Cảng Seattle bị tấn công bởi Rhysida Ransomware vào tháng 8 năm 2024

Trong một cuộc tấn công ransomware có chủ đích, Cảng Seattle, đơn vị quản lý cảng biển của thành phố và Sân bay quốc tế Seattle-Tacoma, đã trở thành nạn nhân của băng đảng ransomware khét tiếng Rhysida vào tháng 8. Sự cố này, làm gián đoạn các hệ thống quan trọng, đã được cơ quan xác nhận ba tuần sau vụ vi phạm ban đầu, ảnh hưởng đến nhiều hoạt động khác nhau tại sân bay, bao gồm hệ thống đặt chỗ và làm thủ tục chuyến bay.

Tác động đến hoạt động và phản ứng

Cảng Seattle tiết lộ vào ngày 24 tháng 8 rằng họ đã cô lập một số hệ thống thiết yếu để giảm thiểu thiệt hại do cuộc tấn công gây ra. Biện pháp phòng ngừa này dẫn đến gián đoạn dịch vụ, ảnh hưởng đáng kể đến dịch vụ hành khách tại Sân bay quốc tế Seattle-Tacoma. Sự chậm trễ bao gồm từ các quy trình làm thủ tục bị gián đoạn đến sự cố hệ thống ảnh hưởng đến lịch trình chuyến bay.

Ba tuần sau vụ vi phạm, Cảng chính thức xác nhận rằng Rhysida, một tổ chức tội phạm tham gia vào các cuộc tấn công ransomware , chịu trách nhiệm cho vụ tấn công. Trong một thông cáo báo chí, họ đảm bảo với công chúng rằng không có truy cập trái phép nào xảy ra kể từ cuộc tấn công ban đầu, nhấn mạnh rằng việc đi lại qua các cơ sở của họ vẫn an toàn. Phản ứng của cơ quan này bao gồm việc đưa các hệ thống ngoại tuyến, giúp ngăn chặn sự lây lan của ransomware nhưng gây ra tình trạng mất điện tạm thời trên nhiều dịch vụ, bao gồm xử lý hành lý, ki-ốt làm thủ tục và bảng hiển thị hành khách. Vụ tấn công cũng làm tê liệt trang web, Wi-Fi và các dịch vụ ứng dụng di động của Cảng như ứng dụng flySEA và hệ thống đỗ xe dành riêng.

Nỗ lực phục hồi và không tuân thủ yêu cầu tiền chuộc

Hầu hết các hệ thống bị ảnh hưởng đã được khôi phục trong vòng một tuần sau vụ tấn công, mặc dù một số dịch vụ quan trọng, như chức năng trang web và ứng dụng di động của Cảng Seattle, vẫn đang được tiến hành. Bất chấp sự gián đoạn nghiêm trọng, Cảng Seattle vẫn kiên quyết phản đối việc trả tiền chuộc theo yêu cầu của băng đảng Rhysida. Giám đốc điều hành Steve Metruck đã nói rõ rằng Cảng không có ý định nhượng bộ trước yêu cầu của bọn tội phạm mạng, tuyên bố rằng việc trả tiền chuộc sẽ đi ngược lại các giá trị của Cảng và trách nhiệm của Cảng đối với người nộp thuế.

Quyết định không trả tiền chuộc để lại khả năng dữ liệu bị đánh cắp được công bố trên trang web rò rỉ dark web của kẻ tấn công. Tuy nhiên, ban lãnh đạo Cảng đã ưu tiên các nguyên tắc an ninh mạng và quản lý đạo đức các quỹ công hơn là khuất phục trước yêu cầu của tội phạm về khóa giải mã.

Mối đe dọa ngày càng tăng của Rhysida và làn sóng tội phạm mạng toàn cầu

Rhysida là một đối thủ tương đối mới trong hệ sinh thái ransomware-as-a-service (RaaS), lần đầu tiên xuất hiện vào tháng 5 năm 2023. Mặc dù mới xuất hiện gần đây, nhóm này đã nhanh chóng trở thành tiêu điểm chú ý khi xâm nhập vào các mục tiêu nổi tiếng như Thư viện Anh và Quân đội Chile, tự định vị mình là mối đe dọa tội phạm mạng đáng kể. Tại Hoa Kỳ, băng nhóm này có liên quan đến các cuộc tấn công vào các tổ chức chăm sóc sức khỏe, theo ghi nhận của Bộ Y tế và Dịch vụ Nhân sinh (HHS). Hơn nữa, các cơ quan liên bang như CISA và FBI đã đưa ra cảnh báo về các chiến thuật hung hăng của Rhysida, nhắm vào nhiều lĩnh vực khác nhau.

Các cuộc tấn công nổi cộm gần đây bao gồm vụ vi phạm tại công ty con Insomniac Games của Sony, nơi hơn 1,6 TB dữ liệu nhạy cảm đã bị rò rỉ sau khi công ty từ chối trả khoản tiền chuộc 2 triệu đô la. Các nạn nhân khác bao gồm Thành phố Columbus, Ohio và Hệ thống Y tế Singing River, nơi đã buộc phải thông báo cho gần 900.000 cá nhân rằng dữ liệu của họ đã bị xâm phạm trong một cuộc tấn công vào tháng 8 năm 2023.

Sự cố ở Cảng Seattle là một lời nhắc nhở khác về ảnh hưởng ngày càng tăng của Rhysida và mối đe dọa ngày càng tăng của ransomware trên nhiều ngành công nghiệp khác nhau. Vì an ninh mạng vẫn là mối quan tâm hàng đầu của cả các tổ chức công và tư, các sự cố như thế này làm nổi bật tầm quan trọng của các biện pháp bảo mật mạnh mẽ và những thách thức do các băng đảng ransomware như Rhysida gây ra.