Lỗ hổng Windows PetitPotam nhận được bản vá không chính thức

Tấn công mã độc đồng loạt nhắm vào hàng trăm công ty IT Mỹ

Các quan chức mạng Mỹ đang theo dõi một cuộc tấn công ransomware mới ở quy mô lớn, của cùng một nhóm từng tấn công nhà cung cấp thực phẩm JBS Foods vào mùa xuân vừa qua.

Cuộc tấn công mã độc mới nhắm vào hàng loạt công ty quản lý IT lớn ở Mỹ

Nhưng điểm khác biệt ở lần tấn công này là phần mềm độc hại REvil đã tấn công một loạt công ty quản lý công nghệ thông tin (IT) ở Mỹ và xâm phạm hàng trăm khách hàng doanh nghiệp của họ. Theo các chuyên gia an ninh mạng, những băng đảng tội phạm mạng này - được cho là đang hoạt động ở Đông Âu hoặc Nga - đã nhắm mục tiêu vào một nhà cung cấp phần mềm quan trọng tên là Kaseya, hiện phần mềm của họ được các công ty quản lý IT sử dụng rộng rãi.

Hôm qua Tổng thống Joe Biden nói rằng, chính phủ Mỹ không chắc chắn ai đứng sau vụ tấn công, nhưng ông đã chỉ đạo các cơ quan liên bang hỗ trợ phản ứng. Ông Biden cho biết, "thực tế là tôi đã chỉ đạo cộng đồng tình báo cung cấp cho tôi chi tiết tổng quan về những gì đã xảy ra và tôi sẽ có thông tin rõ hơn vào ngày mai. Nếu kết quả đó là Nga thì tôi sẽ đáp trả như những gì tôi đã từng nói với ông Putin". Cách nay một tháng, ông Biden từng có cuộc gặp với nhà lãnh đạo của Nga. "Chúng tôi không chắc chắn. Dù các kết quả điều tra ban đầu có thể không phải do chính phủ Nga đứng sau, nhưng vẫn chưa có gì chắc chắn".

Kyle Hanslovan, CEO của công ty an ninh mạng Huntress Labs cho biết, cuộc tấn công ransomware (mã độc tống tiền) mới nhất này đã đánh bại ít nhất một chục công ty hỗ trợ IT dựa vào công cụ quản lý từ xa của Kaseya có tên là VSA. Trong đó có công ty bị những kẻ tấn công yêu cầu một khoản tiền chuộc lên tới 5 triệu USD.

Ảnh hưởng sâu rộng tới hàng trăm công ty

Cuộc tấn công mã độc này ảnh hưởng tới hàng trăm khách hàng sử dụng dịch vụ quản lý IT

Theo CNN, vụ việc không chỉ ảnh hưởng đến các công ty quản lý IT, mà cả các khách hàng doanh nghiệp đã thuê các công ty quản lý IT. Hanslovan ước tính có tới 1.000 doanh nghiệp vừa và nhỏ có thể bị ảnh hưởng trong vụ tấn công này, dù "thông tin về cuộc tấn công mới được tiết lộ và chúng ta vẫn chưa biết rõ quy mô".

Trong những tháng gần đây, tội phạm mạng ngày càng nhắm vào các tổ chức đóng vai trò quan trọng trên khắp nền kinh tế Mỹ. Trước đó, đã có một cuộc tấn công nhắm vào đường ống dẫn dầu dọc bờ biển phía Đông nước Mỹ, khến việc mua bán nhiên liệu rơi vào khủng hoảng và trì trệ. Trong khi cuộc tấn công mạng của JBS đã dẫn đến việc đóng cửa tạm thời tất cả chín nhà máy chế biến thịt bò của Mỹ.

Trong tháng 6 vừa qua, một loạt cuộc tấn công nhắm vào McDonald's, Electronic Arts, Volkswagen và Audi cũng khiến các công ty này phải siết chặt việc quản lý thông tin khách hàng và mã nguồn. Do vậy, cuộc tấn công mới nhất đã khiến các chuyên gia an ninh mạng cảnh giác và lập tức cảnh báo: "Nếu bạn sử dụng Kaseya VSA, hãy tắt nó ngay lập tức, cho đến khi được yêu cầu kích hoạt lại" . Christopher Krebs, cựu giám đốc Cơ quan An ninh Mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa Mỹ (CISA) đã đăng tải lời cảnh báo này trên Twitter. Trong khi đó, CISA cho biết họ đang bắt tay vào tìm hiểu để giải quyết vụ việc.

Trong một bài đăng trên blog, Kaseya cho biết họ đã đóng cửa các máy chủ đám mây của mình khi điều tra sự cố liên quan đến phần mềm VSA. Một phân tích về phần mềm độc hại của công ty an ninh mạng Emsisoft cho thấy, cuộc tấn công do REvil phát động, đây cũng là nhóm chuyên tấn công ransomware mà các quan chức Mỹ cho rằng đã từng tấn công JBS Foods vào hồi đầu năm.

Hanslovan cho biết, mã độc tống tiền dường như đã được bí mật nhúng vào Kaseya VSA, qua đó gián tiếp phát tán phần mềm độc hại vào các khách hàng vì VSA được các công ty quản lý IT sử dụng để phân phối các bản cập nhật phần mềm cho khách hàng của họ. Hiện vẫn chưa rõ vì sao phần mềm của Kaseya bị xâm phạm.

Cuộc tấn công theo kiểu chuỗi cung ứng này tương tự như chiến thuật được tin tặc Nga sử dụng trong vụ tấn công SolarWinds gần đây, mặc dù trong trường hợp này, phần mềm độc hại đã được sử dụng để chiếm đoạt hệ thống mạng của nạn nhân thay vì theo dõi chúng.