Tin tặc đã tấn công một loạt các công ty quản lý CNTT và xâm phạm các khách hàng DN của họ bằng cách nhắm mục tiêu vào một nhà cung cấp phần mềm lớn có tên Kaseya. Đầu tuần này, những kẻ tấn công đã yêu cầu một khoản thanh toán 70 triệu USD bằng bitcoin để đổi lấy công cụ giải mã giúp nạn nhân phục hồi sau tấn công.
Kaseya là nạn nhân mới nhất trong một chuỗi các cuộc tấn công ransomware mà nạn nhân trước đó là nhà cung cấp nhiên liệu lớn Colonial Pipeline và nhà chế biến thịt JBS Foods, khiến các nhà nghiên cứu, lãnh đạo công ty và quan chức Mỹ lo lắng về rủi ro mạng đối với cơ sở hạ tầng số và vật lý.
Do vụ tấn công xảy ra ngay trước kỳ nghỉ lễ cuối tuần nên hiện chưa thể đánh giá mức độ thiệt hại đầy đủ.
Ai bị ảnh hưởng?
Vào ngày 2/6, Kaseya đã được cảnh báo về một cuộc tấn công tiềm ẩn liên quan đến một phần mềm quản lý từ xa có tên là VSA, công ty cho biết trong một tuyên bố. Trong vòng một giờ, công ty này đã đóng quyền truy cập vào phần mềm đó với nỗ lực ngăn chặn sự lây lan của cuộc tấn công. Đến ngày 3/7, các quan chức Mỹ cho biết họ đang theo dõi vụ tấn công.
Kaseya cung cấp công nghệ giúp các công ty khác quản lý hệ thống CNTT của họ - về cơ bản, là xương sống trong hoạt động của các DN. Trong nhiều trường hợp, Kaseya bán công nghệ của mình cho các nhà cung cấp dịch vụ bên thứ ba, là các đơn vị quản lý CNTT cho các công ty khác, thường là các DN nhỏ và vừa. Nhìn chung, bằng cách nhắm mục tiêu vào phần mềm của Kaseya, những kẻ tấn công đã dễ dàng truy cập vào hệ thống mạng của một loạt các công ty khác nhau.
Cũng cuối tuần qua, các chuyên gia cho biết cuộc tấn công đã đánh sập ít nhất một chục công ty hỗ trợ CNTT dựa vào công cụ quản lý từ xa của Kaseya.
Ngày 6/7, Kaseya cho biết khoảng 50 khách hàng của họ sử dụng phiên bản VSA tại chỗ đã bị xâm phạm trực tiếp bởi cuộc tấn công, nhưng có tới 1.500 DN hạ nguồn trên khắp thế giới đã bị xâm phạm. Các DN bao gồm các văn phòng nha sĩ, văn phòng kế toán nhỏ và các nhà hàng địa phương, công ty cho biết.
CEO của Kaseya, Fred Voccola, cho biết thêm trong một cuộc phỏng vấn với Reuters ngày 5/7, là rất khó để đánh giá tác động đầy đủ của cuộc tấn công, ông cũng không biết bất kỳ tổ chức quan trọng quốc gia nào bị xâm phạm trong cuộc tấn công.
Ai đứng đằng sau?
Các nhà nghiên cứu mạng cho biết REvil là băng nhóm tội phạm mạng đứng sau cuộc tấn công Kaseya.
Nhóm này được cho là hoạt động ngoài Đông Âu hoặc Nga, là một trong những nhà cung cấp "ransomware-as-a-service" (phần mềm độc hại như là một dịch vụ) khét tiếng nhất, có nghĩa là nó cung cấp các công cụ cho những người khác để thực hiện các cuộc tấn công ransomware và thu lợi nhuận. Nhóm cũng thực hiện một số cuộc tấn công của riêng mình.
Jon DiMaggio, chiến lược gia trưởng về bảo mật tại công ty an ninh mạng Analyst1, người theo dõi các nhóm ransomware, cho biết, kể từ khi nó xuất hiện vào năm 2019, REvil đã nhanh chóng trở thành một "lãnh đạo tư tưởng" (thought leader) trong không gian tấn công.
Một số nhóm tấn công, bao gồm cả băng đảng DarkSide đã thực hiện vụ tấn công Colonial Pipeline vào tháng 5, được cho là do những người ban đầu làm việc cho REvil gây ra, DiMaggio nói.
REvil cũng đứng sau một số cuộc tấn công ransomware cao cấp gần đây, điển hình là vụ tấn công JBS Foods vào tháng trước, nhà cung cấp Quanta Computer của Apple vào tháng 4 và nhà sản xuất thiết bị điện tử Acer vào tháng 3.
Về thời điểm tấn công…
Không có gì ngạc nhiên khi cuộc tấn công xảy ra ngay trước một kỳ nghỉ lễ lớn Ngày Độc lập và cũng là vào dịp cuối tuần. Các chuyên gia cho biết các kỳ nghỉ lễ và cuối tuần dài là thời điểm tốt nhất để tin tặc thực hiện các cuộc tấn công bằng ransomware vì nó giúp chúng có thêm thời gian để mã hóa các tệp và thiết bị trước khi bất kỳ ai có cơ hội nhận ra và phản hồi.
Sau khi các quan chức Mỹ tiêu diệt DarkSide sau cuộc tấn công Colonial Pipeline và đòi lại một số khoản tiền chuộc mà nó đã nhận được, REvil đã lên các diễn đàn hack trực tuyến để nói rằng các nhóm ransomware sẽ không bị Mỹ ngăn cản, DiMaggio nói.
"Các nhóm tội phạm luôn tỏ ra chống Mỹ, đặc biệt là kể từ sau vụ triệt hạ DarkSide, và bây giờ chúng tôi đang chứng kiến cuộc tấn công lớn nhằm vào cơ sở hạ tầng của chúng tôi vào Ngày Độc lập diễn ra vào cuối tuần. Tôi nghĩ nhóm tấn công đang gửi một thông điệp rất mạnh mẽ."
Nhà Trắng đã phản hồi như thế nào?
Nhà Trắng đã kêu gọi các công ty tin bị xâm phạm bởi cuộc tấn công này hãy báo cáo ngay cho Trung tâm Khiếu nại Tội phạm Internet (Internet Crime Complaint Center).
Anne Neuberger, Phó cố vấn an ninh quốc gia về không gian mạng và công nghệ mới cho biết: "Kể từ ngày 2/6, Chính phủ Mỹ đã làm việc liên ngành để đánh giá sự cố ransomware Kaseya và hỗ trợ đối phó". Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã làm việc với Kaseya và phối hợp để tiến hành tiếp cận các nạn nhân bị ảnh hưởng".
Tổng thống Mỹ Joe Biden cũng lên tiếng là sẽ có câu trả lời về kẻ đứng đằng sau vụ việc này.
Bài học rút ra
Cuộc tấn công vào Kaseya hướng đến một mục tiêu phổ biến cho những kẻ tấn công ransomware: Nhà cung cấp dịch vụ được quản lý (MSP). Các MSP như khách hàng của Kaseya cho phép các công ty thuê ngoài một số phần mềm và dịch vụ, chẳng hạn như quản lý CNTT, cho bên thứ ba, điều này có thể giúp tránh chi phí phải thuê các chuyên gia như vậy tại chỗ.
SolarWinds - công ty bị ảnh hưởng bởi một vụ xâm phạm an ninh nghiêm trọng vào năm ngoái - cũng cung cấp phần mềm quản lý CNTT cho nhiều công ty và cơ quan chính phủ trong danh sách Fortune 500.
Mặc dù các cuộc tấn công kiểu này không phải là mới, nhưng các MSP rõ ràng là một cơ hội lớn cho tin tặc vì cách chúng tương tác với mạng của các công ty khác, DiMaggio nói.
Trong nhiều trường hợp, không có kiểm tra kỹ thuật nào đối với các bản cập nhật phần mềm đến từ các nhà cung cấp này vì họ được coi là đối tác "đáng tin cậy", có khả năng khiến khách hàng dễ bị tấn công bởi các tác nhân xấu có thể nhúng khối lượng ransomware vào các bản cập nhật đó.
Ông DiMaggio cho rằng: "Sẽ phải kiểm tra và cân đối nhiều hơn đối với bất kỳ nhà cung cấp bên thứ ba nào"./.
