Khám phá cách Ransomware tiêu diệt hệ thống sao lưu trước khi mã hóa dữ liệu

Chào các anh em coder và quản trị hệ thống! Chúng ta luôn được dạy rằng Backup là “tấm khiên” cuối cùng trước mọi cuộc tấn công dữ liệu. Thế nhưng, thực tế phũ phàng từ báo cáo của Acronis chỉ ra rằng: Backup không thất bại vì chúng không tồn tại, chúng thất bại vì bị hacker tiêu diệt trước khi quá trình mã hóa bắt đầu.

Hãy cùng phân tích kỹ thuật đằng sau “cơn ác mộng” này.

1. Khi Backup trở thành mục tiêu số 1

Các nhóm tấn công Ransomware hiện đại không còn “ngây thơ” lao vào mã hóa dữ liệu ngay lập tức. Chúng thực hiện chiến thuật nằm vùng và leo thang đặc quyền (Privilege Escalation). Mục tiêu ưu tiên hàng đầu là tìm ra các Backup Repositories và Backup Management Servers.

2. Quy trình “triệt hạ” con đường sống của nạn nhân

Thay vì mã hóa trực tiếp tệp tin hệ thống, Ransomware thực hiện chuỗi hành động sau:

• Vô hiệu hóa các tác vụ lập lịch: Dừng các Cron jobs hoặc Windows Scheduled Tasks liên quan đến sao lưu.
• Xóa Shadow Copies: Một kỹ thuật kinh điển trên Windows để ngăn chặn việc sử dụng System Restore.
• Tấn công Storage: Xâm nhập vào các phân vùng chứa bản sao lưu để thực hiện lệnh xóa sạch hoặc mã hóa chính các file backup này.

Dưới đây là một ví dụ mô phỏng lệnh mà mã độc thường sử dụng để xóa bỏ các bản sao lưu tức thời trên Windows:

vssadmin.exe delete shadows /all /quiet

3. Tại sao cơ chế phục hồi lại thất bại?

Khi kẻ tấn công đã kiểm soát được Backup Agent, chúng có thể gửi các chỉ thị giả mạo khiến hệ thống tưởng rằng dữ liệu vẫn đang được bảo vệ, nhưng thực chất các bản sao lưu mới nhất chỉ là những tệp tin rỗng hoặc đã bị hỏng. Đến lúc Encryption (mã hóa) toàn bộ hệ thống diễn ra, bạn mới bàng hoàng nhận ra “phao cứu sinh” duy nhất đã bị đâm thủng từ lâu.

4. Bài học cho dân Tech: Chiến thuật 3-2-1 thôi là chưa đủ!

Để đối phó, chúng ta cần triển khai các khái niệm bảo mật nâng cao hơn:

• Immutable Backups: Bản sao lưu không thể thay đổi hoặc xóa trong một khoảng thời gian nhất định, ngay cả khi có quyền Admin.
• Air-gapped Backups: Cô lập hoàn toàn bản sao lưu khỏi mạng nội bộ.
• Multi-Factor Authentication (MFA): Cho mọi quyền truy cập vào hệ thống quản lý sao lưu.

Anh em hãy nhớ: Trong kỷ nguyên Ransomware 2.0, nếu bạn không bảo vệ hệ thống Backup, bạn thực sự không có Backup nào cả!