Tưởng tượng bạn trả tiền chuộc cho kẻ bắt cóc, nhưng con tin đã chết từ lâu. Đó chính là tình cảnh bi thảm mà các nạn nhân của ransomware Vect 2.0 đang phải đối mặt. Loại mã độc mới nổi này chứa lỗi thiết kế nghiêm trọng, khiến nó hoạt động như một wiper (phần mềm xóa dữ liệu) thay vì ransomware truyền thống. Kết quả là dữ liệu bị phá hủy hoàn toàn, không thể khôi phục dù có trả tiền chuộc.

Khi ransomware quên nhiệm vụ tống tiền

Vect 2.0 được phát hiện trong các cuộc tấn công chuỗi cung ứng nhắm vào TeamPCP - một nền tảng được nhiều tổ chức sử dụng. Supply chain attack (tấn công chuỗi cung ứng) là phương thức tin tặc xâm nhập vào một nhà cung cấp dịch vụ để từ đó tấn công hàng loạt khách hàng của nhà cung cấp đó. Phương thức này đã trở thành xu hướng nguy hiểm trong những năm gần đây.

Điều đáng lo ngại nhất không phải việc mã độc lây lan, mà là bản chất "tự sát" của nó. Chúng tôi phân tích cho thấy Vect 2.0 thiếu cơ chế lưu trữ khóa giải mã đúng cách. Thay vì mã hóa dữ liệu một cách có thể đảo ngược như các ransomware khác, nó thực chất ghi đè và phá hủy dữ liệu gốc. Đây là lỗi thiết kế chí mạng khiến việc trả tiền chuộc trở nên vô nghĩa.

Khi lỗi lập trình biến tội phạm thành kẻ phá hoại

Ransomware truyền thống hoạt động theo nguyên lý mã hóa đối xứng hoặc bất đối xứng, trong đó dữ liệu được "khóa" bằng một thuật toán có thể đảo ngược nếu có khóa đúng. Tuy nhiên, Vect 2.0 sử dụng thuật toán mã hóa có vấn đề trong việc quản lý khóa (key management). Cụ thể, phần mềm không lưu trữ đầy đủ thông tin cần thiết để tái tạo khóa giải mã.

Theo phân tích mã nguồn, các chuyên gia phát hiện Vect 2.0 ghi đè lên metadata quan trọng của file trong quá trình "mã hóa". Metadata chứa thông tin cấu trúc file, mà không có nó, việc khôi phục dữ liệu trở nên bất khả thi. Đây không phải lỗi đầu tiên trong lịch sử ransomware - trước đó, các biến thể như Bad Rabbit và một số phiên bản sớm của WannaCry cũng từng mắc lỗi tương tự.

Thảm họa kép: mất dữ liệu và mất tiền

Tác động của Vect 2.0 nghiêm trọng gấp đôi ransomware thông thường. Nạn nhân không chỉ bị gián đoạn hoạt động mà còn mất hoàn toàn dữ liệu, kể cả khi sẵn sàng trả tiền chuộc. Các tổ chức bị ảnh hưởng qua chuỗi cung ứng TeamPCP đang phải đối mặt với việc xây dựng lại toàn bộ hệ thống từ đầu.

Chúng tôi đánh giá đây là một trong những dạng tấn công nguy hiểm nhất đối với môi trường doanh nghiệp Việt Nam. Xu hướng sử dụng các dịch vụ SaaS (Software as a Service) và cloud computing đang gia tăng mạnh tại Việt Nam, khiến nguy cơ supply chain attack trở nên đáng lo ngại hơn bao giờ hết. Một cuộc tấn công thành công có thể ảnh hưởng đến hàng trăm doanh nghiệp cùng lúc.

Lá chắn bảo vệ khỏi thảm họa tương lai

Trước tiên, các tổ chức cần thực hiện backup offline ngay lập tức. Đây là biện pháp quan trọng nhất vì một khi bị Vect 2.0 tấn công, không có cách nào khôi phục dữ liệu. Backup phải được lưu trữ tách biệt khỏi mạng chính, theo quy tắc 3-2-1: 3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline.

Đối với việc phòng chống supply chain attack, doanh nghiệp Việt Nam cần áp dụng zero-trust model - không tin tưởng tuyệt đối bất kỳ thành phần nào trong mạng. Cụ thể, triển khai giám sát liên tục các nhà cung cấp dịch vụ, yêu cầu chứng chỉ bảo mật SOC 2 Type II, và thực hiện đánh giá rủi ro định kỳ. Quan trọng không kém, cần có kế hoạch ứng phó sự cố chi tiết, bao gồm cả kịch bản worst-case như mất hoàn toàn dữ liệu. Vect 2.0 đã chứng minh rằng không phải lúc nào trả tiền chuộc cũng có thể cứu được dữ liệu.