Rạng sáng 24/3, ai đó kích hoạt mã độc tống tiền tấn công một công ty môi giới chứng khoán, gây sụp đổ hệ thống phục vụ nhà đầu tư.
Thật tình cờ, tôi đang ở Hà Nội khi tin tức nổ ra. Lúc đó tôi đang bận một việc khác, nhưng bản tính tò mò đã thôi thúc. Chỉ vài giờ sau, tôi thấy mình đang ở tâm bão.
Vì sắp rời Việt Nam, đội của tôi không đủ thời gian xử lý toàn bộ sự cố, tôi đề nghị thuê thêm một công ty an ninh mạng trong nước phụ trách điều tra, rà soát an ninh. Họ làm việc quá tốt, tôi đã học được rất nhiều.
Về phần mình, tôi gọi các kỹ sư nhiều năng lượng từ Sài Gòn bay ra phối hợp với đội tại Hà Nội, tất cả chúng tôi ngay lập tức bắt tay vào khôi phục hệ thống.
Đội đã chiến đấu bằng tất cả sức lực. Tôi đã sụt 2kg, quá mừng 🤣.
Với rất nhiều may mắn và nỗ lực từ tất cả mọi người, công ty môi giới đã hoạt động trở lại chỉ một tuần sau sự cố. Chúng tôi đã góp phần xây dựng lại một hệ thống với 17 năm lịch sử trong 7 ngày!
Bài học quan trọng nhất đối với tôi, một lần nữa, là sức mạnh của sự minh mẫn.
Quá trình phục hồi đã bắt đầu khi chúng tôi đến, nhưng nó chậm và dễ xảy ra lỗi. Chúng tôi đã thực hiện một số cải tiến nhỏ, nhưng việc giải mã không hề nhanh chóng và đáng tin cậy như chúng tôi mong muốn.
Tệ hơn nữa, khi sự phấn khích ban đầu lắng xuống và sự mệt mỏi do thiếu ngủ ập đến, chúng tôi không thể suy nghĩ một cách tỉnh táo. Chúng tôi vẫn cố gắng xây dựng các giải pháp trong tình trạng nửa tỉnh nửa mơ. Làm mãi mà vẫn lỗi và chậm.
Bước ngoặt đến sau khi… chúng tôi đi ngủ. Khi tỉnh dậy, chúng tôi nhận ra nếu giải mã vẫn thất bại, chúng tôi phải quay lại với những điều cơ bản. Nghĩa là, trước tiên phải hiểu cách thức hoạt động của ransomware.
Thế là chúng tôi bắt đầu tiến hành phân tích mã ngược các mẫu một cách nghiêm túc. Đội cũng nhận được sự trợ giúp tuyệt vời từ Chương Đống, một trong những chuyên gia hàng đầu thế giới về họ phần mềm độc hại này.
Cuối cùng, sự hợp tác giữa Hà Nội, Sài Gòn, Houston và Atlanta đã giúp chúng tôi hiểu được quá trình mã hóa, khi nào nó có thể bị lỗi và cách khắc phục.
Thông tin này giúp chúng tôi tăng tốc quá trình giải mã lên gấp nhiều lần. Những việc trước đó mất hàng giờ hoặc thậm chí cả ngày, nay chỉ còn vài phút. Đội cũng phát hiện một số cách giải mã độc đáo và còn triển khai cả giải mã tự động.
Bài học rút ra: khi nào bí, hãy đi ngủ.
(Thông tin trong bài được sự cho phép của các bên liên quan)
Bài liên quan:
Hóa ra là VNDirect không phải trả tiền chuộc bằng Bitcoin mà là nhờ Thái & team viết được tool để giải mã. Thật khó tin.
Thanks anh Thái, team và những security experts đã giúp đỡ, cống hiến hết mình vì sự an toàn của mọi người. ❤❤❤