Love AI
New member
Sao lưu vẫn quan trọng, nhưng không còn đủ trước một làn sóng ransomware tối ưu hóa bằng cách trích xuất dữ liệu. Các báo cáo mới chỉ ra kẻ tấn công giờ coi dữ liệu như con tin, buộc doanh nghiệp phải thay đổi cách nghĩ về khả năng chống chịu.
Trong nhiều năm, kịch bản ransomware quen thuộc là hệ thống bị mã hóa, hoạt động bị gián đoạn và câu hỏi đặt ra là có thể phục hồi từ bản sao lưu hay phải trả tiền chuộc.
Tuy nhiên, báo cáo ngành từ Fortra, dựa trên hàng trăm cuộc điều tra sự cố, cho thấy các vụ tống tiền chỉ bằng dữ liệu (không mã hóa) đã tăng gấp 11 lần so với cùng kỳ năm trước, từ 2% lên 22% các vụ. Đây là dấu hiệu chuyển dịch chiến lược của tội phạm mạng.
Báo cáo điều tra lỗ hổng dữ liệu của Verizon 2025 cũng phản ánh xu hướng này: ransomware xuất hiện trong 44% các vi phạm được xem xét và các sự cố có hay không có mã hóa đều được coi là phần của cùng một cảnh quan tống tiền.
Dữ liệu từ Coveware quý 2/2025 cho thấy hành vi trích xuất (exfiltration) xuất hiện trong 74% vụ, và nhiều lần việc đánh cắp dữ liệu được xem là mục tiêu chính, chứ không chỉ là bước chuẩn bị cho việc mã hóa. Nói cách khác, kẻ tấn công đang tối ưu hóa áp lực lên nạn nhân bằng cách nắm giữ dữ liệu nhạy cảm.
Hệ quả: nếu chỉ tin vào sao lưu để khôi phục hoạt động, doanh nghiệp có thể phục hồi hệ thống nhưng vẫn thất bại trong việc giảm thiểu hậu quả lớn hơn. Lãnh đạo cần trả lời nhanh các câu hỏi như: những dữ liệu nào bị lấy? Chủ sở hữu dữ liệu là ai? Dữ liệu đó nằm ở đâu (môi trường lõi, SaaS, nhà cung cấp)? Có dữ liệu được lưu trữ quá lâu không?
Để thu hẹp khoảng cách giữa phục hồi và khả năng chống chịu thực sự, tổ chức cần kết hợp nhiều biện pháp: lập bản đồ và phân loại dữ liệu, hạn chế lưu giữ không cần thiết, kiểm soát truy cập và mã hóa dữ liệu quan trọng, triển khai DLP và giám sát phát hiện sớm, tách mạng (segmentation) và sao lưu ngoại tuyến/đã kiểm thử.
Ngoài ra, cần chuẩn bị kế hoạch ứng phó sự cố toàn diện bao gồm kịch bản pháp lý và truyền thông, rà soát chuỗi cung ứng và hợp đồng với nhà cung cấp, áp dụng nguyên tắc zero trust và xác thực đa yếu tố. Sao lưu là nền tảng, nhưng hiện nay khả năng nhận diện, ngăn chặn và xử lý mất dữ liệu mới là yếu tố then chốt để giảm thiểu rủi ro từ các biến thể ransomware hiện đại.
Nguồn: Techradar
Trong nhiều năm, kịch bản ransomware quen thuộc là hệ thống bị mã hóa, hoạt động bị gián đoạn và câu hỏi đặt ra là có thể phục hồi từ bản sao lưu hay phải trả tiền chuộc.
Tuy nhiên, báo cáo ngành từ Fortra, dựa trên hàng trăm cuộc điều tra sự cố, cho thấy các vụ tống tiền chỉ bằng dữ liệu (không mã hóa) đã tăng gấp 11 lần so với cùng kỳ năm trước, từ 2% lên 22% các vụ. Đây là dấu hiệu chuyển dịch chiến lược của tội phạm mạng.
Báo cáo điều tra lỗ hổng dữ liệu của Verizon 2025 cũng phản ánh xu hướng này: ransomware xuất hiện trong 44% các vi phạm được xem xét và các sự cố có hay không có mã hóa đều được coi là phần của cùng một cảnh quan tống tiền.
Dữ liệu từ Coveware quý 2/2025 cho thấy hành vi trích xuất (exfiltration) xuất hiện trong 74% vụ, và nhiều lần việc đánh cắp dữ liệu được xem là mục tiêu chính, chứ không chỉ là bước chuẩn bị cho việc mã hóa. Nói cách khác, kẻ tấn công đang tối ưu hóa áp lực lên nạn nhân bằng cách nắm giữ dữ liệu nhạy cảm.
Hệ quả: nếu chỉ tin vào sao lưu để khôi phục hoạt động, doanh nghiệp có thể phục hồi hệ thống nhưng vẫn thất bại trong việc giảm thiểu hậu quả lớn hơn. Lãnh đạo cần trả lời nhanh các câu hỏi như: những dữ liệu nào bị lấy? Chủ sở hữu dữ liệu là ai? Dữ liệu đó nằm ở đâu (môi trường lõi, SaaS, nhà cung cấp)? Có dữ liệu được lưu trữ quá lâu không?
Để thu hẹp khoảng cách giữa phục hồi và khả năng chống chịu thực sự, tổ chức cần kết hợp nhiều biện pháp: lập bản đồ và phân loại dữ liệu, hạn chế lưu giữ không cần thiết, kiểm soát truy cập và mã hóa dữ liệu quan trọng, triển khai DLP và giám sát phát hiện sớm, tách mạng (segmentation) và sao lưu ngoại tuyến/đã kiểm thử.
Ngoài ra, cần chuẩn bị kế hoạch ứng phó sự cố toàn diện bao gồm kịch bản pháp lý và truyền thông, rà soát chuỗi cung ứng và hợp đồng với nhà cung cấp, áp dụng nguyên tắc zero trust và xác thực đa yếu tố. Sao lưu là nền tảng, nhưng hiện nay khả năng nhận diện, ngăn chặn và xử lý mất dữ liệu mới là yếu tố then chốt để giảm thiểu rủi ro từ các biến thể ransomware hiện đại.
Nguồn: Techradar
Bài viết liên quan
