Cách ransomware hoạt động – Từ lây nhiễm đến tống tiền

 Cách phòng ngữa RansomwareRansomware không chỉ mã hóa dữ liệu, mà còn khóa cả niềm tin – với khách hàng, đối tác và ngay trong nội bộ doanh nghiệp.

Sau vụ CMC bị tấn công ransomware, nhiều doanh nghiệp bắt đầu đặt câu hỏi:
"Làm sao hacker có thể xâm nhập sâu như vậy? Tại sao cả những tập đoàn lớn cũng bị đẩy vào thế tiến thoái lưỡng nan?"

Câu trả lời không nằm ở kỹ thuật mã hóa, mà ở chiến thuật xâm nhập, ẩn mình, và đòn tâm lý tống tiền mà hacker sử dụng. Không chỉ dừng lại ở yêu cầu thanh toán, ransomware hiện đại còn rao bán dữ liệu, gây áp lực truyền thông để buộc doanh nghiệp phải ra quyết định trong lo sợ và thiếu thời gian.


bài trước, tôi đã chia sẻ với bạn cách ransomware hoạt động – từ lây nhiễm đến mã hóa dữ liệuđòi tiền chuộc.

Nhưng bức tranh ransomware không dừng lại ở đó. Nó tinh vi hơn, nguy hiểm hơn – vì ransomware ngày nay không chỉ mã hóa, mà còn xâm nhập sâu, ẩn mình lâu dài và dùng mọi chiêu trò để ép doanh nghiệp phải trả giá.

Bài này sẽ phân tích sâu hơn:

  • 🔍 Làm sao hacker lặng lẽ "cắm rễ" trong hệ thống?

  • 💣 Làm sao chúng dùng đòn tâm lýáp lực truyền thông để ép doanh nghiệp trả tiền?

  • 📉 Tầm ảnh hưởng thật sự – không chỉ là dữ liệu, mà là thương hiệu và vận hành.

🔎 Ransomware hiện đại: Không tấn công, chỉ "đóng vai quan sát"

Hacker ngày nay không vội vàng kích hoạt mã hóa. Chúng ẩn mình trong hệ thống hàng tuần, thậm chí hàng tháng để:

  1. Khảo sát mạng nội bộ: Đâu là máy chủ quan trọng? CRM? ERP? Máy kế toán?

  2. Xác định dữ liệu “ngon ăn”: Hồ sơ khách hàng, hợp đồng, dữ liệu tài chính, mã nguồn phần mềm.

  3. Chờ đúng thời điểm: Khi doanh nghiệp đang bận rộn (cuối tháng, mùa cao điểm), hacker ra tay.

📍 Theo CrowdStrike 2024, thời gian trung bình hacker ở trong hệ thống trước khi bị phát hiện là 11 ngày.

☠️ Tống tiền không đơn thuần là đòi Bitcoin

1️⃣ Đòn tống tiền đầu tiên: Khóa dữ liệu, dọa mất sạch

  • Yêu cầu thanh toán bằng Bitcoin, kèm hướng dẫn chi tiết.

  • Gửi file giải mã mẫu để “tạo uy tín” (!).

  • Đưa ra deadline, sau đó tăng số tiền chuộc nếu quá hạn.

2️⃣ Đòn tống tiền thứ hai: Rao bán dữ liệu

Nếu không trả, dữ liệu bị rao bán trên dark web hoặc gửi thẳng đến đối thủ.

📌 Ví dụ (thế giới):
Nhóm REvil từng rao bán dữ liệu thiết kế chip của Quanta Computer – đối tác sản xuất của Apple – nếu không nhận được khoản tiền chuộc hơn 50 triệu USD.

3️⃣ Đòn tống tiền thứ ba: Gọi thẳng cho khách hàng, đối tác, báo chí

  • Gửi email trực tiếp cho khách VIP, kèm bằng chứng dữ liệu rò rỉ.

  • Thông báo với báo chí, cơ quan quản lý (ví dụ: GDPR châu Âu).

  • Gọi điện cho nhân viên cấp cao, tạo áp lực từ trong ra ngoài.

🚨 Case thực tế (thế giới):
Nhóm Maze từng liên hệ với truyền thông để thông báo về vụ tấn công vào Allied Universal, công ty bảo vệ lớn của Mỹ, ép công ty phải trả tiền.

🧠 Tâm lý doanh nghiệp: Vì sao ransomware có thể đẩy bạn đến đường cùng?

Dữ liệu có thể backup – nhưng danh tiếng thì không.

  • 😱 Sợ mất lòng tin khách hàng: Một khi thông tin bị rò rỉ, khách hàng không quay lại.

  • 😨 Sợ mất đối tác: Ai muốn hợp tác với doanh nghiệp vừa bị hack?

  • 😵‍💫 Sợ bị phạt: GDPR, Nghị định 53 tại Việt Nam… đều có chế tài mạnh với vi phạm bảo mật.

💡 Doanh nghiệp không trả tiền vì không giải mã được. Doanh nghiệp trả vì không chịu nổi áp lực truyền thông.

🔬 Hacker làm sao để xâm nhập – ẩn mình – tấn công?

Giai đoạnKỹ thuậtMục tiêu
Xâm nhậpPhishing, RDP brute-force, lỗ hổngCài đặt mã độc ban đầu
Ẩn mìnhTạo backdoor, ngụy trang dưới dịch vụ hợp lệGiữ quyền truy cập lâu dài
Lây lanLateral movement qua SMB, WMI, PsExecXâm chiếm toàn bộ hệ thống
Thu thập dữ liệuKeylogger, tìm kiếm file nhạy cảmLấy dữ liệu ra ngoài
Mã hóaAES-256, RSAKhóa toàn bộ dữ liệu
Tống tiềnDouble/triple extortionÉp doanh nghiệp trả tiền


bài tiếp theo, tôi chia sẻ về 10 điều doanh nghiệp cần làm để chống ransomware:

  • Hacker xâm nhập qua đâu?

  • Cách chúng di chuyển trong mạng?

  • Làm sao hệ thống phòng thủ bị vượt qua?

🎯 Để bạn không chỉ phòng ngừa, mà còn hiểu rõ cách bảo vệ từng mắt xích trong hệ thống.


Hiện tại mình đang phụ trách quản lý Công nghệ tại công ty BHK Tech, chuyên triển khai các giải pháp hỗ trợ doanh nghiệp của Microsoft, kể cả vấn đề bảo mật, an ninh mạng. Các bạn có thể liên lạc với mình qua các kênh liên lạc bên dưới hoặc xem thêm các thông tin tại đây

Email: nghia.nhan.swe@gmail.com
Zalo/Phone; 0933.873.165 
Cám ơn các bạn đã theo dõi, sẽ rất hoan hỉ nếu nhận được ý kiến đóng góp chia sẽ của nhiều bạn
Paul Nguyen
22-04-2025

Thông tin về mình tại đây

Tác giả: Nghĩa Nguyễn (Paul) – Tư vấn hệ thống - ERP cho doanh nghiệp SME

🌐 Blog: Hội nhập kỷ nguyên số

🔗 LinkedIn: Paul Nguyen - Technical Leader

🎯 10+ năm kinh nghiệm triển khai SAP B1, CRM, Power BI, Microsoft 365

Zalo: 0933873165


Chuyên đề:

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

Tổng số lượt xem trang