UvietNet (05/07/2021): Các nhóm an ninh mạng đang nỗ lực làm việc để ngăn chặn tác động của cuộc tấn công ransomware lớn nhất toàn cầu được ghi nhận, với một số chi tiết nổi lên về cách băng nhóm có liên hệ với Nga đằng sau nó đã xâm phạm các công ty có phần mềm dẫn đường.
Một chi nhánh của băng đảng REvil khét tiếng, được biết đến nhiều nhất với việc tống tiền 11 triệu đô la từ công ty JBS chế biến thịt sau một cuộc tấn công Ngày Tưởng niệm, đã lây nhiễm cho hàng nghìn nạn nhân ở ít nhất 17 quốc gia vào hôm thứ Sáu, phần lớn thông qua các công ty quản lý từ xa cơ sở hạ tầng CNTT cho nhiều khách hàng, các nhà nghiên cứu an ninh mạng cho biết.
Các nhà nghiên cứu cho biết REvil đã yêu cầu khoản tiền chuộc lên tới 5 triệu đô la. Nhưng vào cuối Chủ nhật, nó đã thông báo trong một bài đăng trên trang web tối của mình một khóa phần mềm giải mã phổ quát có thể giải mã tất cả các máy bị ảnh hưởng để đổi lấy 70 triệu đô la bằng tiền điện tử.
Trước đó, FBI cho biết trong một tuyên bố rằng trong khi điều tra vụ tấn công, quy mô của cuộc tấn công "có thể khiến chúng tôi không thể trả lời từng nạn nhân." Phó Cố vấn An ninh Quốc gia Anne Neuberger sau đó đã đưa ra tuyên bố cho biết Joe Biden đã "chỉ đạo toàn bộ nguồn lực của chính phủ để điều tra vụ việc này" và kêu gọi tất cả những ai tin rằng họ bị xâm phạm hãy thông báo cho FBI.
Ông Biden đề nghị hôm thứ Bảy, Mỹ sẽ phản hồi nếu xác định rằng Điện Kremlin có liên quan.
Cách đây chưa đầy một tháng, ông đã thúc ép Tổng thống Nga Vladimir Putin ngừng tài trợ nơi trú ẩn an toàn cho băng nhóm tội phạm REvil và các băng nhóm ransomware khác, những kẻ liên tục tấn công tống tiền mà Mỹ coi là mối đe dọa an ninh quốc gia.
Tuy nhiên, hãng tin Reuters dẫn nguồn thông tấn Interfax của Nga đưa tin hôm thứ Hai rằng Điện Kremlin nói rằng họ không liên lạc với Mỹ về vụ tấn công và Moscow không biết về điều đó.
Chuỗi cửa hàng tạp hóa Thụy Điển Coop cho biết hầu hết 800 cửa hàng của họ sẽ đóng cửa trong ngày thứ hai Chủ nhật vì nhà cung cấp phần mềm máy tính tiền của họ đã bị tê liệt. Một chuỗi hiệu thuốc Thụy Điển, chuỗi trạm xăng, đường sắt bang và đài truyền hình công cộng SVT cũng bị tấn công.
Hãng tin dpa đưa tin tại Đức, một công ty dịch vụ CNTT giấu tên đã thông báo với nhà chức trách rằng vài nghìn khách hàng của họ đã bị xâm phạm. Cũng trong số các nạn nhân được báo cáo có hai công ty dịch vụ CNTT lớn của Hà Lan - VelzArt và Hoppenbrouwer Techniek. Hầu hết nạn nhân của ransomware không báo cáo công khai các cuộc tấn công hoặc tiết lộ nếu họ đã trả tiền chuộc.
Giám đốc điều hành Fred Voccola của công ty phần mềm vi phạm, Kaseya, ước tính số nạn nhân là hàng nghìn người thấp, chủ yếu là các doanh nghiệp nhỏ như "phòng khám nha khoa, công ty kiến trúc, trung tâm phẫu thuật thẩm mỹ, thư viện, những thứ tương tự."
Voccola cho biết trong một cuộc phỏng vấn rằng chỉ có khoảng 50-60 trong số 37.000 khách hàng của công ty bị xâm phạm. Nhưng 70% là các nhà cung cấp dịch vụ được quản lý sử dụng phần mềm VSA bị tấn công của công ty để quản lý nhiều khách hàng. Nó tự động hóa việc cài đặt các bản cập nhật phần mềm và bảo mật, đồng thời quản lý các bản sao lưu và các tác vụ quan trọng khác.
Chiến lược thời gian
Các chuyên gia cho rằng không phải ngẫu nhiên mà REvil phát động cuộc tấn công vào đầu kỳ nghỉ cuối tuần ngày 04/07, vì biết rằng các văn phòng của Mỹ sẽ có lượng nhân viên thấp. Nhiều nạn nhân có thể không biết về nó cho đến khi họ trở lại làm việc vào thứ Hai. Hầu hết người dùng cuối của các nhà cung cấp dịch vụ được quản lý "không biết" có phần mềm của họ giữ cho mạng của họ luôn ồn ào, Voccola nói,
Kaseya cho biết họ đã gửi một công cụ phát hiện cho gần 900 khách hàng vào tối thứ Bảy.
Allan Liska, một nhà phân tích của công ty an ninh mạng Recorded Future, cho biết đề nghị REvil cung cấp giải mã hàng loạt cho tất cả các nạn nhân của cuộc tấn công Kaseya để đổi lấy 70 triệu đô la cho thấy nó không có khả năng đối phó với số lượng lớn các mạng bị nhiễm. Mặc dù các nhà phân tích báo cáo rằng họ thấy nhu cầu 5 triệu đô la và 500.000 đô la cho các mục tiêu lớn hơn, nhưng rõ ràng là yêu cầu 45.000 đô la cho hầu hết.
Liska nói: "Cuộc tấn công này lớn hơn rất nhiều so với dự kiến của họ và nó đang thu hút rất nhiều sự chú ý. nhóm tin tặc REvil có lợi cho việc kết thúc nó nhanh chóng". "Đây là một cơn ác mộng để quản lý."
Nhà phân tích Brett Callow của Emsisoft cho biết ông nghi ngờ REvil đang hy vọng các công ty bảo hiểm có thể phá vỡ các con số và xác định 70 triệu đô la sẽ rẻ hơn cho họ so với thời gian ngừng hoạt động kéo dài.
Các băng đảng ransomware tinh vi ở cấp độ REvil thường kiểm tra hồ sơ tài chính của nạn nhân - và các hợp đồng bảo hiểm nếu họ có thể tìm thấy chúng - từ các tệp mà chúng đánh cắp trước khi kích hoạt ransomware. Sau đó bọn tội phạm đe dọa sẽ tung dữ liệu bị đánh cắp lên mạng trừ khi được trả tiền. Trong cuộc tấn công này, điều đó dường như đã không xảy ra.
Làm thế nào họ đã làm điều đó
Các nhà nghiên cứu Hà Lan cho biết họ đã cảnh báo Kaseya có trụ sở tại Miami về vụ vi phạm và cho biết bọn tội phạm đã sử dụng "zero day", thuật ngữ trong ngành để chỉ một lỗ hổng bảo mật chưa được biết trước đó trong phần mềm. Voccola sẽ không xác nhận điều đó hoặc cung cấp chi tiết về vi phạm - ngoại trừ việc nói rằng đó không phải là lừa đảo.
Ông nói: “Mức độ tinh vi ở đây thật phi thường.
Khi công ty an ninh mạng Mandiant kết thúc cuộc điều tra, Voccola cho biết anh tự tin rằng nó sẽ cho thấy rằng bọn tội phạm không chỉ vi phạm mã Kaseya khi đột nhập vào mạng của anh mà còn khai thác các lỗ hổng trong phần mềm của bên thứ ba.
Đây không phải là cuộc tấn công ransomware đầu tiên tấn công các nhà cung cấp dịch vụ được quản lý. Vào năm 2019, bọn tội phạm đã tấn công mạng lưới của 22 thành phố trực thuộc Texas thông qua một mạng lưới. Cùng năm đó, 400 cơ sở thực hành nha khoa của Hoa Kỳ đã bị tê liệt trong một cuộc tấn công riêng biệt.
Kaseya cho biết cuộc tấn công chỉ ảnh hưởng đến các khách hàng "tại chỗ", các tổ chức điều hành trung tâm dữ liệu của riêng họ, trái ngược với các dịch vụ dựa trên đám mây chạy phần mềm cho khách hàng. Tuy nhiên, nó cũng đóng các máy chủ đó để phòng ngừa.
Kaseya, đã kêu gọi khách hàng vào thứ Sáu đóng cửa máy chủ VSA của họ ngay lập tức, hôm Chủ nhật cho biết họ hy vọng sẽ có bản vá trong vài ngày tới.
Hoạt động kể từ tháng 4 năm 2019, REvil cung cấp ransomware-as-a-service, có nghĩa là nó phát triển phần mềm làm tê liệt mạng và cho thuê nó cho những người được gọi là chi nhánh lây nhiễm mục tiêu và kiếm được phần lớn tiền chuộc. Các quan chức Mỹ cho biết các băng đảng ransomware mạnh nhất có trụ sở tại Nga và các quốc gia đồng minh, hoạt động với sự khoan nhượng của Điện Kremlin và đôi khi thông đồng với các dịch vụ an ninh của Nga.
Chuyên gia an ninh mạng Dmitri Alperovitch, thuộc tổ chức nghiên cứu Silverado Policy Accelerator, nói rằng mặc dù ông không tin rằng cuộc tấn công Kaseya là do Điện Kremlin chỉ đạo, nhưng điều đó cho thấy ông Putin "vẫn chưa có động thái gì" về việc đóng cửa tội phạm mạng.
Các nhà nghiên cứu cho biết REvil đã yêu cầu khoản tiền chuộc lên tới 5 triệu đô la. Nhưng vào cuối Chủ nhật, nó đã thông báo trong một bài đăng trên trang web tối của mình một khóa phần mềm giải mã phổ quát có thể giải mã tất cả các máy bị ảnh hưởng để đổi lấy 70 triệu đô la bằng tiền điện tử.
Trước đó, FBI cho biết trong một tuyên bố rằng trong khi điều tra vụ tấn công, quy mô của cuộc tấn công "có thể khiến chúng tôi không thể trả lời từng nạn nhân." Phó Cố vấn An ninh Quốc gia Anne Neuberger sau đó đã đưa ra tuyên bố cho biết Joe Biden đã "chỉ đạo toàn bộ nguồn lực của chính phủ để điều tra vụ việc này" và kêu gọi tất cả những ai tin rằng họ bị xâm phạm hãy thông báo cho FBI.
Ông Biden đề nghị hôm thứ Bảy, Mỹ sẽ phản hồi nếu xác định rằng Điện Kremlin có liên quan.
Cách đây chưa đầy một tháng, ông đã thúc ép Tổng thống Nga Vladimir Putin ngừng tài trợ nơi trú ẩn an toàn cho băng nhóm tội phạm REvil và các băng nhóm ransomware khác, những kẻ liên tục tấn công tống tiền mà Mỹ coi là mối đe dọa an ninh quốc gia.
Tuy nhiên, hãng tin Reuters dẫn nguồn thông tấn Interfax của Nga đưa tin hôm thứ Hai rằng Điện Kremlin nói rằng họ không liên lạc với Mỹ về vụ tấn công và Moscow không biết về điều đó.
Nhiều nạn nhân
Công ty an ninh mạng Sophos đưa tin, một loạt doanh nghiệp và cơ quan công quyền đã bị ảnh hưởng bởi cuộc tấn công mới nhất, dường như ở tất cả các châu lục, bao gồm dịch vụ tài chính, du lịch và giải trí và khu vực công - mặc dù rất ít công ty lớn Tội phạm ransomware xâm nhập vào mạng và gieo rắc phần mềm độc hại làm tê liệt chúng bằng cách xáo trộn tất cả dữ liệu của chúng. Nạn nhân nhận được một chìa khóa giải mã khi họ trả tiền.Chuỗi cửa hàng tạp hóa Thụy Điển Coop cho biết hầu hết 800 cửa hàng của họ sẽ đóng cửa trong ngày thứ hai Chủ nhật vì nhà cung cấp phần mềm máy tính tiền của họ đã bị tê liệt. Một chuỗi hiệu thuốc Thụy Điển, chuỗi trạm xăng, đường sắt bang và đài truyền hình công cộng SVT cũng bị tấn công.
Hãng tin dpa đưa tin tại Đức, một công ty dịch vụ CNTT giấu tên đã thông báo với nhà chức trách rằng vài nghìn khách hàng của họ đã bị xâm phạm. Cũng trong số các nạn nhân được báo cáo có hai công ty dịch vụ CNTT lớn của Hà Lan - VelzArt và Hoppenbrouwer Techniek. Hầu hết nạn nhân của ransomware không báo cáo công khai các cuộc tấn công hoặc tiết lộ nếu họ đã trả tiền chuộc.
Giám đốc điều hành Fred Voccola của công ty phần mềm vi phạm, Kaseya, ước tính số nạn nhân là hàng nghìn người thấp, chủ yếu là các doanh nghiệp nhỏ như "phòng khám nha khoa, công ty kiến trúc, trung tâm phẫu thuật thẩm mỹ, thư viện, những thứ tương tự."
Voccola cho biết trong một cuộc phỏng vấn rằng chỉ có khoảng 50-60 trong số 37.000 khách hàng của công ty bị xâm phạm. Nhưng 70% là các nhà cung cấp dịch vụ được quản lý sử dụng phần mềm VSA bị tấn công của công ty để quản lý nhiều khách hàng. Nó tự động hóa việc cài đặt các bản cập nhật phần mềm và bảo mật, đồng thời quản lý các bản sao lưu và các tác vụ quan trọng khác.
Chiến lược thời gian
Các chuyên gia cho rằng không phải ngẫu nhiên mà REvil phát động cuộc tấn công vào đầu kỳ nghỉ cuối tuần ngày 04/07, vì biết rằng các văn phòng của Mỹ sẽ có lượng nhân viên thấp. Nhiều nạn nhân có thể không biết về nó cho đến khi họ trở lại làm việc vào thứ Hai. Hầu hết người dùng cuối của các nhà cung cấp dịch vụ được quản lý "không biết" có phần mềm của họ giữ cho mạng của họ luôn ồn ào, Voccola nói,
Kaseya cho biết họ đã gửi một công cụ phát hiện cho gần 900 khách hàng vào tối thứ Bảy.
Allan Liska, một nhà phân tích của công ty an ninh mạng Recorded Future, cho biết đề nghị REvil cung cấp giải mã hàng loạt cho tất cả các nạn nhân của cuộc tấn công Kaseya để đổi lấy 70 triệu đô la cho thấy nó không có khả năng đối phó với số lượng lớn các mạng bị nhiễm. Mặc dù các nhà phân tích báo cáo rằng họ thấy nhu cầu 5 triệu đô la và 500.000 đô la cho các mục tiêu lớn hơn, nhưng rõ ràng là yêu cầu 45.000 đô la cho hầu hết.
Liska nói: "Cuộc tấn công này lớn hơn rất nhiều so với dự kiến của họ và nó đang thu hút rất nhiều sự chú ý. nhóm tin tặc REvil có lợi cho việc kết thúc nó nhanh chóng". "Đây là một cơn ác mộng để quản lý."
Nhà phân tích Brett Callow của Emsisoft cho biết ông nghi ngờ REvil đang hy vọng các công ty bảo hiểm có thể phá vỡ các con số và xác định 70 triệu đô la sẽ rẻ hơn cho họ so với thời gian ngừng hoạt động kéo dài.
Các băng đảng ransomware tinh vi ở cấp độ REvil thường kiểm tra hồ sơ tài chính của nạn nhân - và các hợp đồng bảo hiểm nếu họ có thể tìm thấy chúng - từ các tệp mà chúng đánh cắp trước khi kích hoạt ransomware. Sau đó bọn tội phạm đe dọa sẽ tung dữ liệu bị đánh cắp lên mạng trừ khi được trả tiền. Trong cuộc tấn công này, điều đó dường như đã không xảy ra.
Làm thế nào họ đã làm điều đó
Các nhà nghiên cứu Hà Lan cho biết họ đã cảnh báo Kaseya có trụ sở tại Miami về vụ vi phạm và cho biết bọn tội phạm đã sử dụng "zero day", thuật ngữ trong ngành để chỉ một lỗ hổng bảo mật chưa được biết trước đó trong phần mềm. Voccola sẽ không xác nhận điều đó hoặc cung cấp chi tiết về vi phạm - ngoại trừ việc nói rằng đó không phải là lừa đảo.
Ông nói: “Mức độ tinh vi ở đây thật phi thường.
Khi công ty an ninh mạng Mandiant kết thúc cuộc điều tra, Voccola cho biết anh tự tin rằng nó sẽ cho thấy rằng bọn tội phạm không chỉ vi phạm mã Kaseya khi đột nhập vào mạng của anh mà còn khai thác các lỗ hổng trong phần mềm của bên thứ ba.
Đây không phải là cuộc tấn công ransomware đầu tiên tấn công các nhà cung cấp dịch vụ được quản lý. Vào năm 2019, bọn tội phạm đã tấn công mạng lưới của 22 thành phố trực thuộc Texas thông qua một mạng lưới. Cùng năm đó, 400 cơ sở thực hành nha khoa của Hoa Kỳ đã bị tê liệt trong một cuộc tấn công riêng biệt.
Một trong những nhà nghiên cứu lỗ hổng bảo mật người Hà Lan, Victor Gevers, cho biết nhóm của ông đang lo lắng về các sản phẩm như VSA của Kaseya vì toàn quyền kiểm soát các tài nguyên máy tính rộng lớn mà họ có thể cung cấp. "Ngày càng nhiều sản phẩm được sử dụng để giữ cho mạng an toàn và bảo mật đang bộc lộ những điểm yếu về cấu trúc", ông viết trên blog hôm Chủ nhật.Công ty an ninh mạng ESET xác định nạn nhân ở ít nhất 17 quốc gia, bao gồm Vương quốc Anh, Nam Phi, Canada, Argentina, Mexico, Indonesia, New Zealand và Kenya.
Kaseya cho biết cuộc tấn công chỉ ảnh hưởng đến các khách hàng "tại chỗ", các tổ chức điều hành trung tâm dữ liệu của riêng họ, trái ngược với các dịch vụ dựa trên đám mây chạy phần mềm cho khách hàng. Tuy nhiên, nó cũng đóng các máy chủ đó để phòng ngừa.
Kaseya, đã kêu gọi khách hàng vào thứ Sáu đóng cửa máy chủ VSA của họ ngay lập tức, hôm Chủ nhật cho biết họ hy vọng sẽ có bản vá trong vài ngày tới.
Hoạt động kể từ tháng 4 năm 2019, REvil cung cấp ransomware-as-a-service, có nghĩa là nó phát triển phần mềm làm tê liệt mạng và cho thuê nó cho những người được gọi là chi nhánh lây nhiễm mục tiêu và kiếm được phần lớn tiền chuộc. Các quan chức Mỹ cho biết các băng đảng ransomware mạnh nhất có trụ sở tại Nga và các quốc gia đồng minh, hoạt động với sự khoan nhượng của Điện Kremlin và đôi khi thông đồng với các dịch vụ an ninh của Nga.
Chuyên gia an ninh mạng Dmitri Alperovitch, thuộc tổ chức nghiên cứu Silverado Policy Accelerator, nói rằng mặc dù ông không tin rằng cuộc tấn công Kaseya là do Điện Kremlin chỉ đạo, nhưng điều đó cho thấy ông Putin "vẫn chưa có động thái gì" về việc đóng cửa tội phạm mạng.