Hôm thứ Sáu (ngày 2/7), một cuộc tấn công ransomware đã làm tê liệt mạng của ít nhất 200 công ty Hoa Kỳ, theo một nhà nghiên cứu an ninh mạng có công ty đang phải ứng phó với vụ việc.
AP News đưa tin, theo John Hammond của công ty bảo mật Huntress Labs, REvil, một băng nhóm ransomware chủ yếu nói tiếng Nga, dường như đứng đằng sau vụ tấn công. Ông cho biết bọn tội phạm đã nhắm mục tiêu vào một nhà cung cấp phần mềm có tên Kaseya, sử dụng gói quản lý mạng của họ làm đường dẫn để phát tán ransomware thông qua các nhà cung cấp dịch vụ đám mây. Các nhà nghiên cứu khác đồng ý với đánh giá của Hammond.
Hammond cho biết trong một thông điệp trên Twitter: “Kaseya quản lý mạng từ doanh nghiệp lớn đến doanh nghiệp nhỏ trên toàn cầu, do đó, (cuộc tấn công này) có tiềm năng lan rộng đến các doanh nghiệp với bất kỳ quy mô nào. Đây là một cuộc tấn công chuỗi cung ứng khổng lồ và tàn khốc”.
Các cuộc tấn công mạng như vậy thường xâm nhập vào phần mềm được sử dụng rộng rãi và phát tán phần mềm độc hại khi nó cập nhật tự động.
Hiện vẫn chưa rõ có bao nhiêu khách hàng của Kaseya có thể bị ảnh hưởng hoặc họ là ai. Trong một tuyên bố trên trang web của mình, Kaseya kêu gọi khách hàng đóng cửa ngay lập tức các máy chủ chạy phần mềm bị ảnh hưởng. Công ty cho biết cuộc tấn công chỉ giới hạn ở "một số lượng nhỏ" khách hàng của mình.
Brett Callow, một chuyên gia về ransomware tại công ty an ninh mạng Emsisoft, cho biết đây là một cuộc tấn công chuỗi cung ứng ransomware có quy mô lớn nhất mà ông từng biết. Đã có những cuộc tấn công khác, nhưng chúng khá nhỏ.
Ông nói: “Đây là cuộc tấn công SolarWinds với ransomware”. Ông so sánh quy mô của cuộc tấn công mới với SolarWinds, một chiến dịch tấn công gián điệp mạng của Nga được phát hiện vào tháng 12, lây lan bằng cách lây nhiễm phần mềm quản lý mạng để xâm nhập vào các cơ quan liên bang Hoa Kỳ và điểm số của các tập đoàn.
Nhà nghiên cứu an ninh mạng Jake Williams, chủ tịch của Rendition Infosec, cho biết ông đã làm việc với sáu công ty bị tấn công bởi ransomware. Ông nói thêm, không phải ngẫu nhiên mà điều này xảy ra trước ngày 4/7 (Ngày Độc lập Hoa Kỳ), khi mà nhân sự CNTT nói chung là mỏng.
Hammond của Huntress cho biết ông đã biết về việc 4 nhà cung cấp dịch vụ được quản lý - các công ty lưu trữ cơ sở hạ tầng CNTT cho nhiều khách hàng - bị tấn công bởi phần mềm tống tiền, mã hóa mạng cho đến khi nạn nhân trả được tiền cho những kẻ tấn công. Ông cho biết hàng nghìn máy tính đã bị tấn công.
Hammond cho biết: “Chúng tôi hiện có 3 đối tác của Huntress, những người bị ảnh hưởng với khoảng 200 doanh nghiệp đã bị mã hóa”.
Hammond đã viết trên Twitter: “Dựa trên mọi thứ chúng tôi đang thấy ngay bây giờ, chúng tôi thực sự tin rằng thủ phạm (là) REvil/Sodinikibi”. FBI đã liên kết REvil với cùng một nhà cung cấp ransomware trong một cuộc tấn công hồi tháng 5 nhằm vào JBS SA, một nhà chế biến thịt lớn trên toàn cầu.
Cơ quan An ninh mạng và Cơ sở hạ tầng liên bang cho biết trong một tuyên bố vào cuối ngày thứ Sáu rằng họ đang theo dõi chặt chẽ tình hình và làm việc với FBI để thu thập thêm thông tin về tác động của cuộc tấn công.
CISA kêu gọi bất kỳ ai có thể bị ảnh hưởng hãy “làm theo hướng dẫn của Kaseya, đóng các máy chủ VSA ngay lập tức”. Kaseya đang điều hành quản trị viên hệ thống ảo (VSA), được sử dụng để quản lý và giám sát từ xa mạng của khách hàng.
Kaseya là một công ty tư nhân có trụ sở tại Dublin, Ireland, với chi nhánh Hoa Kỳ tại Miami.
Brian Honan, một nhà tư vấn an ninh mạng người Ireland, cho biết qua email hôm thứ Sáu rằng “đây là một cuộc tấn công chuỗi cung ứng cổ điển trong đó bọn tội phạm đã xâm nhập vào một nhà cung cấp đáng tin cậy của các công ty và lạm dụng sự tin tưởng đó để tấn công khách hàng của họ”.
Ông cho biết có thể khó cho các doanh nghiệp nhỏ hơn để chống lại kiểu tấn công này vì họ “dựa vào sự bảo mật của các nhà cung cấp của họ và phần mềm mà các nhà cung cấp đó đang sử dụng”.
Williams, thuộc Rendition Infosec, cho biết tin tốt duy nhất là “rất nhiều khách hàng của chúng tôi không cài đặt Kaseya trên mọi máy trong mạng của họ”, khiến những kẻ tấn công khó di chuyển qua hệ thống máy tính của tổ chức hơn.
Điều đó giúp việc phục hồi dễ dàng hơn, ông nói.
Hoạt động kể từ tháng 4/2019, nhóm có tên REvil cung cấp ransomware dưới dạng dịch vụ, có nghĩa là chúng phát triển phần mềm làm tê liệt mạng và cho thuê nó cho những công ty được gọi là chi nhánh lây nhiễm mục tiêu và kiếm được phần lớn tiền chuộc.
REvil cũng nằm trong số các băng nhóm ransomware đánh cắp dữ liệu từ các mục tiêu trước khi kích hoạt ransomware, nhằm tăng cường các nỗ lực tống tiền của chúng. Công ty an ninh mạng Palo Alto Networks cho biết khoản tiền chuộc trung bình cho nhóm này là khoảng nửa triệu USD vào năm ngoái.
Văn Thiện
