Symantec Tổng kết tình hình an ninh, bảo mật – Tháng 6, 2021

Ransomware: có còn xa lạ với chúng ta?

Ransomware Payback.

Giữa hàng loạt các cuộc tấn công bằng mã độc tống tiền ransomware mới mỗi ngày, cuối cùng một số tin tức tích cực cũng đã đến: Một sự phục hồi hiếm hoi của doanh nghiệp bị tội phạm ransomware tấn công.

Bộ Tư pháp Hoa Kỳ đã thu hồi phần lớn tiền chuộc mã hóa mà công ty phân phối nhiên liệu Colonial Pipeline Mỹ phải trả cho tin tặc sau khi bị bọn tội phạm mạng tấn công hệ thống công nghệ thông tin (CNTT) của Colonial Pipeline vào tháng trước, làm tê liệt việc cung cấp nhiên liệu ở khu vực Bờ Đông của nước Mỹ. Công ty phân phối nhiên liệu – đường ống dẫn dầu khổng lồ ở Bờ Đông này, đã đóng cửa hoạt động trong vòng 11 ngày sau cuộc tấn công, dẫn đến tình trạng thiếu khí đốt và tăng giá nhiên liệu đột ngột, xác nhận họ đã trả 4,4 triệu đô-la bitcoin cho băng đảng ransomware DarkSide. DarkSide hoạt động từ Đông Âu theo mô hình ransomware-as-a-service và tuyên bố rằng nó phi chính trị và không liên kết với bất kỳ quốc gia nào.

Theo Phó Tổng Chưởng Lý Lisa Monaco, FBI đã thu hồi 63,7 Bitcoin trong số khoảng 75 Bitcoin ban đầu được Colonial Pipeline thanh toán. Các nhà điều tra đã theo dõi khoản thanh toán tiền chuộc trên nhiều địa chỉ Bitcoin, đã thu lại phần lớn số tiền sau khi có được quyền truy cập vào khóa cá nhân hoặc mật khẩu của một trong các ví Bitcoin của DarkSide, mặc dù không có chi tiết cụ thể về chiến thuật. Hoạt động khôi phục là hoạt động đầu tiên dành cho lực lượng đặc nhiệm tống tiền kỹ thuật số và ransomware được thành lập gần đây của Cơ quan quản lý dưới chính quyền tổng thống Mr. Biden. Monaco cho biết: “Các cuộc tấn công bằng ransomware là không thể chấp nhận được, nhưng khi chúng nhắm mục tiêu vào cơ sở hạ tầng quan trọng, chúng tôi sẽ không nỗ lực để phản ứng lại”. DOJ cũng cho biết họ có kế hoạch phối hợp các nỗ lực chống ransomware với cùng một bộ giao thức được sử dụng cho chủ nghĩa khủng bố.

DarkSide được cho là đã thu được hơn 90 triệu đô la tiền chuộc bằng bitcoin. Nhưng trong một bước ngoặt, chính nhóm này đã trở thành nạn nhân khi mất quyền truy cập vào các máy chủ và tiền điện tử của chúng và đã phải chuyển sang một ví không xác định khác vào tháng 5. Washington Post báo cáo rằng chính phủ Hoa Kỳ không đứng sau sự gián đoạn hoạt động này của DarkSide.

Giữa hàng loạt các cuộc tấn công ransomware mới, cuối cùng chúng tôi đã nghe thấy một số tin tức tích cực: Một sự phục hồi hiếm hoi của doanh nghiệp bị tội phạm ransomware tấn công.

Các mục tiêu tấn công cao cấp và trọng yếu.

Colonial Pipeline không phải là công ty lớn duy nhất bị tin tặc nhắm mục tiêu bởi loạt cuộc tấn công bằng mã độc tống tiền ransomware mới nhất. JBS, một nhà sản xuất thịt lớn, cũng phải hứng chịu một cuộc tấn công ransomware ảnh hưởng đến hệ thống công nghệ thông tin (CNTT) ở Bắc Mỹ và Úc, khiến JBS phải đóng cửa các nhà máy và cảnh báo cho khách hàng và nhà cung cấp về các giao dịch có thể bị trì hoãn. Trong một tuyên bố, FBI quy vụ tấn công vào  JBS là do băng đảng ransomware REvil (hay còn gọi là Leafroller và Sodinokbi), và “cam kết làm việc siêng năng để đưa những kẻ đe dọa ra trước công lý”. FBI cũng nhấn mạnh tầm quan trọng của quan hệ đối tác khu vực tư nhân trong việc đảm bảo phản ứng nhanh trước số lượng ngày càng tăng của các cuộc xâm nhập an ninh mạng.

Trong khi đó, công ty JBS thông báo đã đạt được những “tiến bộ đáng kể” trong việc giải quyết cuộc tấn công nhắm vào các hoạt động của họ ở Bắc Mỹ và Úc.

REvil, băng nhóm tin tặc có liên hệ với Nga, đã được công nhận là đã hack nhà cung cấp phần cứng Đài Loan Quanta Computer và đã công bố các bản thiết kế bí mật của Apple trong quá khứ. Bây giờ, nhóm tin tặc này dường như đang leo thang với tuyên bố từ một đại diện được cho là của băng đảng ransomware này, đe dọa sẽ tập trung gấp đôi vào các mục tiêu ở Hoa Kỳ. Trong một cuộc phỏng vấn được đăng trên kênh OSINT Telegram của Nga, kể từ khi bị xóa, người phát ngôn có chủ đích đã đưa ra những khẳng định đó đồng thời khẳng định nhóm không sợ bị coi là một tổ chức khủng bố. Đáp lại các hành động của Hoa Kỳ, người phát ngôn của REvil cho biết, “vì không còn lý do gì để tránh các mục tiêu của Hoa Kỳ nữa, chúng tôi đã dỡ bỏ tất cả các hạn chế. Kể từ bây giờ, mọi thực thể trên đất nước này đều có thể bị nhắm mục tiêu ”.

Một chiến trường toàn cầu.

Không chỉ Hoa Kỳ đang phải vật lộn với các mối đe dọa từ mã độc tống tiền ransomware đang gia tăng. Tập đoàn Nhật Bản Fujifilm đã phải đóng cửa một phần hệ thống mạng của mình vào đầu tháng 6 khi biết về một cuộc tấn công bằng ransomware. Công ty cho biết họ đã thực hiện các biện pháp đình chỉ tất cả các hệ thống bị ảnh hưởng với sự phối hợp của các tổ chức toàn cầu khác nhau và đang làm việc để đánh giá mức độ và quy mô của vấn đề. Fujifilm không nêu rõ nhóm ransomware nào đứng sau vụ tấn công này, nhưng BleepingComputer đã báo cáo rằng Giám đốc điều hành Advanced Intel Vitali Kremez cho biết công ty dường như đã bị nhiễm phần mềm độc hại Qbot kể từ ngày 15 tháng 5 năm 2021. Qbot làm việc với nhóm ransomware REvil, Kremez cáo buộc .

Một tin tức khác về ransomware.

Cơ quan quản lý tàu hơi nước, điều hành các chuyến phà đến các đảo Martha’s Vineyard và Nantucket của Massachusetts, đã bị tấn công. Công ty cho biết sự cố ảnh hưởng đến hệ thống CNTT của họ, không phải chức năng radar hoặc GPS, vì vậy sự an toàn của đội bay không bị đe dọa. Vẫn chưa có thông tin nào về người chịu trách nhiệm cho vụ tấn công và trong khi dịch vụ không bị gián đoạn, hệ thống bán vé đã bị ảnh hưởng.

Không chỉ Hoa Kỳ đang phải vật lộn với các mối đe dọa ransomware đang gia tăng.

Mất kết nối Internet.

Khi nhiều trang web hàng đầu như Amazon, Reddit, The New York Times, bị mất kết nối trong một thời gian ngắn vào đầu tháng này , hành động tự phát tiếp theo là một cuộc tấn công mạng khác, lần này là Fastly, công ty vận hành mạng phân phối nội dung (CDN) . Hệ thống mạng của Fastly đã được khôi phục trong thời gian ngắn, cho rằng sự cố là do lỗi phần mềm được kích hoạt bởi sự thay đổi cấu hình hợp lệ của khách hàng. Công ty hiện đang cố gắng tìm ra lý do tại sao lỗi không xuất hiện trong quá trình thử nghiệm.

Bỏ qua lừa đảo (phising).

Microsoft đang cảnh báo rằng nhóm hack Nobelium do Nga hậu thuẫn đang dàn dựng một chiến dịch lừa đảo sau khi giành quyền kiểm soát tài khoản do Cơ quan Phát triển Quốc tế Hoa Kỳ (USAID) sử dụng trên nền tảng tiếp thị qua email Constant Contact. Chiến dịch lừa đảo đã nhắm mục tiêu vào khoảng 3.000 tài khoản được liên kết với các cơ quan chính phủ, các tổ chức tư vấn, nhà tư vấn và các tổ chức phi chính phủ chủ yếu xuất hiện ở Hoa Kỳ. Backdoor có thể là vectơ cho một loạt các hoạt động bất chính, từ đánh cắp dữ liệu đến lây nhiễm cho các máy tính khác trên mạng.

Giống như ransomware, lừa đảo phải được thiết lập báo động. Một báo cáo mới từ Barracuda Networks cho thấy rằng trung bình các email lừa đảo được nhập lậu trong quá trình bảo vệ an ninh có xu hướng lưu lại trong hộp thư đến của nhân viên hơn ba ngày. Tin tốt: Chỉ có 3% nhân viên nhận bị gửi email lừa đảo mở tệp đính kèm độc hại hoặc nhấp vào liên kết độc hại.

Để chống lại cơn bão của các mối đe dọa an ninh mạng, thật vui khi biết rằng chúng ta đang đạt được một số tiến bộ.

Biên soạn bởi Phương Nguyễn – Iworld.com.vn