Sáu năm là một khoảng thời gian đủ dài để một đứa trẻ học hết tiểu học, nhưng cũng đủ dài để một chiến dịch ransomware âm thầm tàn phá hàng nghìn gia đình và doanh nghiệp nhỏ ở Thổ Nhĩ Kỳ mà không ai biết đến. Trong khi các cuộc tấn công vào doanh nghiệp lớn luôn gây xôn xao truyền thông, những vụ tấn công quy mô nhỏ lại bị lãng quên, tạo điều kiện cho tội phạm mạng hoạt động lâu dài mà ít bị gián đoạn. Chúng tôi cho rằng đây chính là minh chứng rõ ràng nhất cho thấy chiến lược "đánh úp" của các nhóm ransomware đang thay đổi căn bản. Thay vì nhắm vào những con cá lớn với hệ thống bảo mật nghiêm ngặt, họ chuyển sang săn đuổi những con cá nhỏ dễ bắt hơn.

Bí mật đằng sau 6 năm im lặng của làng an ninh mạng

Chiến dịch tấn công này đặc biệt nguy hiểm vì tính chất âm thầm và bền bỉ của nó. Khác với những vụ tấn công ransomware gây chấn động như WannaCry hay NotPetya, chiến dịch tại Thổ Nhĩ Kỳ được thiết kế để bay dưới radar của các cơ quan an ninh mạng. Các nhóm tội phạm đã học được bài học quan trọng: tấn công ồn ào sẽ thu hút sự chú ý không mong muốn từ cơ quan chức năng và cộng đồng an ninh mạng quốc tế.

Việc nhắm vào các Small and Medium Businesses (SMBs - doanh nghiệp vừa và nhỏ) cùng hộ gia đình không phải ngẫu nhiên. Những mục tiêu này thường có ngân sách bảo mật hạn chế, thiếu nhân lực chuyên môn và ít có khả năng thuê các công ty an ninh mạng chuyên nghiệp. Chúng tôi đánh giá đây là chiến lược "kiếm ăn bền vững" của tội phạm mạng - thay vì đòi tiền chuộc hàng triệu đô từ một tập đoàn lớn, họ thu được hàng nghìn khoản nhỏ từ nhiều nạn nhân khác nhau.

Phương thức tấn công tinh vi như thế nào?

Ransomware (mã độc mã hóa dữ liệu đòi tiền chuộc) trong chiến dịch này sử dụng nhiều kỹ thuật tấn công phối hợp thay vì dựa vào một phương pháp duy nhất. Điều này giúp tăng tỷ lệ thành công và giảm khả năng bị phát hiện bởi các giải pháp antivirus truyền thống. Vector tấn công (phương thức xâm nhập) chủ yếu thông qua email phishing có chứa file đính kèm độc hại, khai thác các lỗ hổng trong phần mềm lỗi thời và tấn công brute-force (dò mật khẩu) vào các dịch vụ Remote Desktop Protocol (RDP).

Đặc biệt đáng lo ngại là khả năng "nằm vùng" của mã độc này. Sau khi xâm nhập thành công vào hệ thống, ransomware không lập tức mã hóa dữ liệu mà sẽ quan sát và thu thập thông tin trong một thời gian. Giai đoạn này gọi là dwell time (thời gian nằm vùng), cho phép kẻ tấn công hiểu rõ cấu trúc dữ liệu, xác định file quan trọng nhất và tìm cách vô hiệu hóa các biện pháp backup. Chúng tôi cho rằng đây chính là lý do khiến nhiều nạn nhân không thể khôi phục dữ liệu ngay cả khi có backup.

Hậu quả kinh tế và xã hội không thể lường trước

Tác động của chiến dịch 6 năm này vượt xa con số thiệt hại tài chính trực tiếp. Đối với các doanh nghiệp nhỏ, việc mất dữ liệu khách hàng và bị gián đoạn hoạt động kinh doanh có thể dẫn đến phá sản hoàn toàn. Theo thống kê của Cybersecurity Ventures, 60% doanh nghiệp nhỏ đóng cửa trong vòng 6 tháng sau khi bị tấn công ransomware. Điều này không chỉ ảnh hưởng đến chủ doanh nghiệp mà còn tạo ra làn sóng thất nghiệp trong cộng đồng địa phương.

Đối với hộ gia đình, hậu quả có thể còn đau đớn hơn về mặt tinh thần. Việc mất đi những bức ảnh gia đình, tài liệu cá nhân quan trọng hay dữ liệu công việc không thể định giá bằng tiền. Chúng tôi từng chứng kiến nhiều trường hợp gia đình phải bán tài sản để trả tiền chuộc, rồi vẫn không nhận lại được dữ liệu vì kẻ tấn công không giữ lời hứa.

Làm thế nào để bảo vệ bản thân và doanh nghiệp?

Bước đầu tiên và quan trọng nhất là thực hiện backup 3-2-1: lưu trữ 3 bản sao dữ liệu trên 2 loại phương tiện khác nhau, trong đó 1 bản offline hoàn toàn. Cập nhật hệ điều hành và phần mềm thường xuyên để vá các lỗ hổng bảo mật đã biết. Đặc biệt chú ý đến Microsoft Office, Adobe Reader và các trình duyệt web - những phần mềm thường bị khai thác nhất. Vô hiệu hóa macro trong Office và cẩn thận với email đáng ngờ, đặc biệt những email có file đính kèm .exe, .scr, .zip từ người gửi lạ.

Đối với doanh nghiệp, việc đầu tư vào một giải pháp Endpoint Detection and Response (EDR - phát hiện và ứng phó tại điểm cuối) là cần thiết. Thiết lập chính sách mật khẩu mạnh và kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng. Định kỳ kiểm tra và vô hiệu hóa các dịch vụ không cần thiết như RDP nếu không sử dụng. Quan trọng hơn cả, hãy huấn luyện nhân viên nhận biết các dấu hiệu tấn công phishing và thiết lập quy trình báo cáo sự cố an ninh mạng rõ ràng.