Trong nhiều năm, ransomware thường được hiểu là một dạng mã độc chuyên mã hóa dữ liệu và yêu cầu tiền chuộc để khôi phục hệ thống. Tuy nhiên, bức tranh này đang thay đổi nhanh chóng. Theo các chuyên gia an ninh mạng, ransomware đã bước sang một giai đoạn mới với mô hình “multi-extortion” (Tống tiền đa lớp), nơi kẻ tấn công không chỉ khóa dữ liệu mà còn tận dụng nhiều phương thức gây áp lực khác nhau để buộc nạn nhân phải trả tiền.
Ransomware không còn chỉ là “mã hóa dữ liệu”
Trong các chiến dịch hiện đại, kẻ tấn công thường xâm nhập hệ thống, âm thầm thu thập và đánh cắp dữ liệu nhạy cảm trước khi triển khai mã hóa. Điều này đồng nghĩa với việc dữ liệu không chỉ bị khóa mà còn nằm trong tay tin tặc. Sau khi hoàn tất quá trình mã hóa, chúng sẽ sử dụng chính dữ liệu đã đánh cắp làm công cụ tống tiền, đe dọa công bố lên Internet nếu nạn nhân không chấp nhận yêu cầu. Không dừng lại ở đó, nhiều nhóm tấn công còn gia tăng áp lực bằng cách thực hiện các cuộc tấn công từ chối dịch vụ hoặc chủ động liên hệ với khách hàng, đối tác của nạn nhân nhằm gây sức ép từ nhiều phía.
Từ “double extortion” đến “multi-extortion”
Sự phát triển của mô hình này là kết quả của quá trình tiến hóa kéo dài trong nhiều năm. Ban đầu, ransomware chỉ tập trung vào việc mã hóa dữ liệu. Đến khoảng năm 2019, chiến thuật “double extortion” bắt đầu xuất hiện, kết hợp giữa mã hóa và đe dọa rò rỉ dữ liệu. Tuy nhiên, khi các tổ chức dần cải thiện khả năng sao lưu và khôi phục hệ thống, hiệu quả của phương thức này giảm sút. Để thích nghi, tội phạm mạng tiếp tục mở rộng chiến lược sang mô hình multi-extortion, bổ sung thêm nhiều hình thức gây áp lực nhằm tối đa hóa khả năng thu lợi. Trọng tâm của các cuộc tấn công vì thế cũng dịch chuyển, từ việc phá hoại hệ thống sang khai thác giá trị của dữ liệu và rủi ro liên quan đến danh tiếng.
Vì sao multi-extortion nguy hiểm hơn?
Điểm khác biệt lớn nhất của multi-extortion nằm ở việc nó tạo ra áp lực trên nhiều mặt trận cùng lúc. Ngay cả khi một tổ chức có thể khôi phục hệ thống từ bản sao lưu, dữ liệu bị đánh cắp vẫn có thể bị công bố bất cứ lúc nào. Điều này kéo theo những hệ lụy nghiêm trọng liên quan đến pháp lý, đặc biệt trong bối cảnh các quy định về bảo vệ dữ liệu ngày càng chặt chẽ. Bên cạnh đó, nguy cơ mất uy tín thương hiệu và niềm tin của khách hàng cũng trở thành yếu tố khiến nhiều doanh nghiệp buộc phải cân nhắc trả tiền chuộc. Không chỉ dừng ở khía cạnh kỹ thuật, các cuộc tấn công này còn mang tính chất tâm lý khi tin tặc có thể công khai một phần dữ liệu hoặc liên hệ trực tiếp với các bên liên quan để khuếch đại áp lực, biến một sự cố an ninh thành khủng hoảng toàn diện.
Sự thay đổi trong chiến lược phòng thủ
Sự xuất hiện của multi-extortion ransomware đã làm thay đổi căn bản cách tiếp cận an ninh mạng của nhiều tổ chức. Các biện pháp phòng thủ truyền thống dựa vào việc bảo vệ ranh giới hệ thống như tường lửa hay các giải pháp phát hiện xâm nhập không còn đủ để đối phó. Thay vào đó, trọng tâm cần được chuyển sang bảo vệ dữ liệu ngay cả khi hệ thống đã bị xâm nhập. Điều này bao gồm việc mã hóa dữ liệu khi lưu trữ, kiểm soát truy cập chặt chẽ và áp dụng các mô hình bảo mật như Zero Trust nhằm hạn chế tối đa khả năng truy cập trái phép. Đồng thời, các tổ chức vẫn cần duy trì khả năng phục hồi nhanh thông qua các hệ thống sao lưu độc lập và kế hoạch khôi phục sau thảm họa. Trong bối cảnh mới, mục tiêu không còn là ngăn chặn hoàn toàn mọi cuộc tấn công mà là giảm thiểu giá trị khai thác của dữ liệu nếu chẳng may bị đánh cắp.
Công nghệ phòng thủ mới và hướng tiếp cận dữ liệu
Một trong những hướng đi đang được chú ý là các giải pháp bảo mật tập trung vào dữ liệu, khi thông tin được mã hóa ngay từ đầu và vẫn giữ trạng thái không thể sử dụng ngay cả khi rơi vào tay kẻ tấn công. Các công nghệ này thường kết hợp giữa mã hóa, kiểm soát truy cập và khả năng khôi phục, nhằm đảm bảo rằng dữ liệu không trở thành công cụ tống tiền. Cách tiếp cận này đánh dấu sự chuyển dịch từ mô hình bảo mật tập trung vào mạng sang mô hình lấy dữ liệu làm trung tâm, phù hợp với thực tế khi dữ liệu đã trở thành tài sản quan trọng nhất của doanh nghiệp.
Sự trỗi dậy của multi-extortion ransomware cho thấy ransomware không còn đơn thuần là một mối đe dọa kỹ thuật mà đã trở thành một chiến lược tống tiền đa chiều với mức độ tinh vi ngày càng cao. Trong bối cảnh này, các biện pháp truyền thống như sao lưu dữ liệu không còn đủ để đảm bảo an toàn tuyệt đối. Khi dữ liệu trở thành mục tiêu chính, các tổ chức buộc phải thay đổi tư duy, chuyển từ bảo vệ hệ thống sang bảo vệ dữ liệu. Nếu không thích nghi kịp thời, ngay cả khi hệ thống có thể được khôi phục, tổ chức vẫn có thể chịu thiệt hại nghiêm trọng khi dữ liệu đã bị biến thành công cụ gây áp lực trong tay kẻ tấn công.
Sự trỗi dậy của multi-extortion ransomware cho thấy ransomware không còn đơn thuần là một mối đe dọa kỹ thuật mà đã trở thành một chiến lược tống tiền đa chiều với mức độ tinh vi ngày càng cao. Trong bối cảnh này, các biện pháp truyền thống như sao lưu dữ liệu không còn đủ để đảm bảo an toàn tuyệt đối. Khi dữ liệu trở thành mục tiêu chính, các tổ chức buộc phải thay đổi tư duy, chuyển từ bảo vệ hệ thống sang bảo vệ dữ liệu. Nếu không thích nghi kịp thời, ngay cả khi hệ thống có thể được khôi phục, tổ chức vẫn có thể chịu thiệt hại nghiêm trọng khi dữ liệu đã bị biến thành công cụ gây áp lực trong tay kẻ tấn công.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview