Ransomware tấn công hàng trăm công ty Mỹ

WASHINGTON (AP) - Một cuộc tấn công ransomware đã làm tê liệt mạng của ít nhất 200 công ty Hoa Kỳ vào thứ Sáu, theo một nhà nghiên cứu an ninh mạng có công ty đang phản ứng với vụ việc.

Theo John Hammond của công ty bảo mật Huntress Labs, băng đảng REvil, một tổ chức ransomware lớn nói tiếng Nga, có vẻ đứng sau vụ tấn công. Ông cho biết bọn tội phạm đã nhắm mục tiêu vào một nhà cung cấp phần mềm có tên Kaseya, sử dụng gói quản lý mạng của họ như một đường dẫn để phát tán ransomware thông qua các nhà cung cấp dịch vụ đám mây. Các nhà nghiên cứu khác đồng ý với đánh giá của Hammond.

Hammond cho biết trong một thông điệp trực tiếp trên Twitter: “Kaseya xử lý từ doanh nghiệp lớn đến doanh nghiệp nhỏ trên toàn cầu, do đó, (điều này) có tiềm năng lan rộng đến bất kỳ doanh nghiệp quy mô hoặc quy mô nào. "Đây là một cuộc tấn công chuỗi cung ứng khổng lồ và tàn khốc."

Các cuộc tấn công mạng như vậy thường xâm nhập vào phần mềm được sử dụng rộng rãi và phát tán phần mềm độc hại khi nó cập nhật tự động.

Không rõ ngay lập tức có bao nhiêu khách hàng của Kaseya có thể bị ảnh hưởng hoặc họ có thể là ai. Kaseya kêu gọi khách hàng trong một tuyên bố trên trang web của mình ngay lập tức đóng cửa các máy chủ chạy phần mềm bị ảnh hưởng. Nó cho biết cuộc tấn công chỉ giới hạn ở một “số lượng nhỏ” khách hàng của mình.

Brett Callow, một chuyên gia về ransomware tại công ty an ninh mạng Emsisoft, cho biết ông không biết về bất kỳ cuộc tấn công chuỗi cung ứng ransomware nào trước đây trên quy mô này. Đã có những người khác, nhưng họ khá nhỏ, ông nói.

“Đây là SolarWinds với ransomware,” anh nói. Anh ta đang đề cập đến một chiến dịch tấn công gián điệp mạng của Nga được phát hiện vào tháng 12, lây lan bằng cách lây nhiễm phần mềm quản lý mạng để xâm nhập vào các cơ quan liên bang Hoa Kỳ và điểm số của các tập đoàn.

Nhà nghiên cứu an ninh mạng Jake Williams, chủ tịch của Rendition Infosec, cho biết ông đã làm việc với sáu công ty bị tấn công bởi ransomware. Ông nói thêm, không phải ngẫu nhiên mà điều này xảy ra trước ngày 4 tháng 7, khi mà nhân sự CNTT nói chung là mỏng.

“Không có nghi ngờ gì trong tâm trí tôi rằng thời gian ở đây là có chủ ý,” anh nói.

Hammond của Huntress cho biết anh đã biết về việc bốn nhà cung cấp dịch vụ được quản lý - các công ty lưu trữ cơ sở hạ tầng CNTT cho nhiều khách hàng - bị tấn công bởi phần mềm tống tiền, mã hóa mạng cho đến khi nạn nhân trả được tiền cho những kẻ tấn công. Ông cho biết hàng nghìn máy tính đã bị tấn công.

Hammond cho biết: “Chúng tôi hiện có ba đối tác của Huntress, những người bị ảnh hưởng với khoảng 200 doanh nghiệp đã được mã hóa.

Hammond đã viết trên Twitter: “Dựa trên mọi thứ chúng tôi đang thấy ngay bây giờ, chúng tôi thực sự tin rằng đây (là) REvil / Sodinikibi.” FBI đã liên kết cùng một nhà cung cấp ransomware với một cuộc tấn công hồi tháng 5 nhằm vào JBS SA , một công ty chế biến thịt lớn trên toàn cầu.

Cơ quan An ninh mạng và Cơ sở hạ tầng liên bang cho biết trong một tuyên bố vào cuối ngày thứ Sáu rằng họ đang theo dõi chặt chẽ tình hình và làm việc với FBI để thu thập thêm thông tin về tác động của nó.

CISA kêu gọi bất kỳ ai có thể bị ảnh hưởng hãy “làm theo hướng dẫn của Kaseya để đóng các máy chủ VSA ngay lập tức.” Kaseya điều hành cái được gọi là quản trị viên hệ thống ảo, hay VSA, được sử dụng để quản lý và giám sát từ xa mạng của khách hàng.

Kaseya do tư nhân tổ chức cho biết họ có trụ sở tại Dublin, Ireland, với trụ sở chính của Hoa Kỳ tại Miami. Miami Herald gần đây đã mô tả nó là “một trong những công ty công nghệ lâu đời nhất ở Miami” trong một báo cáo về kế hoạch thuê 500 công nhân vào năm 2022 để làm nhân viên cho một nền tảng an ninh mạng mới được mua gần đây.

Brian Honan, một nhà tư vấn an ninh mạng người Ireland, cho biết qua email hôm thứ Sáu rằng “đây là một cuộc tấn công chuỗi cung ứng cổ điển trong đó bọn tội phạm đã xâm nhập vào một nhà cung cấp đáng tin cậy của các công ty và lạm dụng sự tin tưởng đó để tấn công khách hàng của họ”.

Ông cho biết có thể khó cho các doanh nghiệp nhỏ hơn để chống lại kiểu tấn công này vì họ “dựa vào sự bảo mật của các nhà cung cấp của họ và phần mềm mà các nhà cung cấp đó đang sử dụng”.

Williams, thuộc Rendition Infosec, cho biết tin tốt duy nhất là “rất nhiều khách hàng của chúng tôi không có Kaseya trên mọi máy trong mạng của họ”, khiến những kẻ tấn công khó di chuyển qua hệ thống máy tính của tổ chức hơn.

Điều đó giúp phục hồi dễ dàng hơn, anh ấy nói.

Hoạt động kể từ tháng 4 năm 2019, nhóm được gọi là REvil cung cấp dịch vụ ransomware dưới dạng một dịch vụ, có nghĩa là họ phát triển phần mềm làm tê liệt mạng và cho thuê nó cho cái gọi là các chi nhánh lây nhiễm mục tiêu và kiếm được phần lớn tiền chuộc.

REvil nằm trong số các băng nhóm ransomware đánh cắp dữ liệu từ các mục tiêu trước khi kích hoạt ransomware, tăng cường các nỗ lực tống tiền của chúng. Công ty an ninh mạng Palo Alto Networks cho biết khoản tiền chuộc trung bình cho nhóm này là khoảng nửa triệu đô la vào năm ngoái.

Một số chuyên gia an ninh mạng dự đoán rằng băng nhóm này có thể khó xử lý các cuộc đàm phán về tiền chuộc, với số lượng lớn nạn nhân - mặc dù kỳ nghỉ cuối tuần dài ở Hoa Kỳ có thể giúp họ có thêm thời gian để bắt đầu thông qua danh sách.

Các cuộc tấn công mạng đang trở thành tiêu chuẩn ở Mỹ của Biden.

Tháng trước, 60 văn phòng Hạ viện từ cả hai phía đã bị tấn công bằng ransomware .

Vào tháng 5, các tin tặc ransomware đã nhắm mục tiêu vào Colonial Pipeline và nhà cung cấp thịt lớn nhất thế giới.

Tin tặc ransomware đã đóng cửa Colonial Pipeline, tạo ra các đường dẫn khí đốt và tình trạng thiếu hụt ở các bang Đông Nam.

1/5 sản lượng thịt bò của Mỹ đã bị xóa sổ sau khi JBS tạm dừng chế biến tại 5 nhà máy thịt bò lớn nhất của mình, nơi quản lý tổng cộng 22.500 con bò mỗi ngày.

Thông điệp của Joe Biden đối với bọn tội phạm trên toàn thế giới: Hoa Kỳ quá yếu để ngăn chặn các cuộc tấn công mạng, vì vậy hãy tiếp tục và hack cơ sở hạ tầng của chúng tôi.