Ransomware là mối đe dọa số một tại Việt Nam trong giai đoạn 2023–2025. Từ VNDIRECT, PVOIL, Vietnam Post đến CMC — hàng loạt tổ chức lớn đã trở thành nạn nhân, với thiệt hại lên tới hàng trăm tỷ đồng và thời gian gián đoạn kéo dài nhiều ngày.
Câu hỏi đặt ra: nếu ransomware tấn công tổ chức của bạn ngay bây giờ, đội ngũ sẽ phản ứng như thế nào? Ai ra quyết định? Backup có khôi phục được không? Mất bao lâu để trở lại hoạt động?
Cách tốt nhất để trả lời những câu hỏi này trước khi sự cố xảy ra là xây dựng và tổ chức diễn tập theo kịch bản ransomware. Bài viết này hướng dẫn chi tiết cách thiết kế một kịch bản diễn tập ransomware từ đầu đến cuối — áp dụng được cho cả Tabletop Exercise lẫn Cyber Drill kỹ thuật.
Tại sao cần kịch bản ransomware riêng?
Ransomware khác biệt so với các hình thức tấn công khác ở chỗ nó tạo ra áp lực đa chiều đồng thời: hệ thống ngừng hoạt động (áp lực vận hành), dữ liệu bị mã hóa (áp lực kỹ thuật), kẻ tấn công đe dọa công khai dữ liệu (áp lực pháp lý và truyền thông), và yêu cầu trả tiền chuộc (áp lực tài chính và đạo đức). Không có loại sự cố nào khác đặt ban lãnh đạo và đội kỹ thuật vào tình huống phải ra nhiều quyết định khó khăn đến vậy trong thời gian ngắn.
Vì vậy, kịch bản ransomware cần được thiết kế riêng, kiểm tra đồng thời nhiều năng lực: phát hiện và ngăn chặn kỹ thuật, quy trình ứng phó sự cố, phối hợp liên phòng ban, truyền thông nội bộ và đối ngoại, ra quyết định dưới áp lực, và khả năng khôi phục từ backup.
Bước 1: Xác định mục tiêu diễn tập
Trước khi viết kịch bản, cần xác định rõ diễn tập nhằm kiểm tra điều gì. Mục tiêu khác nhau sẽ dẫn đến kịch bản khác nhau:
Nếu mục tiêu là kiểm tra quy trình ra quyết định của ban lãnh đạo → Thiết kế Tabletop Exercise, kịch bản tập trung vào các tình huống phải đưa ra quyết định: có trả tiền chuộc không, khi nào thông báo cơ quan chức năng, khi nào công bố thông tin cho khách hàng.
Nếu mục tiêu là kiểm tra năng lực phát hiện và ứng phó kỹ thuật → Thiết kế Cyber Drill hoặc Purple Team Exercise, kịch bản tập trung vào chuỗi tấn công kỹ thuật: phishing → execution → lateral movement → encryption.
Nếu mục tiêu là kiểm tra khả năng khôi phục hệ thống → Kịch bản tập trung vào giai đoạn sau tấn công: thử nghiệm restore từ backup, xác minh tính toàn vẹn dữ liệu, đưa hệ thống trở lại hoạt động theo thứ tự ưu tiên.
Nếu mục tiêu là kiểm tra tổng thể → Kết hợp cả ba, tổ chức diễn tập đa tầng với cả đội kỹ thuật lẫn ban lãnh đạo tham gia đồng thời.
Bước 2: Nghiên cứu mối đe dọa thực tế
Kịch bản hay nhất là kịch bản dựa trên những gì đã xảy ra thật — không phải tưởng tượng. Cách tiếp cận:
Phân tích các vụ ransomware tại Việt Nam: Nghiên cứu cách VNDIRECT, PVOIL, Vietnam Post bị tấn công — vector xâm nhập nào được sử dụng, hạ tầng nào bị ảnh hưởng, thời gian gián đoạn bao lâu, cách khôi phục như thế nào.
Tham chiếu MITRE ATT&CK: Tra cứu các nhóm ransomware phổ biến (LockBit, BlackCat/ALPHV, Cl0p, Akira) trên ATT&CK, xem danh sách kỹ thuật mà chúng sử dụng, áp dụng vào kịch bản.
Sử dụng threat intelligence: Xem báo cáo của Viettel Cyber Security, NCS, Kaspersky về xu hướng ransomware tại Việt Nam — vector tấn công phổ biến nhất, ngành nào bị nhắm nhiều nhất, kỹ thuật nào đang được sử dụng.
Mục đích: kịch bản phải khiến người tham gia cảm nhận rằng “điều này hoàn toàn có thể xảy ra với chúng ta” — không phải một câu chuyện viễn tưởng.
Bước 3: Thiết kế chuỗi sự kiện theo giai đoạn
Một kịch bản ransomware hoàn chỉnh nên được chia thành 5–7 giai đoạn leo thang, mỗi giai đoạn đặt ra tình huống mới và yêu cầu quyết định mới. Dưới đây là mẫu kịch bản tham khảo:
Giai đoạn 1 — Xâm nhập ban đầu (Initial Access)
Tình huống: Sáng thứ Hai, 08:15. Một nhân viên phòng Kế toán nhận email từ địa chỉ giả mạo nhà cung cấp, đính kèm file Excel “Hóa đơn tháng 03.xlsm”. Nhân viên mở file và bật macro theo hướng dẫn trong email.
Câu hỏi kiểm tra:
- Hệ thống email gateway có phát hiện và chặn file chứa macro không?
- EDR trên máy trạm có cảnh báo khi macro thực thi không?
- Nhân viên có nhận biết đây là email phishing không? Quy trình báo cáo phishing là gì?
Giai đoạn 2 — Thiết lập chỗ đứng (Execution & Persistence)
Tình huống: 08:20. Macro trong file Excel tải về và thực thi PowerShell script encoded, tạo scheduled task để duy trì persistence. Kết nối C2 (Command & Control) được thiết lập qua HTTPS đến domain mới đăng ký 2 ngày trước.
Câu hỏi kiểm tra:
- SIEM có ghi nhận PowerShell execution event không? Có detection rule cho encoded PowerShell không?
- Proxy/Firewall có phát hiện kết nối đến domain mới (newly registered domain) không?
- EDR có phát hiện scheduled task tạo bởi tiến trình con của Office không?
Giai đoạn 3 — Di chuyển ngang và thu thập thông tin (Lateral Movement & Discovery)
Tình huống: Từ 08:30 đến 14:00. Kẻ tấn công sử dụng Mimikatz để dump credential từ LSASS, phát hiện Domain Admin account. Sử dụng PsExec di chuyển ngang đến Domain Controller và File Server. Quét mạng nội bộ để xác định các hệ thống quan trọng.
Câu hỏi kiểm tra:
- EDR có phát hiện Mimikatz hoặc hành vi truy cập LSASS không?
- SIEM có rule phát hiện lateral movement qua PsExec/SMB không?
- Có phân đoạn mạng (network segmentation) ngăn máy trạm truy cập trực tiếp vào Domain Controller không?
- Có giám sát Domain Admin login bất thường không?
Giai đoạn 4 — Vô hiệu hóa phòng thủ và mã hóa (Defense Evasion & Impact)
Tình huống: 02:00 sáng thứ Ba. Kẻ tấn công vô hiệu hóa Windows Defender và dịch vụ backup trên tất cả server. Xóa Volume Shadow Copy. Triển khai ransomware qua Group Policy, mã hóa đồng thời tất cả File Server, Database Server và hệ thống ERP. Để lại ransom note yêu cầu 500.000 USD bằng Bitcoin trong 72 giờ, đe dọa công khai 200GB dữ liệu đã đánh cắp.
Câu hỏi kiểm tra:
- Hệ thống giám sát có cảnh báo khi backup service bị dừng đột ngột không?
- Có rule phát hiện xóa Volume Shadow Copy (vssadmin delete shadows) không?
- SOC có trực 24/7 để phát hiện hoạt động bất thường vào ban đêm không?
- Backup có được lưu trữ offline/immutable mà kẻ tấn công không thể mã hóa không?
Giai đoạn 5 — Phát hiện và phản ứng ban đầu (Detection & Initial Response)
Tình huống: 06:30 sáng thứ Ba. Nhân viên IT phát hiện hệ thống không truy cập được khi đến văn phòng. Màn hình các server hiển thị ransom note. Email nội bộ và hệ thống ERP không hoạt động. Điện thoại đổ chuông liên tục từ các phòng ban báo lỗi.
Câu hỏi kiểm tra:
- Ai là người đầu tiên được thông báo? Quy trình escalation như thế nào?
- Đội ứng phó sự cố (IRT) được kích hoạt trong bao lâu?
- Hành động đầu tiên là gì: cô lập mạng, bảo toàn bằng chứng, hay cố khôi phục?
- War Room được thiết lập ở đâu? Kênh liên lạc nào sử dụng khi email nội bộ không hoạt động?
Giai đoạn 6 — Ra quyết định dưới áp lực (Executive Decision-Making)
Tình huống: 10:00 sáng thứ Ba. Ban Giám đốc họp khẩn. Đội kỹ thuật báo cáo: 80% server bị mã hóa, backup gần nhất là 36 giờ trước nhưng chưa xác minh được tính toàn vẹn. Kẻ tấn công đe dọa công khai dữ liệu khách hàng trong 72 giờ. Báo chí bắt đầu đưa tin về việc hệ thống ngừng hoạt động. Đối tác lớn nhất gọi điện hỏi tình hình.
Câu hỏi kiểm tra:
- Có trả tiền chuộc không? Ai có quyền quyết định? Cần tham vấn ai (pháp lý, bảo hiểm, cơ quan chức năng)?
- Khi nào báo cáo cơ quan chức năng (Cục An toàn thông tin, công an)? Quy trình báo cáo theo Nghị định 85 và Thông tư 20 như thế nào?
- Thông báo cho khách hàng khi nào và bằng cách nào? Nội dung thông báo do ai soạn?
- Phát ngôn viên là ai? Có chuẩn bị holding statement cho truyền thông chưa?
Giai đoạn 7 — Khôi phục và rút kinh nghiệm (Recovery & Lessons Learned)
Tình huống: Ngày thứ 3–7. Đội kỹ thuật xác nhận backup database server toàn vẹn, bắt đầu khôi phục. File Server có backup nhưng thiếu 36 giờ dữ liệu gần nhất. Hệ thống ERP cần 48 giờ để rebuild. Cơ quan chức năng yêu cầu bảo quản bằng chứng trước khi xóa dọn hệ thống.
Câu hỏi kiểm tra:
- Thứ tự ưu tiên khôi phục hệ thống nào trước? Ai quyết định?
- Làm sao xác minh hệ thống đã sạch trước khi đưa trở lại hoạt động?
- Backup thực sự hoạt động chưa? Có từng thử restore chưa? Mất bao lâu?
- Cách bảo quản bằng chứng số mà không làm chậm quá trình khôi phục?
- Sau sự cố, cần thay đổi gì trong chính sách, quy trình và công nghệ?
Bước 4: Xác định đối tượng tham gia
Tùy vào mục tiêu, đối tượng tham gia sẽ khác nhau:
Tabletop Exercise (quy trình & ra quyết định): CEO/Tổng Giám đốc, CIO/CTO, CISO, Giám đốc Pháp chế, Giám đốc Truyền thông, CFO, Trưởng phòng CNTT, Trưởng phòng Nhân sự, đại diện đơn vị kinh doanh chính.
Cyber Drill (kỹ thuật): SOC team, đội ứng phó sự cố, quản trị hệ thống, quản trị mạng, quản trị cơ sở dữ liệu, đội backup.
Diễn tập tổng hợp: Cả hai nhóm trên, hoạt động song song — đội kỹ thuật xử lý sự cố ở phòng kỹ thuật, ban lãnh đạo ra quyết định ở War Room, hai bên phối hợp qua kênh liên lạc đã định sẵn.
Bước 5: Chuẩn bị tài liệu diễn tập
Một bộ tài liệu diễn tập ransomware hoàn chỉnh bao gồm:
Kế hoạch diễn tập: Mục tiêu, phạm vi, thời gian, đối tượng tham gia, quy tắc (Rules of Engagement), kênh liên lạc, điều kiện dừng khẩn cấp.
Kịch bản chi tiết (dành cho đội điều phối): Mô tả từng giai đoạn, thời điểm inject thông tin mới, câu hỏi cần đặt ra, đáp án/hành vi mong đợi, tiêu chí đánh giá.
Tài liệu phát cho người tham gia: Chỉ mô tả tình huống, không chứa đáp án. Thông tin được phát từng giai đoạn, không cho biết trước toàn bộ kịch bản.
Biểu mẫu đánh giá: Checklist theo dõi thời gian phản ứng, quyết định đã đưa ra, khoảng trống trong quy trình, điểm mạnh và điểm cần cải thiện.
Mẫu báo cáo sau diễn tập (After-Action Report): Tóm tắt kết quả, danh sách phát hiện (findings), đề xuất cải thiện theo mức ưu tiên, lộ trình hành động cụ thể.
Bước 6: Tổ chức diễn tập
Trước diễn tập (1–2 tuần): Gửi thông báo cho người tham gia (không tiết lộ kịch bản cụ thể), xác nhận lịch, chuẩn bị phòng họp/hạ tầng kỹ thuật, briefing đội điều phối.
Trong diễn tập: Người điều phối (Facilitator) dẫn dắt từng giai đoạn, inject thông tin mới theo timeline, đặt câu hỏi kích thích thảo luận, quan sát và ghi nhận. Người đánh giá (Evaluator) ngồi quan sát, ghi chép hành vi, thời gian phản ứng và khoảng trống. Không có câu trả lời đúng/sai — mục tiêu là phát hiện lỗ hổng, không phải phán xét.
Sau diễn tập (ngay trong ngày): Hot wash — thảo luận nhanh ngay sau khi kết thúc để ghi nhận cảm nhận tươi mới nhất từ người tham gia.
Sau diễn tập (1–2 tuần): Hoàn thiện After-Action Report, trình bày kết quả cho ban lãnh đạo, xây dựng kế hoạch hành động khắc phục, lên lịch diễn tập tiếp theo.
Checklist đánh giá kết quả diễn tập ransomware
Sau diễn tập, đánh giá theo các tiêu chí:
Phát hiện: SOC phát hiện dấu hiệu tấn công trong bao lâu? Giai đoạn nào trong chuỗi tấn công bị phát hiện đầu tiên? Có giai đoạn nào hoàn toàn không bị phát hiện?
Ngăn chặn: Mất bao lâu để cô lập hệ thống bị ảnh hưởng? Ransomware lây lan đến bao nhiêu hệ thống trước khi bị ngăn chặn?
Ứng phó: IRT được kích hoạt trong bao lâu? Quy trình escalation có hoạt động không? War Room có được thiết lập kịp thời không?
Ra quyết định: Ban lãnh đạo có nắm được tình hình chính xác không? Các quyết định (trả tiền chuộc, báo cơ quan chức năng, thông báo khách hàng) được đưa ra như thế nào?
Truyền thông: Thông báo nội bộ có kịp thời và chính xác không? Thông báo cho khách hàng/đối tác có được chuẩn bị không? Phương án truyền thông có sẵn sàng khi email nội bộ không hoạt động?
Khôi phục: Backup có khôi phục được không? Mất bao lâu để đưa hệ thống quan trọng nhất trở lại? Có xác minh hệ thống sạch trước khi đưa vào hoạt động không?
Tuân thủ: Quy trình báo cáo cơ quan chức năng có đúng quy định không? Bằng chứng số có được bảo quản phục vụ điều tra không?
Kết luận
Một kịch bản diễn tập ransomware được thiết kế tốt không chỉ là danh sách sự kiện — mà là công cụ phát hiện mọi khoảng trống trong năng lực ứng phó của tổ chức, từ detection rule trên SIEM cho đến quy trình ra quyết định của ban lãnh đạo.
Đừng chờ đến khi ransomware thực sự tấn công mới phát hiện backup không hoạt động, nhân viên không biết gọi ai, và ban lãnh đạo không biết có nên trả tiền chuộc hay không. Diễn tập hôm nay chính là bảo hiểm cho ngày mai.
Security365 cung cấp dịch vụ thiết kế và tổ chức diễn tập ransomware — từ kịch bản Tabletop cho ban lãnh đạo đến Cyber Drill kỹ thuật cho đội SOC — dựa trên các case study thực tế tại Việt Nam và khung MITRE ATT&CK. Liên hệ với chúng tôi để xây dựng kịch bản diễn tập phù hợp với hạ tầng và ngành nghề của tổ chức bạn.
Security365 