Hãy tưởng tượng một ngày bạn đến công ty, bật máy tính lên và phát hiện toàn bộ dữ liệu quan trọng đã bị xóa sạch không còn dấu vết. Đó chính là thực tế đau đớn mà các tổ chức năng lượng và tiện ích công cộng Venezuela phải đối mặt trong năm vừa qua. Thủ phạm là một loại malware hoàn toàn mới mang tên Lotus - một "kẻ hủy diệt" dữ liệu với khả năng tàn phá khủng khiếp mà các chuyên gia an ninh mạng chưa từng gặp. Chúng tôi cho rằng đây là một bước ngoặt đáng lo ngại trong làng tội phạm mạng, đặc biệt khi mục tiêu tấn công là những hạ tầng quan trọng của quốc gia.

Kẻ hủy diệt thầm lặng xuất hiện

Lotus không phải là một malware thông thường mà chúng ta thường thấy. Thay vì mã hóa dữ liệu để tống tiền như ransomware, nó hoạt động như một data wiper (phần mềm xóa dữ liệu) - nghĩa là xóa sạch toàn bộ thông tin mà không có ý định khôi phục hay đòi tiền chuộc. Điều này khiến nó trở thành một vũ khí cyber với mục đích phá hoại thuần túy. Các chuyên gia bảo mật đã phát hiện ra Lotus trong quá trình điều tra những vụ tấn công có chủ đích vào các công ty năng lượng và tiện ích công cộng tại Venezuela.

Điểm đáng chú ý là malware này hoàn toàn "sạch sẽ" trong cơ sở dữ liệu các mối đe dọa hiện có. Không có signature (chữ ký số) nào từ trước, không có báo cáo nào đề cập, khiến các hệ thống antivirus truyền thống hoàn toàn bất lực. Chúng tôi đánh giá đây là sản phẩm của một nhóm hacker có trình độ cao, có khả năng đã dành nhiều thời gian và nguồn lực để phát triển vũ khí mạng này một cách bí mật.

Chiến thuật tấn công tinh vi và nguy hiểm

Theo phân tích kỹ thuật, Lotus sử dụng nhiều lớp mã hóa (encryption layers) để ẩn mình khỏi sự phát hiện của các công cụ bảo mật. Nó có khả năng tự sao chép và lan truyền trong mạng nội bộ thông qua các lỗ hổng SMB (Server Message Block) - giao thức chia sẻ file phổ biến trong Windows. Một khi đã xâm nhập vào hệ thống, Lotus sẽ thu thập thông tin về cấu trúc mạng, xác định các máy chủ quan trọng và bắt đầu quá trình "thanh lọc" dữ liệu.

Quá trình hoạt động của Lotus được thiết kế cực kỳ tàn nhẫn. Thay vì xóa file một cách đơn giản, nó ghi đè nhiều lần lên vùng dữ liệu gốc bằng các chuỗi bit ngẫu nhiên, khiến việc khôi phục trở nên gần như bất khả thi ngay cả với các công nghệ forensics (điều tra số) tiên tiến nhất. Chúng tôi cho rằng đây là một chiến lược có tính toán kỹ lưỡng, nhằm gây ra thiệt hại lâu dài và không thể khắc phục.

Tác động thảm khốc đến hạ tầng quan trọng

Việc tấn công vào các tổ chức năng lượng và tiện ích công cộng của Venezuela đã gây ra những hậu quả nghiêm trọng. Mặc dù chưa có con số chính thức về quy mô thiệt hại, nhưng các chuyên gia ước tính rằng việc khôi phục hoàn toàn hệ thống có thể mất từ nhiều tháng đến vài năm. Điều đáng lo ngại hơn là xu hướng tấn công vào critical infrastructure (hạ tầng quan trọng) đang gia tăng toàn cầu, với các vụ như Colonial Pipeline tại Mỹ hay cuộc tấn công vào lưới điện Ukraine.

Tại Việt Nam, theo báo cáo của VNCERT/CC, năm 2023 đã ghi nhận hơn 3.000 vụ tấn công mạng vào các hệ thống thông tin quan trọng, tăng 25% so với năm trước. Chúng tôi đánh giá rằng với sự xuất hiện của các malware tinh vi như Lotus, các doanh nghiệp và tổ chức Việt Nam cần nâng cao mức độ cảnh giác và đầu tư mạnh hơn vào an ninh mạng.

Lộ trình bảo vệ khẩn cấp cho doanh nghiệp Việt

Đối mặt với mối đe dọa từ các data wiper như Lotus, các tổ chức cần thực hiện ngay những biện pháp bảo vệ căn bản. Đầu tiên, triển khai hệ thống backup (sao lưu) 3-2-1: 3 bản sao dữ liệu, lưu trữ trên 2 loại phương tiện khác nhau, trong đó 1 bản được cất giữ offline hoàn toàn. Thứ hai, cập nhật patch (bản vá) bảo mật định kỳ cho tất cả hệ thống, đặc biệt các dịch vụ SMB và RDP (Remote Desktop Protocol).

Chúng tôi khuyến nghị các doanh nghiệp nên đầu tư vào giải pháp EDR (Endpoint Detection and Response) - hệ thống phát hiện và ứng phó với các mối đe dọa tại điểm cuối, có khả năng phát hiện các hành vi bất thường ngay cả khi malware chưa có signature. Đồng thời, xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết và tổ chức diễn tập định kỳ. Bởi khi malware như Lotus tấn công, thời gian phản ứng tính bằng phút có thể quyết định số phận của toàn bộ dữ liệu doanh nghiệp.