Case study: Một doanh nghiệp nhỏ bị tấn công mạng trong 24 giờ

Từ email lừa đảo đến mã độc mã hóa dữ liệu và đòi tiền chuộc, doanh nghiệp vừa và nhỏ bị tấn công mạng phải làm gì để ứng phó. 

1. Bối cảnh: một doanh nghiệp nhỏ “tưởng mình không ai để ý” 

Đó là một doanh nghiệp nhỏ 25 nhân sự, chuyên làm dịch vụ marketing online cho khách hàng vừa và nhỏ. 

• Toàn bộ hợp đồng, báo giá, file thiết kế, tài liệu chiến dịch đều nằm trong vài máy tính văn phòng và một ổ NAS đơn giản. 
• Không có phòng IT riêng, chỉ có một bạn “rành máy tính” kiêm luôn hỗ trợ kỹ thuật. 
• Việc sao lưu dữ liệu chỉ là… thỉnh thoảng copy vào ổ cứng di động. 

Founders tin rằng “mình nhỏ, chắc chẳng ai tấn công đâu”. Cho đến một ngày thứ Hai. 

 2. Trong 24 giờ, chuyện gì đã xảy ra? 

08:30 – Email “hóa đơn mới” gửi cho kế toán 

Kế toán Lan nhận được email từ một địa chỉ trông rất giống nhà cung cấp quen thuộc: 

Chủ đề: “Hóa đơn tháng 03 – cần thanh toán gấp” 

Email có file đính kèm “Invoice_Mar2025.zip”. Vì đang bận, Lan chỉ kiểm tra sơ qua địa chỉ người gửi, thấy tên gần giống nên tải file về và bấm mở. Không có gì xảy ra rõ rệt nên cô nghĩ “chắc lỗi file”, rồi tiếp tục làm việc. 

Sai lầm: Lan không để ý domain email sai một chữ, và công ty chưa bao giờ hướng dẫn cách nhận diện email lừa đảo. 

 11:00 – Máy bắt đầu chậm, file mở chậm nhưng vẫn “chịu được” 

Khoảng cuối buổi sáng, máy Lan chậm thấy rõ, Excel mở lâu hơn bình thường. Cô cho rằng do “máy cũ” nên không báo ai. 

Trong lúc đó, mã độc âm thầm: 

• Cài thêm thành phần để tự chạy lại khi khởi động. 
• Mò vào các thư mục mạng chung, nơi cả team lưu file dự án và hợp đồng. 

15:30 – Toàn bộ file chung đổi tên, không mở được 

Đến chiều, một bạn account đang tìm file proposal thì phát hiện: 

• Nhiều file trên thư mục chung bị đổi sang đuôi lạ. 
• Mở file thì chỉ thấy một thông báo bằng tiếng Anh yêu cầu trả tiền chuộc bằng tiền số để lấy lại dữ liệu. 

Cả văn phòng hoảng loạn. 

16:00 – Mã độc “chốt đơn” bằng màn hình tống tiền 

Màn hình máy Lan hiện một cửa sổ to, nền đen chữ đỏ: 

Tất cả dữ liệu đã bị mã hóa… 
Bạn có 72 giờ để thanh toán… 

Lúc này mọi người mới hiểu: Công ty đã bị ransomware tấn công. 

17:00 – Cuộc họp khẩn cấp: tắt hay không tắt máy? 

Founders tổ chức họp nhanh: 

• Một số người đề xuất tắt hết máy để “cho an toàn”. 
• Người khác lại nghĩ nên giữ nguyên vì “lỡ tắt xong không bật lên được”. 

Cuối cùng, họ quyết định: 

1. Ngắt kết nối mạng Wi-Fi và LAN toàn bộ văn phòng. 
2. Tạm ngưng làm việc với các file trên máy tính và ổ NAS. 

Quyết định này giúp ngăn ransomware lan thêm sang vài laptop còn lại.  

19:30 – Nhận ra chưa có backup nào đủ mới 

Bạn phụ trách kỹ thuật kiểm tra ổ cứng backup: 

• Bản sao lưu gần nhất… cách đây 6 tuần. 
• Rất nhiều file quan trọng 6 tuần gần đây không hề có bản sao. 

Họ đứng trước hai lựa chọn: 

1. Trả tiền chuộc với hy vọng (không chắc chắn) sẽ nhận được công cụ giải mã. 
2. Chấp nhận mất một phần dữ liệu, dựng lại từ những gì còn giữ được trên email, máy cá nhân, file khách hàng. 

Sau khi tham khảo thêm chuyên gia bên ngoài, họ quyết định không trả tiền mà tập trung khôi phục những gì có thể. 

3. Doanh nghiệp nhỏ bị tấn công mạng phải làm gì? 

Từ câu chuyện của công ty trên, ta có một “cẩm nang rút gọn” cho mọi SME khi gặp sự cố tương tự. 

Bước 1: Dừng lây lan – cô lập máy nghi nhiễm 

• Ngắt ngay kết nối mạng (Wi-Fi, LAN) của các máy nghi bị nhiễm. 
• Không cắm thêm USB, không copy file từ máy nhiễm sang máy khác. 
• Ghi lại: máy nào bị ảnh hưởng, thời điểm phát hiện, triệu chứng. 

Bước 2: Gọi đúng người, đúng lúc 

• Báo ngay cho founder/ban giám đốc và người phụ trách kỹ thuật (IT nội bộ hoặc đối tác). 
• Nếu không có IT, nên liên hệ một đơn vị có kinh nghiệm ứng cứu sự cố, tránh tự mò theo hướng dẫn trôi nổi. 

Bước 3: Đánh giá phạm vi thiệt hại 

Trong 2–4 giờ đầu, cần trả lời: 

• Bao nhiêu máy, bao nhiêu thư mục đã bị mã hóa? 
• Ổ đĩa mạng (NAS, server file) có bị ảnh hưởng không? 
• Dữ liệu khách hàng, tài chính, tài khoản quảng cáo… có nằm trong vùng bị mã hóa hay lộ lọt không? 

Bước 4: Quyết định chiến lược khôi phục 

• Nếu có backup sạch, đủ mới: 
• Dừng mọi hoạt động trên hệ thống cũ. 
• Cài lại máy/ server, khôi phục từ backup. 
• Nếu backup quá cũ hoặc không có: 
• Thu thập lại dữ liệu từ các nguồn khác: email, bản cứng, máy cá nhân của nhân viên, file khách hàng gửi lại… 
• Chấp nhận mất một phần dữ liệu nhưng không trả tiền chuộc nếu không bắt buộc, vì không có gì đảm bảo kẻ tấn công giữ lời. 

Bước 5: Thông báo minh bạch cho khách hàng, đối tác (khi cần) 

• Nếu dữ liệu khách hàng có thể bị ảnh hưởng, nên thông báo trung thực, giải thích các bước đang làm để khắc phục và bảo vệ họ. 
• Việc này khó nhưng giúp giữ được niềm tin lâu dài. 

Bước 6: Sau sự cố – vá lại những “lỗ hổng” 

• Đào tạo nhân viên về email lừa đảo, file độc hại, phishing. 
• Thiết lập chính sách backup định kỳ, kiểm tra khôi phục thử. 
• Chuẩn hóa quyền truy cập, ngừng dùng chung một tài khoản cho cả phòng. 
• Viết kịch bản ứng cứu sự cố để lần sau (nếu có) không phải hoảng loạn. 

4. Những sai lầm đã biến sự cố thành “thảm họa nhỏ” 

Từ case study này, có thể thấy vài sai lầm kinh điển của SME: 

1. Không đào tạo nhân viên nhận diện email lừa đảo 
   → Một cú click duy nhất đủ mở cửa cho mã độc. 
2. Backup nửa vời, không kiểm tra khôi phục 
   → Tưởng có backup nhưng đến lúc cần lại dùng không được hoặc quá cũ. 
3. Không có người phụ trách an ninh rõ ràng 
   → Mọi người lúng túng, tranh cãi nên tắt máy hay không, mất nhiều giờ vàng. 
4. Không có quy trình ứng cứu sự cố 
   → Tất cả đều xử lý theo cảm tính, dễ làm tình hình tệ hơn. 

 5. Bài học cho chủ doanh nghiệp vừa và nhỏ 

Nếu bạn là founder/CEO, hãy tự hỏi: 

• Nếu ngày mai một nhân viên bấm nhầm vào file lạ, ai là người đầu tiên bạn gọi? 
• Công ty bạn mất bao lâu để khôi phục nếu một server file bị khóa toàn bộ? 
• Nhân viên có biết báo cáo sự cố ở đâu và như thế nào không? 

Nếu câu trả lời còn mơ hồ, thì đây là lúc nên hành động, trước khi gặp một “ngày thứ Hai” như công ty trên. 

6. Khi nào nên cân nhắc dùng platform về cybersecurity? 

Tự làm mọi thứ bằng tay là rất khó với một doanh nghiệp nhỏ. Bạn vẫn phải lo doanh thu, khách hàng, đội ngũ… rồi mới tới chuyện log, cảnh báo, mã độc. 

Nếu bạn muốn: 

• Phát hiện sớm những hành vi bất thường trong hệ thống (máy tính gửi dữ liệu lạ, đăng nhập bất thường, file bị mã hóa hàng loạt…). 
• Có quy trình ứng cứu sự cố bài bản, được hỗ trợ bởi chuyên gia thay vì “tự bơi”. 
• Giảm thời gian từ lúc bị tấn công đến lúc phát hiện và xử lý, tránh kịch bản 24 giờ “mù tịt” như trong câu chuyện trên. 

thì một giải pháp như ShieldNet Defense có thể là lựa chọn hợp lý cho doanh nghiệp vừa và nhỏ: 

• Là trung tâm giám sát an ninh mạng cho bạn. 
• Tự động thu thập log, phát hiện bất thường, gửi cảnh báo sớm. 
• Hỗ trợ xây dựng playbook ứng cứu và backup chiến lược, giúp bạn rút ngắn đáng kể thời gian khôi phục khi có sự cố. 

Bạn không thể ngăn 100% khả năng bị tấn công, nhưng với quy trình đúng và nền tảng bảo mật phù hợp như ShieldNet Defense, bạn có thể biến một thảm họa 24 giờ thành một sự cố được kiểm soát tốt – và tiếp tục tập trung vào điều quan trọng nhất: phát triển doanh nghiệp.