Nội dung
Theo Cybersecurity Ventures, năm 2019, cứ 14 giây lại có một cuộc tấn công ransomware xảy ra. Vào năm 2021, con số này giảm xuống thành 11 giây. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Trước tình hình này, doanh nghiệp cần sẵn sàng các phương án đối phó để giảm thiểu thiệt hại do ransomware. Dưới đây là 10 bước doanh nghiệp nên thực hiện để phản ứng tức thời nếu bị tấn công ransomware.
1. Cách ly các thiết bị đã bị nhiễm ransomware
Nếu nghi ngờ máy tính bị nhiễm ransomware, doanh nghiệp nên ngắt kết nối thiết bị đó ra khỏi mạng bằng cách rút cáp ethernet, tắt wifi, buetooth và bất kỳ kết nối mạng nào khác. Việc này cần được thực hiện ngay khi doanh nghiệp phát hiện có dấu hiệu của ransomware. Bởi ransomware lây lan cực nhanh qua kết nối mạng. Nếu cô lập được máy bị nhiễm ransomware, doanh nghiệp có thể ngăn chặn tình trạng ransomware lây lan sang các thiết bị khác trong hệ thống mạng. Nếu doanh nghiệp nghi ngờ nhiều máy đã bị xâm nhập, hãy áp dụng các biện pháp tương tự.
Tìm hiểu thêm: Ransomware là gì? Từ A-Z về mã độc tống tiền
2. Thông báo cho team IT để kịp thời xử lý sự cố
Khi phát hiện sự cố, doanh nghiệp phải thông báo ngay cho team IT của mình. Team IT sẽ đưa ra hướng xử lý để đối phó với cuộc tấn công. Đây cũng là lúc team IT triển khai kế hoạch ứng cứu sự cố. Kế hoạch này đảm bảo sự cố sẽ được khắc phục nhanh nhất và hiệu quả nhất có thể. Bên cạnh đó, tất cả bằng chứng sẽ được thu thập và ghi lại đầy đủ. Việc sở hữu các thông tin chi tiết về sự cố sẽ giúp doanh nghiệp xác định được lỗ hổng trong hệ thống mạng. Từ đó, doanh nghiệp có thể cải thiện năng lực bảo mật trong tương lai.
3. Xác định loại ransomware
Việc xác định được loại ransomware tấn công hệ thống mạng sẽ giúp doanh nghiệp hiểu cách chúng lây lan, những loại tệp mà chúng có thể mã hóa và cách loại bỏ chúng. Hiện nay, trên thị trường mã độc có rất nhiều loại ransomware khác nhau. Tuy nhiên, hai loại phổ biến nhất là screen locking ransomware (ransomware khóa màn hình) và encrypting ransomware (ransomware mã hóa). Ransomware khóa màn hình không quá đáng ngại. Kể cả khi tin tặc đã khóa toàn bộ hệ thống, các tệp tin sẽ được an toàn cho đến khi nạn nhân trả tiền chuộc. Tuy nhiên, với ransomware mã hóa, doanh nghiệp cần cảnh giác hơn. Thay vì từ chối quyền truy cập của người dùng, chúng tìm tất cả dữ liệu nhạy cảm và mã hóa nó. Sau đó, tin tặc đòi doanh nghiệp trả tiền chuộc để dữ liệu được giải mã và khôi phục.
4. Thông báo cho nhân viên trong doanh nghiệp
Doanh nghiệp nên thông báo ngay cho nhân viên của mình rằng đã có sự cố mạng xảy ra, giải thích ảnh hưởng của nó với doanh nghiệp và vạch ra những bước sẽ thực hiện để giảm thiểu hậu quả. Cho dù máy tính của họ có bị nhiễm ransomware hay không thì team IT vẫn sẽ phải kiểm tra và rà quét nhằm ngăn chặn các nguy cơ tấn công. Vì vậy, điều quan trọng là phải thông báo minh bạch về tình hình an ninh đang diễn ra.
5. Thay đổi thông tin đăng nhập
Ransomware có thể lây lan với tốc độ chóng mặt bằng cách thu thập địa chỉ IP và thông tin đăng nhập của người dùng. Nếu tin tặc có được thông tin đăng nhập, chúng có thể mã hóa tệp và xóa sạch các bản sao lưu dữ liệu. Để đảm bảo hệ thống mạng luôn an toàn, doanh nghiệp nên thay đổi ngay lập tức tất cả thông tin đăng nhập của quản trị viên và người dùng.
6. Chụp ảnh yêu cầu tiền chuộc của tin tặc
Nếu có thể, doanh nghiệp nên chụp ảnh về yêu cầu tiền chuộc trên điện thoại di động. Hình ảnh này có thể được sử dụng làm bằng chứng khi doanh nghiệp trình báo sự việc với cảnh sát. Đây là cũng yêu cầu cần thiết nếu doanh nghiệp nộp đơn yêu cầu bảo hiểm an ninh mạng.
7. Thông báo cho cơ quan chức năng
Doanh nghiệp nên thông báo cho cảnh sát về sự cố mạng mình gặp phải. Cảnh sát có thể hỗ trợ điều tra sự cố và tìm ra kẻ đứng sau chiến dịch tấn công này. Điều này cũng giúp các doanh nghiệp khác tránh bị tấn công tương tự. Bởi thông thường, trong một chiến dịch tấn công, tin tặc sẽ nhắm vào nhiều doanh nghiệp cùng một lúc.
8. Không bao giờ trả tiền chuộc
Cơ quan An ninh Quốc gia khuyến cáo các doanh nghiệp không nên trả tiền chuộc. Bởi việc này khuyến khích tin tặc thực hiện các cuộc tấn công tiếp theo. Hậu quả là các cuộc tấn công sẽ lặp đi lặp lại không có hồi kết. Không những thế, nếu trả tiền chuộc, cũng không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình. Trong trường hợp có thể lấy lại, điều này làm gia tăng khả năng bị tấn công trở lại trong tương lai.
9. Cập nhật hệ thống bảo mật
Sau khi khắc phục được sự cố, doanh nghiệp nên kiểm tra và cập nhật toàn bộ hệ thống mạng. Việc cập nhật các phiên bản mới nhất cho phần mềm sẽ ngăn chặn tin tặc khai thác các lỗ hổng trong các phiên bản phần mềm cũ hơn. Việc vá lỗi thường xuyên sẽ đảm bảo phần mềm ổn định và an toàn trước phần mềm độc hại.
10. Khôi phục dữ liệu từ các bản sao lưu
Chìa khóa để khôi phục sau khi bị tấn công ransomware là đảm bảo doanh nghiệp có bản sao lưu cập nhật các dữ liệu quan trọng. Doanh nghiệp nên áp dụng quy tắc sao lưu 3-2-1. Theo quy tắc này, doanh nghiệp nên duy trì ít nhất ba bản sao lưu dữ liệu trên ít nhất hai loại phương tiện lưu trữ khác nhau. Bên cạnh đó, doanh nghiệp nên đặt một bản sao lưu tại một địa điểm ngoài doanh nghiệp. Điều này sẽ cho phép doanh nghiệp khôi phục dữ liệu của mình một cách nhanh chóng mà không bị tống tiền khi bị yêu cầu trả tiền chuộc.
Nếu doanh nghiệp cần bảo vệ hệ thống mạng để ngăn chặn ransomware, hãy đăng ký để nhận tư vấn từ SecurityBox.