Khi ransomware tấn công, nhiều tổ chức đang quan sát sự việc qua một “lăng kính” sai.

Tháng 2/2025 đánh dấu một cột mốc u ám: 1.000 vụ tấn công ransomware được ghi nhận chỉ trong một tháng – mức cao nhất từng có. Đằng sau con số này là một thực tế kỹ thuật mà nhiều đội ngũ CNTT không nhận ra kịp thời. Khi ransomware xảy ra, rất nhiều tổ chức đang theo dõi nó bằng sai góc nhìn.

Điểm mù lớn nhất nằm ở đâu? Các giải pháp EDR cho bạn thấy nơi dữ liệu bị mã hóa – tức nạn nhân – chứ không phải nơi cuộc tấn công được khởi phát. Và sự khác biệt này trở nên cực kỳ quan trọng khi từng giây đều mang tính quyết định.

Điểm mù có thể khiến doanh nghiệp tổn thất hàng triệu đô

Một cuộc điều tra của DFIR Report đã mô tả rõ cách các cuộc tấn công này diễn ra trong thực tế. Nhóm BlackCat xâm nhập một tổ chức thông qua chiến dịch malware Nitrogen, sau đó sử dụng PsExec để thực thi ransomware từ xa trên nhiều hệ thống trong mạng.

Các đội ngũ bảo mật chỉ nhìn thấy hoạt động mã hóa trên các endpoint bị ảnh hưởng, trong khi toàn bộ cuộc tấn công thực chất lại được điều phối từ một máy khác trong mạng nội bộ.

Đây chính là khoảng trống trong việc xác định nguồn gốc tấn công, khiến quá trình cô lập và xử lý bị trì hoãn. Khi ransomware mã hóa dữ liệu thông qua các network share, log trên endpoint nạn nhân sẽ ghi nhận hoạt động như thể nó được khởi phát từ chính máy đó. Trên thực tế, lệnh mã hóa lại được kích hoạt từ một hệ thống khác.

Kết quả là đội ngũ CNTT thấy hàng chục endpoint đồng loạt gặp sự cố, nhưng không nhận ra rằng chỉ một máy đã bị nhiễm đang gây ra toàn bộ thiệt hại.

Khuyến cáo năm 2025 của CISA về ransomware Play cũng chỉ rõ việc kẻ tấn công sử dụng PsExec và các công cụ hợp pháp khác để hỗ trợ di chuyển ngang và thực thi file. Đây là chiến thuật “living off the land”, lợi dụng chính các công cụ quản trị mà đội ngũ CNTT sử dụng hàng ngày để lan rộng trong mạng và mã hóa dữ liệu từ xa qua SMB.

EDR truyền thống ghi nhận các thay đổi file trên máy nạn nhân nhưng bỏ sót chi tiết quan trọng nhất: hệ thống nào đã khởi phát cuộc tấn công. Khi không xác định được nguồn gốc, đội ngũ bảo mật không thể cô lập đúng điểm, ngăn chặn sự lây lan hay đánh giá đầy đủ phạm vi xâm nhập.

ThreatDown EDR và network ransomware rollback

ThreatDown EDR giải quyết khoảng trống này bằng tính năng network ransomware rollback, cung cấp bốn nhóm dữ liệu then chốt:

• Địa chỉ IP và hostname của endpoint tấn công, cho phép xác định chính xác máy nào đã khởi phát việc mã hóa từ xa.
• Cổng kết nối từ xa được sử dụng, giúp đội ngũ bảo mật truy vết phiên kết nối mạng cụ thể và phát hiện các kênh điều khiển C&C tiềm ẩn.
• User ID và username từ xa, cho thấy tài khoản bị xâm nhập mà kẻ tấn công đã sử dụng để xác thực và truy cập các network share.

ThreatDown thu thập những thông tin này ngay trong log hoạt động file – cùng nơi ghi lại việc truy cập, chỉnh sửa hoặc mã hóa dữ liệu. Điểm khác biệt là network ransomware rollback bổ sung ngữ cảnh ở tầng mạng, thứ mà các giải pháp giám sát endpoint khác không ghi nhận.

Về mặt kỹ thuật, khi một hệ thống từ xa truy cập file qua SMB, Windows kernel trên máy nạn nhân sẽ xử lý các thao tác I/O. EDR thông thường chỉ nhìn thấy hoạt động ở kernel-mode. ThreatDown chặn và ghi lại metadata xác thực và kết nối mạng trước khi kernel xử lý thao tác file. Chính cơ chế này giúp lộ diện nguồn tấn công thực sự.

Từ phát hiện đến khôi phục

Giá trị cốt lõi của network ransomware rollback không chỉ nằm ở việc phát hiện, mà ở cách nó thay đổi toàn bộ quy trình ứng phó. ThreatDown EDR cho biết cuộc tấn công bắt nguồn từ đâu và cung cấp con đường trực tiếp để khôi phục hệ thống bị ảnh hưởng.

Bằng cách kết hợp khả năng quan sát tầng mạng với rollback trên endpoint, ThreatDown thu hẹp khoảng cách giữa phát hiện và phục hồi, giúp đội ngũ CNTT cô lập nhanh hơn, khôi phục chính xác hơn và duy trì hoạt động kinh doanh ngay cả khi backup thất bại.

Tác động vận hành trong ba khía cạnh chính

Phân tích nguyên nhân gốc nhanh hơn
Đội ngũ bảo mật ngay lập tức xác định được endpoint đã khởi phát cuộc tấn công, thay vì mất hàng giờ đối chiếu log từ hàng chục máy để tìm “bệnh nhân số 0”. Ngay từ cảnh báo đầu tiên, log hoạt động file đã hiển thị IP và hostname của nguồn tấn công.

Cô lập có mục tiêu
Thay vì chỉ cách ly các máy bị mã hóa, ThreatDown cho phép cô lập trực tiếp máy đang tấn công khỏi mạng, chặn đứng việc lan sang các share hoặc hệ thống khác. Báo cáo State of Ransomware 2025 của ThreatDown cho thấy kẻ tấn công thường khai thác các “điểm mù” như máy tính không được quản lý, endpoint bảo vệ yếu hoặc ESXi hypervisor không có EDR. Network ransomware rollback khiến những điểm mù này lộ diện ngay khi chúng bắt đầu tấn công hệ thống khác.

Khôi phục nhanh chóng
ThreatDown biến phát hiện thành khả năng chống chịu thực sự. Tính năng rollback duy trì bộ nhớ cache trạng thái file trong bảy ngày đối với dữ liệu bị thay đổi qua truy cập từ xa. Khi xác định được nguồn tấn công, doanh nghiệp có thể khôi phục các file bị mã hóa hoặc chỉnh sửa bởi đúng hệ thống đó, mà không phụ thuộc vào vssadmin của Windows – công cụ thường bị kẻ tấn công vô hiệu hóa hoặc xóa bỏ.

Điều này đặc biệt quan trọng vì chiến lược backup truyền thống ngày càng dễ thất bại trong điều kiện tấn công thực tế. Nghiên cứu của ThreatDown cho thấy ngày càng nhiều tổ chức không có backup khả dụng trong sự cố ransomware, do kẻ tấn công thường nhắm vào máy chủ và kho backup để gia tăng sức ép. Network ransomware rollback mang lại một lớp khôi phục độc lập, vẫn hoạt động ngay cả khi hệ thống backup bên ngoài đã bị phá hủy.

Vì sao điều này quan trọng ngay lúc này

Các cuộc tấn công ransomware đã tăng 25% so với cùng kỳ năm trước trong giai đoạn từ tháng 7/2024 đến tháng 6/2025, trong khi số lượng nhóm tấn công hoạt động tăng gấp đôi chỉ trong ba năm, lần đầu tiên vượt mốc 60 nhóm.

Bức tranh tấn công không còn bị chi phối bởi một vài nhóm lớn với chiến thuật quen thuộc. Mười nhóm hoạt động mạnh nhất hiện chỉ chiếm một nửa tổng số vụ tấn công, giảm từ gần 70% của năm trước. Điều này khiến việc phòng thủ trở nên phức tạp hơn rất nhiều.

Doanh nghiệp không còn đối mặt với một số ít đối thủ có thể dự đoán, mà là dòng chảy liên tục của các nhóm mới, công cụ mới và kịch bản tấn công mới.

Và chúng thường tấn công vào ban đêm. Phần lớn các vụ xâm nhập bắt đầu từ 1 giờ đến 5 giờ sáng, khi gần như không có ai theo dõi. Kẻ tấn công di chuyển âm thầm bằng các công cụ hợp pháp như PowerShell, WMI và RDP để tránh bị phát hiện, khai thác ESXi hypervisor không được bảo vệ và những hệ thống bị lãng quên ngoài tầm giám sát.

ThreatDown EDR được thiết kế để đóng những khoảng trống đó.

Ánh sáng chiếu vào nơi kẻ tấn công nghĩ rằng chúng vô hình

Network ransomware rollback mở rộng khả năng quan sát đến chính “bàn đạp” của kẻ tấn công. Nó cung cấp dữ liệu truy nguyên nguồn gốc, biến một sự cố rối rắm trên nhiều endpoint thành một phản ứng có mục tiêu rõ ràng, với các bước cô lập và khôi phục cụ thể.

ThreatDown EDR thu thập những metadata mà audit log Windows tiêu chuẩn bỏ sót. Log hoạt động file ghi lại chi tiết hệ thống từ xa, trong khi cơ chế rollback bảo toàn trạng thái file trước khi bị mã hóa.

Vì vậy, khi ransomware tấn công các network share của bạn lúc 3 giờ sáng, mọi dữ liệu cần thiết để phản ứng và khôi phục đã sẵn có trong hệ thống.

Đó là sự khác biệt giữa việc mất hàng giờ truy tìm “bệnh nhân số 0” trong khi ransomware tiếp tục lan rộng, và việc lập tức cô lập nguồn tấn công với đầy đủ bằng chứng pháp lý để hiểu trọn vẹn chuỗi xâm nhập.

Ransomware không thể tồn tại khi bị phơi bày dưới ánh sáng mà EDR tạo ra. Network ransomware rollback của ThreatDown đảm bảo rằng ánh sáng đó chiếu đến cả những nơi mà kẻ tấn công tin rằng chúng đang ẩn mình.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.