Vụ tấn công ransomware “khủng”: Hơn 1000 công ty bị ảnh hưởng

Vụ tấn công nhằm vào một công ty cung cấp dịch vụ từ xa cho các nhà cung cấp CNTT, vì vậy đã ảnh hưởng đến hàng ngành công ty trên thế giới.

Công ty CNTT quốc tế Kaseya vừa bị tấn công mã độc ransomware. Điều đáng nói là vụ tấn công không chỉ ảnh hưởng đến một mình Kaseya, mà đã lây lụy tới hàng trăm doanh nghiệp quy mô nhỏ hơn sử dụng sản phẩm của công ty.

Vào thứ Sáu (2/7), Kaseya tiết lộ họ là nạn nhân của một "cuộc tấn công tiềm tàng", ngụ ý rằng bằng cách nào đó tin tặc đang nhắm mục tiêu vào người dùng sản phẩm VSA của họ. Thông báo của công ty khuyên khách hàng nên tắt VSA "NGAY LẬP TỨC".

Mặc dù công ty tuyên bố cuộc tấn công chỉ ảnh hưởng "một số lượng khách hàng nhỏ", tuy nhiên vị trí của Kaseya trong hệ sinh thái CNTT có nghĩa là tác động của cuộc tấn công này có thể khá lớn - có khả năng trở thành một trong những cuộc tấn công ransomware lớn nhất lịch sử.

Kaseya bán sản phẩm của mình cho các công ty là nhà cung cấp dịch vụ quản lý (MSP) - nghĩa là các công ty này cung cấp dịch vụ CNTT từ xa cho hàng trăm doanh nghiệp quy mô nhỏ hơn không đủ nguồn lực để tự thực hiện các quy trình. Các MSP sử dụng nền tảng đám mây VSA của Kaseya để giúp quản lý và gửi các bản cập nhật phần mềm cho khách hàng, cũng như để quản lý các vấn đề khác của người dùng.

Tuy nhiên, việc phần mềm VSA được sử dụng rộng rãi chính là mấu chốt đã cho phép tin tặc khai thác nó và gây lây nhiễm cho hàng loạt công ty. Băng đảng hacker gây ra vụ tấn công khổng lồ này đang lạm dụng sản phẩm của Kaseya bằng cách "sử dụng bản cập nhật độc hại" để triển khai đưa phần mềm độc hại của nó cho "các công ty trên toàn thế giới". Mặc dù không rõ cơ chế chính xác của cuộc tấn công hoặc cách thức và thời điểm xảy ra, các chuyên gia bảo mật báo cáo rằng phần mềm tống tiền không chỉ ảnh hưởng đến các MSP sử dụng VSA mà còn ảnh hưởng đến khách hàng của họ. Nói cách khác, ransomware dường như đã lây nhiễm cho hàng trăm doanh nghiệp quy mô nhỏ hơn, những doanh nghiệp dựa vào các MSP để được hỗ trợ CNTT.

Chỉ riêng 3 khách hàng của công ty bảo mật Huntress, là các MSP sử dụng phần mềm VSA, bị ảnh hưởng bởi cuộc tấn công và kết quả đã có tới 200 doanh nghiệp nhỏ hơn bị tấn công bằng mã hóa.

John Hammond, một nhà nghiên cứu bảo mật cấp cao tại Huntress, cho biết dựa trên mọi thứ mà họ đang thấy, hãng bảo mật thực sự tin rằng đây là "REvil / Sodinikibi".

REvil là một băng nhóm tội phạm mạng nổi tiếng sử dụng ransomware để truy lùng các mục tiêu cao cấp, bao gồm cả Apple và Acer. Đây cũng được cho là băng nhóm đã tấn công nhà cung cấp thịt JBS, tống tiền thành công nhà cung cấp thịt bò lớn với giá 11 triệu USD vừa qua.

Cơ quan giám sát an ninh mạng liên bang của Mỹ, Cybersecurity and Infrastructure Security Agency (CISA), thông báo họ đang "điều tra và giải quyết cuộc tấn công ransomware chuỗi cung ứng gần đây chống lại Kaseya VSA và nhiều nhà cung cấp dịch vụ MSP sử dụng phần mềm VSA".

"CISA khuyến khích các tổ chức xem xét lời khuyên của Kaseya và ngay lập tức làm theo hướng dẫn của họ để tắt các máy chủ VSA", cơ quan này cho biết.

Theo cập nhật mới nhất, đến thời điểm hiện tại, Kaseya đã thừa nhận không chỉ một hoặc hai khách hàng bị ảnh hưởng - mà đã là 40 khách hàng. Và tất nhiên, hình dung mỗi khách hàng trong số 40 khách hàng này có bao nhiêu khách hàng nữa, thì số lượng công ty bị ảnh hưởng có thể lên đến hàng ngàn.

"Chúng tôi tin rằng chúng tôi đã xác định được nguồn gốc của lỗ hổng bảo mật và đang chuẩn bị một bản vá để giảm thiểu thiệt hại cho các khách hàng", Giám đốc điều hành của Kaseya, Fred Voccola nói. Voccola cũng nói rằng FBI hiện đang điều tra vụ việc.

Cuộc tấn công đã làm ảnh hưởng đến một số doanh nghiệp trên quy mô lớn. Tại Thụy Điển, một chuỗi cửa hàng tạp hóa có tên Coop dường như đã phải đóng cửa 500 cửa hàng sau cuộc tấn công ransomware này.

Hoàng Lan;(theo Gizmodo)