cáo các nạn nhân không trả tiền chuộc – trong trường hợp bạn đã thanh toán, hãy liên hệ ngay với ngân hàng của bạn và chính quyền địa phương. Ngân hàng của bạn có thể chặn khoản thanh toán nếu bạn đã thanh toán bằng thẻ tín dụng.

Theo dõi Microsoft Security