Bạn nghĩ có backup là an toàn khỏi ransomware? Suy nghĩ đó có thể khiến doanh nghiệp của bạn mất hàng triệu đô la. Theo báo cáo mới từ Acronis, hơn 60% các cuộc tấn công ransomware thành công bất chấp việc nạn nhân có hệ thống sao lưu dữ liệu đầy đủ. Lý do không phải vì backup bị lỗi hay thiếu sót, mà vì tin tặc đã tinh vi hơn - họ phá hủy backup trước khi bắt đầu mã hóa.

Khi backup trở thành ảo tưởng an toàn

Chúng tôi cho rằng đây là sự tiến hóa đáng lo ngại trong làng cybercrime. Thay vì chỉ đơn thuần mã hóa dữ liệu, các nhóm ransomware hiện tại dành 70-80% thời gian để do thám và xâm nhập sâu vào hệ thống mạng của nạn nhân. Mục tiêu đầu tiên? Tìm và phá hủy mọi backup có thể.

Quá trình này diễn ra âm thầm trong vài tuần hoặc thậm chí vài tháng. Tin tặc sử dụng kỹ thuật lateral movement (di chuyển ngang) để khám phá toàn bộ hạ tầng IT, xác định vị trí máy chủ backup, NAS (Network Attached Storage), cloud backup và cả các băng từ offline. Khi đã nắm được bản đồ đầy đủ, họ mới tiến hành "đánh úp" đồng loạt.

Chiến thuật "tẩy chay" backup của tin tặc

Theo phân tích của chúng tôi, các nhóm ransomware chuyên nghiệp như Conti, REvil hay BlackCat đều áp dụng mô hình tấn công 3 giai đoạn. Giai đoạn 1 là xâm nhập và leo thang đặc quyền (privilege escalation) để có quyền admin. Giai đoạn 2 là trinh sát và phá hoại backup - đây chính là "chìa khóa" thành công.

Các thủ đoạn phá hoại backup rất đa dạng. Tin tặc có thể xóa shadow copy (bản sao ảnh hệ thống), thay đổi mật khẩu tài khoản backup service, inject mã độc vào backup software, hoặc đơn giản là encrypt luôn cả kho backup. Với cloud backup như AWS S3 hay Google Drive, họ sử dụng API keys bị đánh cắp để xóa sạch dữ liệu từ xa. Giai đoạn 3 mới là mã hóa dữ liệu chính và đòi tiền chuộc.

Con số báo động từ thực tế Việt Nam

Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) ghi nhận 2.800 vụ tấn công ransomware trong 9 tháng đầu năm 2024, tăng 40% so với cùng kỳ năm trước. Đáng lo ngại, 45% doanh nghiệp Việt bị tấn công thành công dù đã đầu tư backup system, con số tương đồng với xu hướng toàn cầu.

Một case study điển hình là vụ tấn công nhóm LockBit vào công ty logistics lớn tại TP.HCM tháng 8 vừa qua. Dù có backup hàng ngày trên 3 server khác nhau, công ty vẫn phải ngừng hoạt động 2 tuần vì toàn bộ backup đã bị xóa sạch 5 ngày trước khi ransomware được kích hoạt. Thiệt hại ước tính 15 tỷ đồng, chưa kể uy tín thương hiệu.

Chiến lược phòng thủ backup thế hệ mới

Backup truyền thống đã "chết", doanh nghiệp cần áp dụng ngay chiến lược 3-2-1-1-0. Con số 3 là có 3 bản copy dữ liệu, 2 là lưu trên 2 phương tiện khác nhau, 1 là có 1 bản offline/offsite hoàn toàn tách biệt. Thêm 1 là immutable backup (backup bất biến) không thể chỉnh sửa trong thời gian nhất định, và 0 là zero error khi restore.

Chúng tôi khuyến nghị triển khai Air-Gap Backup - hệ thống sao lưu hoàn toàn cô lập khỏi mạng. Mỗi đêm, backup tự động chạy và ngắt kết nối vật lý ngay sau đó. Kết hợp Backup Verification tự động để đảm bảo dữ liệu khôi phục được, và Incident Response Plan với timeline khôi phục cụ thể từng bước. Đừng để tin tặc có cơ hội biến backup thành "con số 0" trước mặt bạn.