Trong thực tế, thời điểm hai bên bắt đầu quá trình đàm phán thì các tin tặc đã giành được quyền kiểm soát mạng và có thể đã xâm nhập vào dữ liệu tài khoản nhạy cảm, hợp đồng kinh doanh và các hồ sơ quan trọng khác của tổ chức.
Làm thế nào để đàm phán hiệu quả với những kẻ tấn công ransomware? |
Dựa trên kinh nghiệm trong quá trình đàm phán hàng chục vụ tống tiền của các tin tặc, hai nhà đàm phán ransomware chuyên nghiệp là Tony Cook và Drew Schmitt ở công ty an ninh mạng GuidePoint Security (Mỹ) đã phát triển hồ sơ tinh vi của nhiều nhóm tội phạm mạng mà họ đã xử lý để giúp đạt được lợi thế trên bàn thương lượng.
Chuyên gia đàm phán Drew Schmitt cho biết: “Nếu bạn biết chúng hoạt động như thế nào thì điều đó sẽ giúp bạn giành được lợi thế hơn một chút. Có rất nhiều chiến lược xảy ra trước khi bạn đến bàn đàm phán”.
Tuy nhiên, Cục Điều tra liên bang Mỹ (FBI) và các chuyên gia an ninh mạng không khuyến khích việc các tổ chức bị tấn công thanh toán tiền cho tin tặc vì như thế sẽ làm gia tăng thêm các vụ tấn công tiếp theo.
Trong thời gian qua, nhiều vụ tấn công ransomware đã buộc các nạn nhân phải trả một số tiền lớn cho tin tặc.
Chẳng hạn, vụ tấn công vào công ty đường ống Colonial Pipeline của Mỹ, công ty phải trả cho nhóm tin tặc DarkSide 4,4 triệu USD tiền điện tử; nhà cung cấp thịt JBS Foods đã phải trả 11 triệu USD để giải quyết một cuộc tấn công ransomware của nhóm tin tặc REvil.
Và cũng chính băng đảng ransomware này đã yêu cầu 70 triệu USD để mở khóa tất cả các thiết bị mà chúng tuyên bố đã bị tấn công trong một cuộc tấn công vào nhà cung cấp dịch vụ CNTT Kaseya.
Theo công ty phân tích blockchain Chainalysis (Mỹ) cho biết, trong năm 2020 các khoản thanh toán tiền chuộc liên quan đến các vụ tấn công ransomware, thường được thực hiện bằng tiền điện tử, có tổng giá trị tương đương 416 triệu USD, gấp hơn 4 lần so với mức năm 2019. Trong nửa đầu năm 2021, số tiền chuộc mà các công ty, tổ chức phải trả cho các nhóm ransomware lên đến hơn 200 triệu USD.
Nhà đàm phán Tony Cook cho rằng, chiến thuật đàm phán rất quan trọng, nó sẽ giúp các nạn nhân giảm được số tiền chuộc xuống, đôi khi chỉ phải mất số tiền 10.000 USD.
Các cuộc đàm phán thường diễn ra nhanh chóng, nhiều cuộc thương lượng chỉ diễn ra trong vòng 10 đến 15 cuộc trao đổi. Nhiều nhóm ransomware giao tiếp với nạn nhân của họ bằng các công cụ trò chuyện trực tuyến và nhắn tin tức thời. Các công cụ này được tạo ra để dễ sử dụng, vì xét cho cùng, bọn tội phạm cũng đang điều hành một doanh nghiệp. Chúng có động cơ để thực hiện quá trình thương lượng và thanh toán nhanh chóng và dễ dàng nhất có thể, nhằm tối đa hóa lợi nhuận.
Đó là lý do tại sao việc các công ty bị tấn công nhanh chóng điều tra hệ thống của chính họ trước khi hoàn tất khoản tiền chuộc là rất quan trọng. Các nạn nhân cần phải có khả năng đánh giá mức độ quan trọng của dữ liệu bị đánh cắp để thương lượng mức tiền chuộc phù hợp.
Lập luận đó vẫn có thể phản tác dụng nếu tin tặc biết rằng chúng đã lấy được dữ liệu thực sự nhạy cảm như bí mật thương mại hoặc tài chính mà một công ty không đủ khả năng để công bố công khai. Trong một số trường hợp, những kẻ tấn công ransomware nhận ra rằng các công ty đang từ chối trả tiền chuộc vì họ có thể khôi phục dữ liệu từ các bản sao lưu.
Theo Morgan Wright, Giám đốc cố vấn an ninh tại công ty an ninh mạng SentinelOne (Mỹ), bảo hiểm an ninh mạng hiện là một ngành công nghiệp trị giá hàng tỷ USD. Bảo hiểm mạng ngày càng tinh vi, mang đến cho các công ty cơ hội để phản ứng lại với tin tặc. Các công ty bảo hiểm ký hợp đồng với đội ngũ luật sư, chuyên gia kỹ thuật và các nhà đàm phán để giúp nạn nhân quản lý và phục hồi sau cuộc tấn công bằng ransomware.
Wright cho biết, số tiền một tổ chức có thể trả cho dịch vụ bảo hiểm mạng phụ thuộc một phần vào số lần mà tổ chức đó đã bị tấn công mạng trong quá khứ, cùng với các dữ liệu tính toán khác.
Nhưng bảo hiểm mạng cũng có thể là con dao hai lưỡi, theo Karen Sprenger, Giám đốc điều hành đồng thời là trưởng nhóm đàm phán ransomware tại công ty an ninh mạng LMG Security của Mỹ cho biết, trong một số trường hợp các nhóm ransomware đã sử dụng các thông tin liên quan đến chính sách và số tiền được bảo hiểm để đòi tiền chuộc cao hơn.
Các chuyên gia an ninh mạng cho biết, việc ngăn chặn các cuộc tấn công ransomware là tương đối đơn giản, bằng cách đảm bảo các phần mềm được cập nhật thường xuyên, yêu cầu nhân viên sử dụng xác thực đa yếu tố, sử dụng tường lửa và giám sát mạng để phát hiện lưu lượng truy cập internet trái phép và thiết lập các giao thức xử lý sự cố an ninh mạng.
Nhưng có quá nhiều tổ chức vẫn thiếu các kỹ năng để thực hiện ngay cả những biện pháp phòng ngừa cơ bản này, Ed Amoroso, Giám đốc Điều hành của công ty an ninh mạng TAG Cyber (Mỹ) cho biết.
Phan Văn Hòa (theo CNN)
Tại sao rất khó để đưa những kẻ tấn công ransomware ra công lý?
Thông thường khi có một vụ việc xảy ra, các cơ quan chức năng sẽ tiến hành điều tra nhằm xác định thủ phạm, bắt giữ và truy tố trước pháp luật. Tuy nhiên, đối với tội phạm mạng thì điều đó sẽ phức tạp hơn nhiều.