Vì sao trả tiền chuộc vẫn khó khôi phục hoàn toàn dữ liệu mã hóa?

Tại tọa đàm chiều 5/4 ở Hà Nội, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia – Bộ Công an, cho rằng nạn nhân của mã hóa tống tiền (ransomware) không nên trả tiền chuộc vì sẽ tạo tiền lệ nguy hiểm, trong khi chưa chắc giải mã được toàn bộ dữ liệu.

Tuy nhiên, ông cũng thừa nhận: “Thực tế đáng buồn là một khi dữ liệu đã bị mã hóa, gần như không có cơ hội tự giải mã. Chỉ có trả tiền chuộc, hoặc lấy được khóa mã theo cách nào đó, ví dụ tấn công được nhóm hacker”.

Tương tự, ông Vũ Ngọc Sơn, Trưởng ban nghiên cứu công nghệ – Hiệp hội An ninh mạng quốc gia, khẳng định: “Xác suất giải mã dữ liệu mà không có khóa bí mật gần như bằng 0, vì mã hóa là nền tảng của Internet”.

Phục hồi dữ liệu sau khi trả tiền chuộc

Dù lấy được mã mở khóa, việc đưa hệ thống hoạt động trở lại cũng không đơn giản. Khi tham gia giải cứu một công ty môi giới chứng khoán cuối tháng trước, kỹ sư an ninh mạng Dương Ngọc Thái nói “không ngờ lần này khó đến vậy”. Dù công ty đã có khóa bí mật, các chuyên gia vẫn gặp khó do lượng dữ liệu lớn khiến quá trình giải mã mất nhiều thời gian và hay lỗi, không thể nhanh như kỳ vọng.

Trong báo cáo ransomware 2022 của công ty bảo mật Sophos, dựa trên khảo sát hơn 5.600 quản lý IT tại 31 quốc gia, 46% cho biết đã chấp nhận trả tiền để lấy lại dữ liệu. Tuy nhiên, chỉ 4% công ty trong số này khôi phục được toàn bộ dữ liệu, còn gần một nửa chỉ lấy lại được 61% dữ liệu.

Điều này xuất phát từ cơ chế mã hóa và tống tiền của tin tặc. Theo ông Vũ Ngọc Sơn, thông thường sau khi xâm nhập và mã hóa, hacker sẽ để luôn khóa trên hệ thống của nạn nhân, sau đó mã hóa luôn khóa đó thay vì gửi về máy chủ của chúng. Việc này nhằm đảm bảo mỗi nạn nhân là một khóa khác nhau, tránh việc một người bỏ tiền mua để mở cho người khác.

“Điều này giống như kẻ trộm đột nhập vào nhà, khóa hết các cửa, sau đó cho toàn bộ chìa vào một cái hộp và tiếp tục khóa lại”, ông Sơn nói. Nếu người dùng trả tiền chuộc, họ sẽ nhận được chìa khóa để mở hộp. Nếu thành công mới tiến tiến tới mở khóa từng cánh cửa. Quá trình này diễn ra một cách thận trọng để tránh nguy cơ bị tấn công trở lại.

Theo ông Sơn, quy trình xử lý khi bị ransomware diễn ra trong bốn giai đoạn, gồm: cấp cứu, rà soát, phục hồi và rút kinh nghiệm. Để đưa một hệ thống trở lại hoạt động, tức giai đoạn phục hồi, bước rà soát là giai đoạn quan trọng để đảm bảo tạo ra một môi trường mạng sạch. Các đơn vị sẽ phải tìm và vá lỗ hổng trên hệ thống, rà kỹ từng máy chủ và đưa từng thành phần hoạt động trở lại, sau khi đã bổ sung các phương án phòng thủ cần thiết.

Đây cũng là lý do khiến việc mở khóa ngay cả khi có mã thường tốn nhiều thời gian. Theo báo cáo của công ty nghiên cứu thị trường Statista giai đoạn 2021-2023, các công ty bị gián đoạn hoạt động trung bình 20-26 ngày sau khi bị tấn công ransomware.

“Khi một hệ thống rất lớn bị tấn công, chúng ta không biết bắt đầu từ đâu và phải làm sạch từng máy chủ, ban hành quy trình, đưa vào giám sát… nên cần rất nhiều thời gian, không thể tính bằng ngày được”, ông Sơn nói.

Liên hệ với sự cố tại Việt Nam, ông Sơn cho rằng việc công ty VnDirect có thể hoạt động trở lại sau một tuần là “nhanh và đáng được ghi nhận”. Sau khi bị tấn công vào ngày 24/3, VnDirect cho biết đã thông luồng giao dịch thành công trên môi trường giả lập vào ngày 28/3, trước khi có thể kết nối với các bên liên quan và thực hiện giao dịch trở lại vào ngày 1/4.

Tại tọa đàm, các doanh nghiệp, tổ chức được khuyến nghị cần bình tĩnh khi bị tấn công ransomware, cách ly ngay hệ thống bị tấn công, thông báo tới cơ quan chức năng và các bên liên quan để cùng đưa ra phương án xử lý. Điều này cũng giúp tránh được sai lầm, như vội vàng khôi phục hệ thống, làm mất dấu vết tấn công, gây khó trong xác định nguyên nhân và làm tăng nguy cơ tái diễn cuộc tấn công về sau.

Với đơn vị chưa bị tấn công, theo các chuyên gia, rà quét hệ thống và sao lưu dữ liệu là phương án tốt nhất để phòng ngừa tấn công mã hóa dữ liệu, nhưng phải đúng cách.

Ông Phạm Thái Sơn, đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia, cho rằng cần sao lưu theo mô hình 3-2-1, tức có ít nhất ba bản, ở hai định dạng khác nhau và có ít nhất một bản offline. “Nếu không tách rời hạ tầng, có chiến thuật rõ ràng, rất có thể sẽ không còn gì để khôi phục”, ông Sơn nói.

Lưu Quý