Khi một công ty chuyên bán giải pháp bảo mật bị hacker tấn công thành công, đó không chỉ là trò đùa ác ý của số phận. Nhóm ransomware RansomHouse vừa khiến cả cộng đồng an ninh mạng toàn cầu phải 'giật mình' khi công khai việc xâm nhập thành công vào hệ thống của Trellix - một trong những 'ông lớn' trong ngành bảo mật thông tin. Sự việc không chỉ là cú tát vào niềm tin của khách hàng mà còn phơi bày những mâu thuẫn cốt lõi trong ngành công nghiệp an ninh mạng hiện đại.

Khi 'thầy thuốc' cũng không tự chữa được bệnh

RansomHouse - nhóm tội phạm mạng khét tiếng đã không ngần ngại khoe 'chiến tích' của mình bằng cách đăng tải nhiều ảnh chụp màn hình (screenshot) chứng minh quyền truy cập vào các dịch vụ nội bộ của Trellix. Những hình ảnh này như những 'lá bài tẩy' mà hacker thường sử dụng để chứng minh sự thành công của cuộc tấn công. Trellix, công ty được thành lập sau khi FireEye và McAfee Enterprise sáp nhập năm 2022, đang phải đối mặt với một trong những cuộc khủng hoảng uy tín lớn nhất kể từ khi ra đời.

Chúng tôi cho rằng đây không phải là lần đầu tiên một công ty bảo mật trở thành nạn nhân của chính thứ mà họ tuyên bố có thể ngăn chặn. Năm 2020, FireEye - tiền thân của Trellix cũng từng bị nhóm APT (Advanced Persistent Threat) tấn công và đánh cắp các công cụ hack của chính công ty này. Vòng luẩn quẩn 'kẻ bán thuốc ho cũng bị ho' dường như chưa bao giờ kết thúc trong ngành an ninh mạng.

Giải mã chiến thuật của RansomHouse

RansomHouse hoạt động theo mô hình RaaS (Ransomware-as-a-Service) - dịch vụ mã độc tống tiền, một trong những mô hình tội phạm mạng nguy hiểm nhất hiện nay. Khác với các nhóm ransomware truyền thống chỉ mã hóa dữ liệu để đòi tiền chuộc, RansomHouse còn đe dọa công khai dữ liệu nhạy cảm nếu nạn nhân không trả tiền. Phương thức 'double extortion' (tống tiền kép) này tạo ra áp lực gấp đôi lên nạn nhân, buộc họ phải cân nhắc không chỉ việc khôi phục dữ liệu mà còn ngăn chặn rò rỉ thông tin.

Theo phân tích của chúng tôi, việc nhắm vào Trellix không phải là ngẫu nhiên. Các công ty bảo mật thường lưu trữ thông tin cực kỳ nhạy cảm về khách hàng, bao gồm cấu trúc hạ tầng IT, các lỗ hổng bảo mật đã được phát hiện và cả các phương pháp phòng thủ đang được triển khai. Nếu RansomHouse thực sự có quyền truy cập vào những thông tin này, thiệt hại có thể lan rộng ra hàng nghìn doanh nghiệp khách hàng của Trellix trên toàn thế giới.

Sóng lan tỏa từ vụ tấn công nghiêm trọng

Tác động từ vụ hack Trellix không chỉ dừng lại ở một công ty. Hàng nghìn doanh nghiệp đang sử dụng các sản phẩm bảo mật của Trellix như Endpoint Security, Network Security và Cloud Security hiện đang trong tình trạng bất an. Nếu kẻ tấn công có được thông tin về cách thức hoạt động của các giải pháp này, chúng có thể phát triển những phương pháp tấn công được 'thiết kế riêng' để vượt qua hệ thống phòng thủ của Trellix.

Tại Việt Nam, nhiều ngân hàng, tập đoàn viễn thông và doanh nghiệp công nghệ lớn đang sử dụng sản phẩm của Trellix trong hệ thống bảo mật của mình. Theo thống kê của Bộ Thông tin và Truyền thông, Việt Nam ghi nhận trung bình 3.000 cuộc tấn công mạng mỗi ngày, và việc một nhà cung cấp giải pháp bảo mật hàng đầu bị tổn thương chắc chắn sẽ khiến con số này gia tăng đáng kể trong thời gian tới.

Lời khuyên khẩn cấp cho doanh nghiệp Việt Nam

Các tổ chức đang sử dụng sản phẩm Trellix cần thực hiện ngay các bước sau: thứ nhất, kiểm tra và cập nhật tất cả các bản vá bảo mật mới nhất cho sản phẩm Trellix; thứ hai, thay đổi toàn bộ mật khẩu quản trị hệ thống và kích hoạt xác thực đa yếu tố (MFA) nếu chưa có; thứ ba, tăng cường giám sát log hệ thống để phát hiện các hoạt động bất thường. Quan trọng nhất, các doanh nghiệp cần xây dựng chiến lược backup độc lập, không phụ thuộc hoàn toàn vào một nhà cung cấp bảo mật duy nhất.

Chúng tôi khuyến cáo các CISO (Chief Information Security Officer) tại Việt Nam nên áp dụng nguyên tắc 'Zero Trust' - không tin tưởng tuyệt đối bất kỳ thành phần nào trong hệ thống, kể cả các giải pháp bảo mật đáng tin cậy nhất. Vụ việc Trellix một lần nữa chứng minh rằng trong thế giới số, không có gì là an toàn tuyệt đối, và sự chuẩn bị chu đáo cho kịch bản xấu nhất luôn là chiến lược khôn ngoan nhất.