Một hệ sinh thái không lành mạnh đã phát triển xoay quanh phần mềm độc hại: ransomware. Đã đến lúc chúng ta phải thay đổi động thái. Người chúng ta cần phải bồi thường là nạn nhân chứ không phải tội phạm.
Nói đến việc lựa chọn nạn nhân, những tin tặc ransomware đã trở nên thành thạo và tàn bạo đến mức nhắm vào những chỗ hiểm nhất của nạn nhân.
Mục tiêu tấn công của chúng có phạm vi từ bệnh viện, trường học, chính quyền địa phương đến các cơ sở hạ tầng then chốt; ví dụ như xử lý nước, ống dẫn nhiên liệu và chúng đang thành công khi tấn công vào các đối tượng này. Các băng đảng ransomware tích cực cải thiện những chiến thuật theo thời gian trong khi những người tạo ra ransomware nhượng quyền những công cụ của mình cho các chi nhánh để đổi lấy một phần chiến lợi phẩm. Hầu như không có ngày nào trôi qua mà không có tin tức về một tổ chức nào đó bị một trong những nhóm tin tặc này tấn công.
Không chỉ còn là một mối đe dọa tội phạm, tại họa ransomware giờ đây đã ảnh hưởng đến toàn xã hội, đến mức nó được so sánh với những thách thức mà nước Mỹ phải đối mặt sau vụ khủng bố 11/9/2001 – vụ khủng bố tồi tệ nhất.
Đã đến lúc thay đổi động thái đang dấy lên xung quanh ransomware. Mặc dù đôi khi chúng ta không thể tránh khỏi việc trả tiền chuộc, nhưng việc trả tiền chuộc là hạ sách cuối cùng, không phải phản ứng nên có đầu tiên. Bảo hiểm rủi ro không gian mạng dùng để bồi thường cho nạn nhân, không phải để thưởng cho những kẻ tấn công. Chính phủ các nước nên nhận ra vai trò then chốt của họ trong việc hỗ trợ nạn nhân về mặt tinh thần lẫn tài chính.
Sự gián đoạn nằm trong tính toán
Cuộc tấn công Conti ransomware nằm vào dịch vụ y tế quốc gia của Ireland – Cơ quan Điều hành Dịch vụ y tế (Health Service Executive – HSE), đã minh họa rõ ràng mức độ nghiêm trọng của mối nguy cơ mà chúng ta đang phải đối mặt. Giữa đại dịch toàn cầu, những tên tin tặc đã làm tê liệt mạng lưới HSE, gây ra sự gián đoạn lớn các dịch vụ và buộc họ phải hoãn các cuộc hẹn khám bệnh. Những kẻ tấn công đã phát hành khóa giải mã ngay sau đó, trong khi chúng vẫn đang âm mưu nắm thóp HSE đòi tiền chuộc bằng cách đe dọa tiết lộ hồ sơ những bệnh nhân mắc bệnh nhạy cảm mà chúng đã đánh cắp được trong cuộc tấn công.
Thật sự sai lầm khi cho rằng HSE chỉ vô tình là nạn nhân của một chiến dịch không được suy xét cẩn thận. Rõ ràng là những kẻ tấn công biết rõ chúng đang làm lây lan vi – rút cho ai. Không phải ngẫu nhiên mà Bộ y tế của Ireland trở thành mục tiêu mặc dù khả năng thành công của chúng không cao. Mục tiêu cuối cùng của chúng là làm tê liệt hệ thống y tế của cả nước này. Như FBI đã nêu rõ vào tháng trước, những kẻ tấn công bằng Conti đã từng nhắm vào ít nhất 16 tổ chức chăm sóc sức khỏe và chỉ riêng các tổ chức tại Hoa Kỳ có những phản ứng lại đầu tiên.
Các cuộc tấn công dạng này đòi hỏi mức độ tương tác cao từ những kẻ khai thác phần mềm độc hại để triển khai thành công cả phần mềm tống tiền nạn nhân lẫn việc đồng thời lập hồ sơ nạn nhân để ước tính được chính xác hơn số tiền mà họ có thể chi trả, nhờ vào những thông tin được lọc từ dữ liệu có sẵn trong những cuộc tấn công. Nhóm đứng sau cuộc tấn công HSE đã hành động vì chúng biết rằng sự gián đoạn mà chúng gây ra tại thời điểm quan trọng này khi người dân Ireland đang chống chọi với đại dịch Covid – 19 có thể thu được một khoản tiền khổng lồ.
Thông thường, các bài bình luận sau mỗi cuộc tấn công ransomware có qui mô lớn như thế chỉ tập trung về phía nạn nhân, đặt nghi vấn rằng họ đã làm đủ để bảo mật hệ thống của mình hay chưa. Dù nạn nhận hiển nhiên phải có trách nhiệm bảo vệ hệ thống công nghệ thông tin và các dữ liệu liên quan, nhưng việc chỉ đổ lổi lỗi cho nạn nhân đã đơn giản hóa và làm sai lệch sự hiểu biết về vấn đề rộng hơn là tại sao ransomware trở thành tổ chức tội phạm thành công đáng kinh ngạc. Thực tế là việc nạn nhân phải hứng chịu những lời chỉ trích quá khích của công chúng đã khiến họ phải âm thầm đầu hàng và trả tiền chuộc, điều này cũng đã thu hút sự chú ý của công chúng và khiến họ dời mắt khỏi những thủ phạm thực sự.
Những tên tội phạm đứng đằng sau ransomware hiện là một trong những mối đe dọa được đánh giá là thành thạo nhất về mặt kỹ thuật và có nguồn lực tốt nhất hiện đang hoạt động. Công ty giám sát và trí tuệ bloclkchain Chainalysis ước tính rằng các băng đảng ransomware kiếm được khoảng 350 triệu đô la vào năm 2020, tăng 311% – một con số khổng lồ so với năm 2019.
Quy mô thanh toán tiền chuộc hiện có nghĩa là những nhóm tin tặc thành công nhất sẽ có ngân sách hoạt động lớn hơn những người bảo vệ hệ thống của nạn nhân trừ những tổ chức lớn nhất. Điều này cho phép chúng hoạt động ở cả qui mô lớn và cũng có thể kiên trì tấn công cho đến khi chúng thành công.
Hệ sinh thái không lành mạnh
Chính phủ Ireland nhận được nhiều lời khen ngợi vì đã không cúi đầu trước áp lực phải trả tiền chuộc. Lập trường này có thể bị đặt dưới rất nhiều áp lực ngày càng tăng nếu trong vài tuần và vài tháng tới việc khôi phục dịch vụ diễn ra chậm chạp hoặc nếu dữ liệu y tế về các bệnh nhạy cảm bị rò rỉ trực tuyến. Tuy nhiên, đó là một quyết định không trả tiền chuộc là một quyết định đúng đắn.
Một thực tế đáng tiếc là có những trường hợp một số nạn nhân cảm thấy mình không còn lựa chọn nào khác ngoài việc trả tiền chuộc. Tuy nhiên, chúng tôi lo ngại sâu sắc về cách phản ứng trước những cuộc tấn công ransomware đã bắt đầu giống với một giao dịch chuyên nghiệp – một vụ mua bán đơn giản với mức độ thường xuyên. Thông thường, nạn nhân chấp nhận trả tiền chuộc vì nó rẻ hơn chi phí để khôi phục hệ thống công nghệ thông tin từ các bản sao lưu trong ngắn hạn hoặc tiền chuộc được phía bảo hiểm chi trả. Những quyết định này dựa trên cái lợi trước mắt, bỏ qua những hậu quả về lâu dài của việc tiếp tục đầu tư vào một “hệ sinh thái” không lành mạnh, nơi mà những tin tặc ransomware phát triển mạnh và ngày càng sinh sôi.
Tính về lâu dài, việc chi trả bảo hiểm cho các nạn nhân để thiết lập lại hoạt động của họ là một cách tốt hơn nhiều. Điều này có thể tốn kém trong khoảng thời gian đầu, các công ty bảo hiểm cũng tốn phí hơn và phí bảo hiểm nạn nhân phải trả cũng tăng nhưng nhìn rộng hơn, đó là cách duy nhất để loại bỏ tội phạm ransomware khỏi số tiền từ tội ác của chúng và ngăn chặn tội phạm ransomware trong tương lai.
Chính phủ các nước đã tỉnh táo nhận thức được vai trò của họ trong việc giải quyết các vấn đề dần dần trở thành vấn nạn xã hội. Phần lớn trọng tâm hiện tại là vai trò rõ ràng của Chính phủ trong việc hướng dẫn và cung cấp bảo mật công nghệ thông tin và khi cần thiết, phải xác định quy định bảo mật và báo cáo cho các tổ chức quan trọng. Tuy nhiên, chúng tôi đề xuất một cách chiến lược hơn cần được xem xét để đối phó với mối đe dọa ransomware. Nhiều tổ chức, đặc biệt là các doanh nghiệp nhỏ và chính quyền địa phương không có đủ nguồn lực kỹ thuật để nhanh chóng khôi phục hoạt động của họ. Để giúp nạn nhân của ransomware dễ dàng từ chối trả tiền chuộc, Chính phủ nên xem xét vai trò của mình trong việc cung cấp không chỉ hướng dẫn kỹ thuật mà còn cung cấp hỗ trợ kỹ thuật và tài chính trực tiếp cho những nạn nhân ransomware với mục đích giúp họ trở lại cuộc sống bình thường sau những khó khăn càng sớm càng tốt.
Mối đe dọa từ việc tội phạm mạng bán hoặc công khai dữ liệu bị đánh cắp cũng đang buộc các tổ chức phải trả tiền và điều này ngày càng trở thành một công cụ mạnh mẽ để đòi tiền khi chúng làm tê liệt hoàn toàn hệ thống công nghệ thông tin, đặc biệt là đối với các cơ quan công quyền có nghĩa vụ pháp lý liên quan đến dữ liệu khách hàng hoặc người dùng. Chúng ta có thể làm nhiều hơn nữa để giảm sự ảnh hưởng từ loại tội phạm này. Phản ứng của HSE đối với tin tặc ransomware cho thấy được hướng đi của họ trong tương lai. HSE đã có được sự bảo hộ hợp pháp từ Tòa án tối cao Ireland, kìm hãm hành vi chia sẻ, xử lý, bán hoặc xuất bất kì dữ liệu bị đánh cắp nào. Mặc dù hành động pháp lý hiếm khi ngăn chặn được tội phạm mạng nhưng nó có giá trị trong việc giảm khả năng thông tin cá nhân bị chia sẻ trực tuyến hoặc thông qua các phương tiện truyền thông xã hội, giảm áp lực khiến nạn nhân phải trả tiền cho bọn tội phạm ransomware.
Những quyết định khó khăn
Chúng ta không thể giả vờ rằng khắc phục động thái độc hại xung quanh ransomware là một việc dễ dàng. Rõ ràng là mọi thứ đang tiếp tục trở nên tồi tệ hơn và chỉ trở nên tốt hơn bằng cách kết hợp phát hiện và phòng thủ hiệu quả chống lại ransomware bằng việc tăng cường tập trung vào giảm sự thu hút về mặt tài chính của hoạt động này đối với tội phạm mạng. Như chúng ta đã thấy với việc bổ sung dữ liệu bị đánh cắp tống tiền được thêm vào hệ thống ransomware, các băng đảng ransomware đã cho thấy mình rất thành thạo trong việc tìm ra các kỹ thuật mới để gây áp lực cho nạn nhân và chắc chắn sẽ tăng gấp đôi sự kiên trì nếu chúng gặp phải sự kháng cự. Bất kỳ cách tiếp cận nào của chúng chỉ có thể bị đánh bại bằng cách cải thiện hơn nữa khả năng của chúng ta, khiến các cuộc tấn công ransomware khó thành công hơn, đồng thời cần nỗ lực để đủ sức giảm hoặc loại bỏ hoàn toàn số tiền nuôi tội phạm ở trung tâm của “hệ sinh thái” ransomware.
Chúng ta có thể đặt lại tỷ lệ cược về phía có lợi cho mình bằng cách khiến những kẻ tấn công ransomware khó thoát hơn. Điều đó có nghĩa là phải phát hiện và phòng ngừa hiệu quả hơn. Đồng thời, cần nỗ lực để đủ sức giảm hoặc loại bỏ hoàn toàn nguồn tiền nuôi tội phạm ở trung tâm của “hệ sinh thái” toàn cầu ransomware.
Biên dịch bởi Hoài Thương – Iworld.com.vn