Bức tranh toàn cảnh

Ransomware đã không còn dừng lại ở các email lừa đảo hay file đính kèm độc hại. Ngày nay, các nhóm tội phạm mạng đang khai thác chuỗi cung ứng (supply chain) – nơi các doanh nghiệp phụ thuộc lẫn nhau thông qua phần mềm, dịch vụ và đối tác bên ngoài.

Theo báo cáo năm 2024 của Kela, đã có hơn 3.600 nạn nhân được ghi nhận trên các “ransomware leak sites” chỉ trong vòng một năm, và nhiều trường hợp xuất phát từ các bên thứ ba bị xâm phạm. Cùng với sự phát triển của Ransomware-as-a-Service (RaaS), việc tấn công ransomware supply chain trở nên dễ dàng, tinh vi và gây hậu quả nghiêm trọng hơn bao giờ hết.

Ransomware Supply Chain Attacks là gì?

Khác với những cuộc tấn công trực diện, supply chain attacks nhắm vào nhà cung cấp phần mềm, dịch vụ hoặc đối tác để từ đó lan truyền ransomware đến nhiều doanh nghiệp hạ nguồn.

Điều này khiến việc phòng thủ khó khăn hơn vì:

• Doanh nghiệp thường tin tưởng vào nhà cung cấp và giảm mức độ kiểm tra bảo mật.

• Một lỗ hổng nhỏ ở đối tác có thể tạo điểm vào cho kẻ tấn công.

• Hậu quả không chỉ dừng ở thiệt hại tài chính mà còn ảnh hưởng đến uy tín, niềm tin đối tác và tuân thủ pháp lý.

Các nhóm ransomware hoạt động mạnh mẽ

Nhiều nhóm ransomware đã chuyên nghiệp hóa và tổ chức như một doanh nghiệp ngầm. Tiêu biểu:

• LockBit – nổi tiếng với chiến thuật double extortion.

• BlackCat (ALPHV) – theo mô hình RaaS, cung cấp công cụ cho affiliates.

• Clop – tập trung khai thác zero-day trong các ứng dụng chuỗi cung ứng.

• Play – thường xâm nhập qua MSPs để mở rộng phạm vi tấn công.

• RansomHouse – chuyên tung dữ liệu bị đánh cắp lên mạng để gây áp lực.

Điểm chung của các nhóm này là tận dụng hạ tầng Dark Web, leak sites, và các kỹ thuật tránh né phát hiện để tăng khả năng thành công.

Chiến thuật tấn công thường gặp

Doanh nghiệp cần cảnh giác với các phương thức sau:

1. Khai thác lỗ hổng phần mềm – đặc biệt là zero-day.

2. Chiếm đoạt tài khoản nhà cung cấp – lợi dụng quyền truy cập rộng rãi.

3. Tấn công MSPs – nơi quản lý nhiều khách hàng cùng lúc.

4. Double Extortion – vừa mã hóa dữ liệu, vừa đe dọa công khai.

5. Ransomware-as-a-Service (RaaS) – hạ thấp rào cản kỹ thuật cho tội phạm.

Tác động đến doanh nghiệp

Hậu quả của ransomware supply chain attacks đặc biệt nghiêm trọng:

• Một lỗ hổng – nhiều nạn nhân: Xâm phạm một nhà cung cấp có thể lan đến hàng chục công ty.

• Mất uy tín và hợp đồng: Niềm tin của đối tác bị ảnh hưởng lâu dài.

• Hậu quả pháp lý: Xử phạt nặng khi dữ liệu nhạy cảm bị lộ.

• Gián đoạn vận hành: Thời gian khôi phục trung bình sau ransomware là 20–30 ngày, có thể lâu hơn trong tấn công chuỗi cung ứng.

Theo Cybersecurity Ventures, thiệt hại toàn cầu từ ransomware dự kiến vượt 265 tỷ USD mỗi năm vào năm 2031.

Threat Intelligence – Chìa khóa phòng thủ

Để chống lại ransomware trong chuỗi cung ứng, doanh nghiệp cần kết hợp giải pháp công nghệ với thông tin tình báo an ninh (threat intelligence):

• Cảnh báo sớm: Giám sát bất thường trong hệ thống của nhà cung cấp.

• Theo dõi Dark Web: Phát hiện dữ liệu rò rỉ trên diễn đàn ngầm.

• Xác định nhà cung cấp có rủi ro cao: Đánh giá, ưu tiên vá lỗ hổng hoặc cách ly.

• Tích hợp vào Incident Response: Khi có sự cố, phản ứng nhanh để hạn chế lan rộng.

Checklist phòng thủ cho doanh nghiệp

• Duy trì danh sách inventory nhà cung cấp và điểm truy cập của họ.

• Áp dụng MFA cho tất cả kết nối của bên thứ ba.

• Yêu cầu đối tác tuân thủ chuẩn bảo mật đã thống nhất.

• Thực hiện network segmentation để giới hạn phạm vi tấn công.

• Duy trì backup offline và kiểm tra thường xuyên.

• Thiết lập kênh cảnh báo khẩn cấp với đối tác.

Kết luận

Ransomware supply chain attacks là mối đe dọa ngày càng phức tạp và lan rộng. Thay vì chỉ tập trung bảo vệ nội bộ, doanh nghiệp cần mở rộng chiến lược bảo mật sang toàn bộ hệ sinh thái đối tác, nhà cung cấp.

Với cách tiếp cận zero-trust, kết hợp threat intelligence và kiểm soát chặt chẽ chuỗi cung ứng, doanh nghiệp có thể giảm đáng kể nguy cơ trở thành nạn nhân tiếp theo. Hành động sớm chính là chìa khóa để bảo vệ hệ thống và duy trì niềm tin trong thời đại số.

Thông tin hãng cung cấp giải pháp:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!