Chính phủ Mỹ đã quá ngán ngẩm với các khoản chi trả tiền chuộc ransomware

Ann Neuberger, Phó Cố vấn an ninh quốc gia Mỹ về công nghệ mạng và công nghệ mới nổi, đã viết trong một bài bình luận gần đây trên tờ Financial Times rằng, các chính sách bảo hiểm — đặc biệt là các chính sách bảo hiểm chi trả cho các khoản thanh toán tiền chuộc — đang thúc đẩy chính hệ sinh thái tội phạm mà họ muốn giảm thiểu. “Đây là một hoạt động đáng lo ngại cần phải chấm dứt”, bà viết.

Việc tập trung vào bảo hiểm mạng như một lĩnh vực trọng tâm để cải cách diễn ra khi chính phủ Mỹ đang loay hoay tìm cách phá vỡ các mạng lưới ransomware.

Theo báo cáo mới nhất của Văn phòng Giám đốc Tình báo Quốc gia Mỹ, đến giữa năm 2024, hơn 2.300 sự cố đã được ghi nhận — gần một nửa nhắm vào các tổ chức của Mỹ, cho thấy năm 2024 có thể vượt quá 4.506 cuộc tấn công được ghi nhận trên toàn cầu vào năm 2023.

Đối với nhiều tổ chức, việc quyết định có nên trả tiền chuộc hay không là một quyết định khó khăn và cấp bách. “Vào năm 2024, tôi đã tham dự một cuộc họp báo của FBI, nơi họ tiếp tục khuyên không nên trả tiền chuộc”, Paul Underwood, Phó Chủ tịch an ninh tại công ty dịch vụ CNTT Neovera cho biết. “Tuy nhiên, sau khi đưa ra tuyên bố đó, họ nói rằng đó là một quyết định kinh doanh và khi các công ty đưa ra quyết định đó, họ sẽ tính đến nhiều yếu tố hơn. Ngay cả FBI cũng hiểu rằng các doanh nghiệp cần phải làm bất cứ điều gì cần thiết để hoạt động trở lại”, Underwood cho biết.

Chuyên gia an ninh mạng Bryan Hornung, CEO của Xact IT Solutions cho biết, có rất nhiều yếu tố ảnh hưởng đến quyết định xem bạn có nên trả tiền chuộc hay không. Ngoài thời gian ngừng hoạt động, một nỗi sợ hãi lớn đối với các công ty là khả năng bị tiết lộ dữ liệu nhạy cảm — đặc biệt là nếu dữ liệu đó liên quan đến khách hàng, nhân viên hoặc đối tác.

Một ví dụ đáng chú ý là Lehigh Valley Health Network (LVHN). Năm 2023, bệnh viện có trụ sở tại Pennsylvania (Mỹ) đã từ chối trả khoản tiền chuộc 5 triệu USD cho băng đảng ALPHV/BlackCat, dẫn đến rò rỉ dữ liệu ảnh hưởng đến 134.000 bệnh nhân trên dark web, bao gồm cả ảnh khỏa thân của khoảng 600 bệnh nhân ung thư vú. Hậu quả là nghiêm trọng, dẫn đến một vụ kiện tập thể, cuối cùng LVHN đồng ý giải quyết vụ kiện với số tiền 65 triệu USD.

Ngay cả khi các công ty chọn trả tiền, không có gì chắc chắn rằng dữ liệu sẽ vẫn an toàn. UnitedHealth Group đã trải nghiệm điều này trực tiếp sau khi công ty con của họ là Change Healthcare, bị nhóm tống tiền ALPHV/BlackCat tấn công vào tháng 4/2023. Mặc dù đã trả khoản tiền chuộc 22 triệu USD để ngăn chặn rò rỉ dữ liệu và nhanh chóng khôi phục hoạt động. Tuy nhiên, một nhóm tin tặc thứ hai là RansomHub, tức giận vì ALPHV/BlackCat không phân phối tiền chuộc cho các chi nhánh của mình.

Nhóm tin tặc này đã truy cập vào dữ liệu bị đánh cắp và yêu cầu Change Healthcare trả thêm tiền chuộc. Mặc dù Change Healthcare chưa báo cáo liệu họ có trả tiền hay không, nhưng thực tế là dữ liệu bị đánh cắp cuối cùng đã bị rò rỉ trên dark web và nạn nhân tiếp tục phải đối diện với nguy cơ bị tống tiền tiếp theo.

Một điểm đáng lưu ý, theo các chuyên gia, hệ thống phòng thủ mạng được cải thiện nhanh chóng bao nhiêu thì tội phạm mạng cũng thích nghi nhanh bấy nhiêu. 

Một báo cáo gần đây từ chuyên gia về hoạt động tống tiền trên mạng Coveware nêu bật sự thay đổi đáng kể trong các kiểu tấn công bằng ransomware khi tin tặc ngày càng dựa vào các cuộc tấn công trích xuất dữ liệu. Điều đó có nghĩa là thông tin nhạy cảm bị đánh cắp nhưng không được mã hóa và có thể được chuyển tiếp trên các kênh không chính thống. Tiền chuộc được yêu cầu không phải để khôi phục các tệp được mã hóa mà để ngăn dữ liệu bị đánh cắp bị phát hành công khai hoặc bán trên dark web.

Theo Coveware, các cuộc tấn công mới của những kẻ hành động đơn độc và các nhóm tội phạm mới nổi đã xuất hiện sau sự sụp đổ của ALPHV/BlackCat và Lockbit. Hai băng nhóm ransomware này nằm trong số những băng nhóm hoạt động mạnh nhất, với LockBit được cho là chịu trách nhiệm cho gần 2.300 cuộc tấn công và ALPHV/BlackCat hơn 1.000 cuộc, trong đó 75% là ở Mỹ.

BlackCat đã ẩn thân, tạm ngưng hoạt động sau khi đánh cắp tiền chuộc trong cuộc tấn công Change Healthcare, chính phủ Mỹ thậm chí đã trao thưởng 10 triệu USD cho ai có thông tin giúp truy quét nhóm tin tặc này. Lockbit đã bị triệt phá sau một chiến dịch mang tầm quốc tế gần đây. Mặc dù hoạt động của các nhóm tội phạm khét tiếng này đã bị triệt phá và gián đoạn, các nhóm ransomware vẫn nhanh chóng được xây dựng lại và hoạt động dưới những cái tên mới.

Một điểm mà các chuyên gia an ninh mạng đều đồng ý là phòng ngừa chính là giải pháp tối ưu. Họ khuyến nghị các doanh nghiệp phân bổ từ 1% đến 3% doanh thu hàng đầu của họ cho an ninh mạng. Các lĩnh vực như chăm sóc sức khỏe và dịch vụ tài chính, xử lý dữ liệu cực kỳ nhạy cảm, múc đầu tư cần cao hơn.

Ngoài ra, các biện pháp chủ động như phát hiện điểm cuối — một loại “bảo vệ an ninh” trên máy tính của bạn liên tục tìm kiếm các dấu hiệu hoạt động bất thường hoặc đáng ngờ để cảnh báo cho người dùng. Khi phát hiện bất thường, một tính năng sao lưu sẽ được kích hoạt và khắc phục thiệt hại sẽ rất cần thiết cho các doanh nghiệp.

Các chuyên gia trong ngành cũng nhấn mạnh: “Các tổ chức có xu hướng hoảng loạn và phản ứng theo quán tính trước các cuộc xâm nhập của ransomware”. Để tránh điều này, các doanh nghiệp cần xây dựng một kế hoạch ứng phó sự cố, bao gồm các biện pháp đối phó như sao lưu dữ liệu đáng tin cậy và diễn tập thường xuyên để đảm bảo rằng các quy trình khôi phục hoạt động trong các tình huống thực tế.