Cách hoạt động của một trong những nhóm tin tặc ransomware lớn nhất hành tinh
Một trong những mối quan tâm lớn nhất của các nhà quản lý CNTT là ransomware - mối đe dọa mạng gây ra việc tấn công dữ liệu tổ chức với yêu cầu trả lại tiền chuộc từ tin tặc.
Ngày nay, nhiều công ty lưu trữ dữ liệu trên đám mây và điều này đã thu hút sự chú ý của tội phạm mạng ransomware quốc tế như REvil. Nhóm này sẽ có các phương pháp hoạt động theo phương án:
- Tấn công với nhiều nạn nhân
- Thiết lập số tiền chuộc
Tấn công với nhiều nạn nhân
Vào tháng 7 năm 2021, công ty Kaseya, chuyên cung cấp các giải pháp quản lý cho các nhà cung cấp dịch vụ CNTT, trở thành nạn nhân của nhóm REvil. Một lỗ hổng zero-day đã được khai thác trong Kaseya VSA, một công cụ được sử dụng để giám sát từ xa.
Lỗ hổng zero-day có đặc điểm là bị khai thác trước khi nhà phát triển đưa ra bản sửa lỗi. Vì vấn đề này liên quan đến việc cập nhật hệ thống Kaseya VSA, nên ransomware đã nhanh chóng lây lan sang một số khách hàng của công ty.
Điều này xảy ra do nhóm REvil đã chèn mã độc vào phần mềm hợp pháp được chuyển tiếp đến người dùng bằng tính năng cập nhật. Bằng cách này, nhóm tội phạm mạng đã thúc đẩy một cuộc tấn công hàng loạt nhằm vào chuỗi cung ứng.
Một yếu tố khác góp phần vào mức độ nghiêm trọng của cuộc tấn công Kaseya là cấu hình của các thư mục VSA trong Windows. Họ không cho phép các công cụ bảo mật phân tích nội dung một cách chặt chẽ. Do đó, ransomware có điều kiện lý tưởng để mã hóa các tập tin trên các máy tính bị ảnh hưởng và chấm dứt vi phạm.
Thiết lập số tiền chuộc
Một trong những khía cạnh thúc đẩy các nhóm hack ransomware, chẳng hạn như nhóm REvil thực hiện các cuộc tấn công các công ty vừa và lớn là công ty sẽ phải trả một số tiền khổng lồ để khôi phục dữ liệu.
Cũng cần lưu ý rằng nếu một cuộc tấn công mạng chiếm đoạt thông tin từ nhiều công ty cùng một lúc, thì tội phạm mạng sẽ thu được nhiều lợi nhuận hơn từ việc trả tiền chuộc. Chính vì vậy mà cuộc tấn công nhằm vào Kaseya VSA có đặc điểm là tiềm năng sinh lợi cao đối với tin tặc.
Để lý giải tại sao ransomware REvil lại thực hiện tấn công vào Kaseya VSA thì Kaseya VSA phục vụ 40.000 công ty ở 20 quốc gia.
Theo điều tra, nhóm ransomware REvil đã đòi tiền chuộc 5 triệu USD cho các nhà cung cấp dịch vụ CNTT và từ 40.000 đến 50.000 USD cho các khách hàng gián tiếp của Kaseya. Tuy nhiên, những giá trị này có thể tăng lên tùy thuộc vào số lượng phần mở rộng mã hóa được tìm thấy trên hệ thống của công ty .
Các nhà quản lý CNTT
Với những phương pháp tinh vi, các hacker đã đạt được kết quả ấn tượng với ransomware. Điều này đã gây ra sự e ngại trong thế giới doanh nghiệp. Để xác nhận xu hướng này, một nghiên cứu của Sophos đã phát hiện ra rằng các nhà lãnh đạo CNTT là nạn nhân của mối đe dọa mạng đang bị lung lay. Họ cảm thấy bị tụt hậu xa hơn trong việc áp dụng các giải pháp an toàn so với các đồng nghiệp trong nghề.
Việc hỗ trợ đủ điều kiện để đối mặt với các mối đe dọa mạng là một phần quan trọng trong việc duy trì tính bền vững của doanh nghiệp. Để điều này trở nên khả thi, doanh nghiệp cần đầu tư vào các dịch vụ của nhà cung cấp có chuyên môn.
Nếu bạn muốn giảm rủi ro ảnh hưởng bởi tội phạm mạng và tăng khả năng phục hồi dữ liệu nhanh chóng trong trường hợp xảy ra sự cố, hãy liên hệ những nhà cung cấp bảo mật dữ liệu uy tín để được tư vấn chi tiết nhất về dịch vụ hỗ trợ.
