Mã độc tống tiền: Cơ chế tấn công và chiến thuật phòng thủ

Hoàng

January 8, 2026

18 phút đọc

Sao lưu dữ liệu theo quy tắc 3-2-1

Để phòng thủ trước ransomware, chiến lược sao lưu đóng vai trò như lớp bảo vệ cuối cùng.

Nó là ranh giới giữa phải trả hàng triệu USD tiền chuộc hay tự khôi phục hoạt động độc lập.

Các phương pháp sao lưu truyền thống đã chứng minh không đủ sức chống lại các biến thể ransomware hiện đại vì loại mã độc này tấn công vào kho lưu trữ sao lưu trước khi mã hóa hệ thống chính.

Thực tế này đã đưa phương pháp sao lưu bất biến theo quy tắc 3-2-1 lên vị trí hạ tầng quan trọng đối với mọi doanh nghiệp nghiêm túc về khả năng chống chịu ransomware.

Ví dụ: Ngân hàng triển khai hệ thống sao lưu bất biến với 3 bản sao dữ liệu giao dịch: bản chính tại data center Hà Nội, bản sao trên ổ đĩa NVMe tại TP.HCM, và bản sao trên băng từ LTO-9 được bảo quản offline tại kho lưu trữ Bình Dương.

Khi chi nhánh Đà Nẵng bị tấn công ransomware, ngân hàng khôi phục toàn bộ dữ liệu trong 18 giờ mà không cần trả tiền chuộc.

Khung sao lưu 3-2-1 yêu cầu duy trì ba bản sao dữ liệu quan trọng trên hai loại phương tiện lưu trữ khác nhau với ít nhất một bản được lưu trữ offline hoặc ở trạng thái bất biến.

Số “3” đảm bảo tính dự phòng trước điểm lỗi đơn lẻ cộng với hai bản sao bổ sung.

Số “2” giảm thiểu rủi ro liên quan đến lỗi đặc thù của phương tiện lưu trữ thông qua đa dạng hóa các loại lưu trữ (ví dụ, kết hợp sao lưu trên ổ đĩa với băng từ lưu trữ hoặc lưu trữ đám mây).

Số “1” đại diện cho yếu tố quan trọng nhất: bản sao lưu offline hoặc bất biến mà ransomware không thể tiếp cận hoặc sửa đổi ngay cả khi kẻ tấn công giành được quyền quản trị mạng.

Tính bất biến trong ngữ cảnh này có nghĩa là triển khai công nghệ WORM (Write-Once-Read-Many – Ghi một lần, Đọc nhiều lần) hoặc khóa lưu giữ dựa trên thời gian nhằm ngăn chặn mọi người dùng kể cả quản trị viên xóa hoặc sửa đổi dữ liệu sao lưu trong khoảng thời gian xác định.

Các giải pháp sao lưu hiện đại đạt được điều này thông qua các tính năng như AWS S3 Object Lock, Azure Immutable Blob Storage hoặc thiết bị chuyên dụng với kho lưu trữ cách ly hoàn toàn (air-gapped).

Cách tiếp cận này trực tiếp đối phó với chiến thuật ransomware liên quan đến xóa Volume Shadow Copies và danh mục sao lưu trước khi bắt đầu mã hóa.

Ví dụ: Tập đoàn đa ngành sử dụng giải pháp Dell EMC Data Domain với tính năng Retention Lock để bảo vệ dữ liệu sao lưu của các hệ thống VinFast, Vinmec và VinCommerce.

Dữ liệu được khóa trong 90 ngày không thể xóa, đồng thời một bản sao được chuyển sang băng từ IBM TS4500 lưu trữ tại trung tâm dữ liệu dự phòng ở Đà Nẵng, hoàn toàn ngắt kết nối mạng.

Các doanh nghiệp triển khai đúng chiến lược sao lưu bất biến 3-2-1 có được sự tự tin tuyệt đối về khả năng khôi phục bất kể mức độ phức tạp của cuộc tấn công.

Khi toàn bộ hạ tầng mạng bị mã hóa, các bản sao lưu được bảo vệ tạo điều kiện khôi phục hoàn toàn mà không cần trả tiền chuộc.

Tính chất offline hoặc bất biến đảm bảo ngay cả khi kẻ tấn công dành hàng tuần để thiết lập sự tồn tại dai dẳng trong môi trường của bạn, chúng không thể xâm phạm nền tảng khôi phục.

Sự bảo vệ này đã chứng minh tính thiết yếu trong các sự cố thực tế.

Các công ty có sao lưu bất biến mạnh mẽ thường khôi phục hoạt động trong vài ngày, trong khi những công ty không có phải đối mặt với hàng tuần ngừng hoạt động hoặc đàm phán tiền chuộc tốn kém.

Ví dụ: Tập đoàn phần mềm khi bị tấn công ransomware vào chi nhánh Đà Nẵng đã khôi phục 450TB dữ liệu source code và tài liệu dự án trong 72 giờ từ bản sao lưu trên Veeam Backup & Replication với Object Lock được lưu nội bộ. 

Quản lý lỗ hổng và vá lỗi

Khoảng cách giữa công bố lỗ hổng và triển khai bản vá tạo ra cửa sổ phơi bày quan trọng mà các nhóm ransomware tích cực khai thác.

Phân tích lịch sử các chiến dịch ransomware lớn cho thấy kẻ tấn công liên tục nhắm vào các hệ thống hướng Internet chạy phần mềm chưa vá với các thiết bị VPN, cổng email và máy chủ web đại diện cho các điểm xâm nhập chính.

Các cuộc tấn công khét tiếng khai thác lỗ hổng Fortinet VPN (CVE-2022-40684) và các lỗi VMware ESXi (CVE-2021-21974) thành công chính xác vì các doanh nghiệp trì hoãn vá lỗi mặc dù các bản cập nhật bảo mật đã có sẵn công khai.

Ví dụ: Tháng 8/2023, Bệnh viện đa khoa phát hiện lỗ hổng CVE-2023-27997 trên thiết bị FortiGate 600E quản lý VPN cho bác sĩ truy cập từ xa.

Đội ngũ IT triển khai bản vá FortiOS 7.2.5 trong 36 giờ sau khi Fortinet phát hành, tránh được cuộc tấn công ransomware LockBit nhắm vào cùng lỗ hổng này đã gây thiệt hại cho 3 bệnh viện khác tại khu vực Đông Nam Á.

Quản lý lỗ hổng hiệu quả đòi hỏi ưu tiên dựa trên rủi ro, tập trung nguồn lực vào các điểm phơi bày nguy hiểm nhất.

Các hệ thống hướng Internet đòi hỏi vá lỗi ngay lập tức, lý tưởng trong vòng 24-48 giờ sau khi phát hành bản cập nhật bảo mật vì chúng liên tục bị thăm dò bởi các công cụ quét tự động và các tác nhân đe dọa.

Danh mục này bao gồm hạ tầng truy cập từ xa (bộ tập trung VPN, cổng Remote Desktop Protocol), máy chủ email bên ngoài, ứng dụng web công khai và mọi dịch vụ có thể truy cập trực tiếp từ Internet.

Hệ thống nội bộ có thể tuân theo lịch trình thận trọng hơn một chút, mặc dù các lỗ hổng nghiêm trọng vẫn đòi hỏi phản ứng nhanh.

Doanh nghiệp nên duy trì danh mục tài sản chi tiết xác định hệ thống nào hướng Internet và hệ thống nào nội bộ.

Do dó giúp nhóm bảo mật áp dụng các bản vá một cách chính xác tại nơi quan trọng nhất.

Các công cụ quét lỗ hổng tích hợp với nền tảng Quản lý Thông tin và Sự kiện Bảo mật (SIEM) có thể tự động phát hiện các bản vá thiếu và theo dõi tiến độ khắc phục trong toàn bộ môi trường.

Ví dụ: Doanh nghiệp viễn thông triển khai hệ thống Tenable.sc để quét lỗ hổng trên 12,500 thiết bị của các khách hàng doanh nghiệp.

Hệ thống tự động phân loại theo CVSS score và vị trí:

• Lỗ hổng Critical trên firewall, VPN, web server được vá trong 24h.
• Lỗ hổng High trên máy chủ nội bộ trong 72h.
• Medium trong 7 ngày.
• Tích hợp với HPE ArcSight SIEM để cảnh báo real-time khi phát hiện exploit attempt trước khi vá lỗi hoàn tất.

Các doanh nghiệp duy trì kỷ luật quản lý vá lỗi nghiêm ngặt làm giảm đáng kể bề mặt tấn công ransomware của họ.

Thông qua khả năng loại bỏ các lỗ hổng đã biết trong hạ tầng hướng Internet, đội phòng thủ buộc kẻ tấn công hướng đến các phương pháp tốn nhiều nguồn lực hơn như lừa đảo hoặc xâm phạm chuỗi cung ứng.

Cách tiếp cận vận hành này biến quản lý lỗ hổng từ một mục tuân thủ hình thức thành cơ chế phòng thủ chủ động đo lường được.

Do đó giảm xác suất vi phạm và rút ngắn thời gian giữa công bố mối đe dọa và triển khai bảo vệ.

Ví dụ: Ngân hàng sau khi triển khai quy trình vá lỗi tự động với Microsoft SCCM và Red Hat Satellite đã giảm 87% số lượng lỗ hổng Critical chưa vá từ 234 xuống 31 lỗ hổng trong 6 tháng.

Mean Time To Patch (MTTP) cho Internet-facing systems giảm từ 14 ngày xuống 2.3 ngày.

Do đó giúp ngăn chặn 5 cuộc tấn công ransomware thông qua khai thác lỗ hổng Citrix ADC và Microsoft Exchange trong năm 2024.

Định danh và kiểm soát truy cập

Các nhóm ransomware đã phát triển vượt ra ngoài triển khai đơn thuần mã độc để trở thành các chiến dịch phức tạp tận dụng thông tin xác thực bị đánh cắp để truy cập dai dẳng và leo thang đặc quyền.

Phân tích các cuộc tấn công gần đây cho thấy 70-80% sự cố ransomware liên quan đến thông tin xác thực bị xâm phạm ở giai đoạn nào đó dù thông qua lừa đảo, tấn công vét cạn thông tin xác thực hoặc khai thác các cơ chế xác thực yếu.

Thực tế này đặt quản lý định danh và truy cập vào vị trí nền tảng của phòng thủ ransomware, đặc biệt đối với các đường dẫn truy cập từ xa và tài khoản quản trị.

Ví dụ: Tháng 3/2024, Công ty Dược phẩm bị tấn công ransomware LockBit 3.0 thông qua tài khoản VPN của kỹ sư IT nghỉ việc từ 8 tháng trước nhưng chưa bị vô hiệu hóa.

Kẻ tấn công sử dụng credential stuffing với database leak từ dark web, đăng nhập thành công vào Cisco AnyConnect VPN.

Sau đó leo thang đặc quyền lên Domain Admin và mã hóa 156 máy chủ sản xuất dược phẩm.

Triển khai xác thực đa yếu tố (MFA) trên tất cả các kênh truy cập từ xa bao gồm VPN, Remote Desktop Protocol (RDP), bảng điều khiển dịch vụ đám mây và email để tạo ra rào cản vững chắc trước xâm nhập dựa trên thông tin xác thực.

MFA yêu cầu kẻ tấn công phải xâm phạm không chỉ mật khẩu mà còn cả token vật lý, thiết bị di động hoặc yếu tố sinh trắc học làm tăng theo cấp số nhân độ phức tạp tấn công.

Doanh nghiệp nên bắt buộc MFA đặc biệt đối với tài khoản quản trị, cung cấp đặc quyền nâng cao mà các nhóm ransomware tìm kiếm để mã hóa toàn domain và xóa sao lưu.

Các triển khai MFA hiện đại nên ưu tiên các phương pháp chống lừa đảo như FIDO2 hardware token hoặc xác thực dựa trên chứng chỉ thay vì mã SMS hoặc email, vẫn dễ bị đánh cắp.

Đối với truy cập quản trị, xem xét triển khai workstation truy cập đặc quyền thực thi MFA ở cấp phần cứng và cách ly các hoạt động nhạy cảm khỏi môi trường máy tính chung.

Ví dụ: Tập đoàn đa ngành triển khai giải pháp MFA của Okta kết hợp với YubiKey 5 NFC cho 850 nhân viên IT và tài chính.

Tất cả truy cập VPN GlobalProtect của Palo Alto Networks, RDP vào máy chủ ERP SAP và Office 365 Admin Portal đều yêu cầu cả mật khẩu và YubiKey.

Chi phí triển khai 187 triệu VND (YubiKey 220k VND/cái, Okta license 85 USD/user/năm), nhưng đã ngăn chặn 100% các nỗ lực đăng nhập trái phép từ địa chỉ IP nước ngoài trong 18 tháng qua.

Ngoài xác thực, doanh nghiệp phải thực thi nguyên tắc đặc quyền tối thiểu.

Đó là chỉ cấp cho người dùng và tài khoản dịch vụ những quyền tối thiểu cần thiết cho các chức năng cụ thể của họ.

Kiểm soát thường xuyên nên xác định và vô hiệu hóa tài khoản không hoạt động vì đó là mục tiêu phổ biến của kẻ tấn công tìm kiếm điểm truy cập không được giám sát.

Triển khai truy cập Just-In-Time (JIT) cho các hoạt động quản trị, nơi đặc quyền nâng cao được cấp tạm thời cho các tác vụ cụ thể thay vì được chỉ định vĩnh viễn.

Cách tiếp cận này hạn chế khoảng thời gian mà thông tin xác thực bị xâm phạm có thể gây ra thiệt hại thảm khốc.

Ví dụ: Ngân hàng triển khai CyberArk Privileged Access Manager (PAM) quản lý 2,400 tài khoản đặc quyền.

Kỹ sư database cần truy cập SQL Server production phải yêu cầu qua workflow approval, nhận credential tạm thời valid 2 giờ, mọi thao tác được ghi session recording.

Tài khoản service cho ứng dụng mobile banking tuân theo RBAC (Role-Based Access Control) với quyền hạn tối thiểu: chỉ được SELECT trên bảng tài khoản khách hàng, không có quyền DELETE hay DROP table.

Các doanh nghiệp triển khai toàn diện MFA và kiểm soát truy cập đặc quyền tối thiểu báo cáo giảm đáng kể các cuộc tấn công ransomware thành công.

Yêu cầu về các yếu tố xác thực vật lý vô hiệu hóa hiệu quả hầu hết các kỹ thuật đánh cắp thông tin xác thực, trong khi đặc quyền bị hạn chế giới hạn di chuyển ngang ngay cả khi kẻ tấn công giành được quyền truy cập ban đầu.

Sự bảo vệ định danh nhiều lớp này biến xác thực từ điểm lỗi đơn lẻ thành cơ chế phòng thủ hiệu quả hơn.

Ví dụ: Sau khi doanh nghiệp triển khai MFA toàn diện với Microsoft Authenticator và Azure AD Conditional Access, số vụ đăng nhập trái phép thành công giảm từ 23 vụ/tháng xuống 0 vụ trong 14 tháng.

Áp dụng JIT access với PIM (Privileged Identity Management) giảm 76% số tài khoản có quyền Domain Admin thường trực từ 42 xuống 10 tài khoản, rút ngắn thời gian hiển thị admin credentials từ 24/7 xuống trung bình 3.2 giờ/tuần.

Phân đoạn mạng

Một khi ransomware thiết lập được chỗ đứng ban đầu trong mạng của doanh nghiệp, mục tiêu tiếp theo của nó là di chuyển ngang.

Nó sẽ lan truyền qua các hệ thống để tối đa hóa tác động mã hóa và xác định vị trí các mục tiêu có giá trị cao như máy chủ sao lưu và bộ điều khiển domain.

Phân đoạn mạng phá vỡ tiến trình này thông qua chia hạ tầng thành các vùng cách ly với các đường dẫn giao tiếp được kiểm soát.

Thay vì để giao tiếp tự do trên toàn bộ mạng, phân đoạn buộc kẻ tấn công phải vi phạm nhiều ranh giới bảo mật, mỗi ranh giới tạo ra cảnh báo và tiêu tốn thời gian.

Ví dụ: Công ty Sữa triển khai kiến trúc mạng phân đoạn với Cisco Firepower ngăn chặn thành công cuộc tấn công ransomware tháng 6/2024.

Khi một máy tính ở phòng Kế toán Nhà máy Sữa bị nhiễm mã độc Akira qua file PDF lừa đảo, ransomware chỉ mã hóa được 18 máy trong VLAN kế toán.

Firewall chặn mọi kết nối từ VLAN này sang VLAN sản xuất (SCADA), VLAN IT (máy chủ ERP), và VLAN backup, bảo vệ 340 máy tính và 23 máy chủ quan trọng.

Phân đoạn hiệu quả bắt đầu khi xác định các danh mục tài sản quan trọng và thiết lập các vùng bảo mật dựa trên chức năng và mức độ rủi ro.

Doanh nghiệp nên tạo các phân đoạn mạng riêng biệt cho hệ thống IT sản xuất (máy trạm, máy chủ văn phòng), môi trường công nghệ vận hành OT (hệ thống sản xuất, điều khiển công nghiệp), hạ tầng sao lưu, và mạng quản trị.

Mỗi phân đoạn triển khai các quy tắc tường lửa chỉ cho phép các giao tiếp kinh doanh cần thiết, chặn mọi thứ khác theo mặc định.

Đối với các doanh nghiệp công nghiệp, sự tách biệt giữa mạng IT và OT chứng minh đặc biệt quan trọng.

Ransomware mã hóa hệ thống văn phòng trở nên nặng nề hơn khi lan sang hệ thống điều khiển sản xuất, có khả năng gây ra mối nguy an toàn hoặc tình trạng ngừng sản xuất kéo dài.

Các cổng đơn hướng hoặc data diode có thể tạo điều kiện dữ liệu giám sát chảy từ OT sang IT trong khi ngăn chặn mọi lệnh hoặc mã độc di chuyển theo hướng ngược lại.

Cách tiếp cận kiến trúc này cung cấp bảo vệ tuyệt đối cho các hệ thống vận hành quan trọng ngay cả khi mạng văn phòng bị xâm phạm hoàn toàn.

Kiến trúc phân đoạn thực tế của nhà máy sản xuất bia

VLAN 10 – OT/SCADA (Operational Technology):

• 45 PLC Siemens S7-1500 điều khiển dây chuyền chiết bia, pasteurizer, máy đóng chai.
• Không có kết nối Internet, chỉ giao tiếp với SCADA server qua Firewall Fortinet FortiGate 200F với ruleset chặn mọi traffic outbound.

VLAN 20 – IT Production

• 280 máy tính nhân viên văn phòng, kế toán, nhân sự chạy Windows 10/11.
• Kết nối Internet qua proxy Squid. Firewall chặn hoàn toàn traffic đến VLAN 10 (OT).

VLAN 30 – DMZ

• Web server Apache phục vụ website sabeco.com.vn, mail server Microsoft Exchange, DNS server.
• Đặt tại vùng cách ly với strict ACL chỉ cho phép port 80/443 inbound, chặn mọi kết nối đến VLAN nội bộ.

VLAN 40 – Backup Infrastructure

• Máy chủ Veeam Backup & Replication, NAS Synology lưu trữ bản sao lưu.
• Chỉ cho phép traffic từ production servers vào port 10006 (Veeam), chặn mọi kết nối từ VLAN 20 (user workstations).

Unidirectional Gateway

• Owl Cyber Defense Data Diode chuyển dữ liệu sản lượng, nhiệt độ từ SCADA (VLAN 10) sang BI server (VLAN 20) để báo cáo, ngăn tuyệt đối mã độc từ IT sang OT.

Mạng được phân đoạn đúng cách biến các đợt bùng phát ransomware lan rộng thành các sự cố được ngăn chặn ảnh hưởng đến các phân đoạn giới hạn.

Khi mã hóa bắt đầu trong một vùng mạng, hệ thống phát hiện tự động có thể kích hoạt cách ly phân đoạn đó trong khi các vùng khác tiếp tục hoạt động bình thường.

Sự ngăn chặn này không chỉ hạn chế thiệt hại mà còn tăng tốc đáng kể quá trình khôi phục.

Doanh nghiệp có thể khôi phục phân đoạn bị ảnh hưởng trong khi duy trì tính liên tục kinh doanh trong các khu vực được bảo vệ.

Phân đoạn về cơ bản phân chia rủi ro, đảm bảo rằng không có xâm phạm đơn lẻ nào có thể lan truyền thành sự cố doanh nghiệp toàn diện.

Ví dụ: Khi Công ty Dệt May bị ransomware BlackCat tấn công VLAN văn phòng (87 máy bị mã hóa), các dây chuyền sản xuất với 340 máy móc công nghiệp vẫn hoạt động bình thường vì được cách ly hoàn toàn trên VLAN riêng với Hirschmann firewall.

Thời gian downtime chỉ 14 giờ để khôi phục VLAN văn phòng từ Acronis backup, trong khi sản xuất không bị gián đoạn.