Mục lục
Khai thác lỗ hổng phần mềm MOVEit Transfer làm lộ dữ liệu nhạy cảm của các công ty Vương quốc Anh và gây nguy hiểm cho an ninh của nhân viên
Một số công ty nổi tiếng của Vương quốc Anh, bao gồm BBC, British Airways, Boots và Aer Lingus, đã trở thành nạn nhân của một sự cố mạng nghiêm trọng. Vi phạm đã làm lộ thông tin cá nhân của nhân viên, bao gồm dữ liệu nhạy cảm như ngân hàng và chi tiết liên hệ, cho tin tặc độc hại. Vi phạm an ninh mạng này được quy cho một nhóm ransomware có tên là Clop, nhắm mục tiêu cụ thể vào các lỗ hổng phần mềm chuyển tệp MOVEit. Vụ việc đã làm dấy lên mối lo ngại về tính bảo mật của dữ liệu công ty và tác động tiềm ẩn đối với các nhân viên bị ảnh hưởng.
Trong một tuyên bố táo bạo được gửi qua email tới Reuters, các tin tặc tự hào nhận trách nhiệm về vụ tấn công, đưa ra một cảnh báo lạnh lùng rằng những người dám bất chấp yêu cầu tiền chuộc của chúng sẽ bị phơi bày trước công chúng trên trang web của nhóm chúng. Các cuộc điều tra trước đây của Microsoft đã chỉ tay vào một băng nhóm ransomware nói tiếng Nga, ám chỉ sự liên quan của chúng trong vụ việc. Tiết lộ gây sốc được tiết lộ vào tuần trước khi các chuyên gia an ninh mạng tiết lộ cách khai thác lỗ hổng zero-day—một lỗ hổng nguy hiểm—trong hệ thống truyền tệp được sử dụng rộng rãi có tên là MOVEit, do Progress Software phát triển. Lỗ hổng này là cửa ngõ để bọn tội phạm mạng xâm nhập và trích xuất thông tin nhạy cảm từ nhiều công ty toàn cầu dựa vào MOVEit Transfer.
Vô số tổ chức trở thành nạn nhân của tác động lan rộng
Tiết lộ gây sốc được tiết lộ vào thứ Hai khi nhà cung cấp dịch vụ trả lương Zellis có trụ sở tại Vương quốc Anh xác nhận rằng tám khách hàng của họ đã trở thành nạn nhân của sự cố mạng. Mặc dù tên của các tổ chức bị ảnh hưởng không được tiết lộ, British Airways (BA) thừa nhận có liên quan đến tình huống đau khổ này. Với lực lượng lao động gồm 34.000 cá nhân ở Anh, việc hãng hàng không tiếp xúc với vi phạm là điều đáng lo ngại sâu sắc.
BBC và Boots, được biết đến với đội ngũ nhân viên đông đảo gồm 50.000 nhân viên, cũng thấy mình bị vướng vào sự hỗn loạn. Trong khi đài truyền hình bày tỏ sự nhẹ nhõm khi thông tin chi tiết về ngân hàng của nhân viên vẫn được bảo mật, thì thông tin nhận dạng công ty và số bảo hiểm quốc gia đã bị xâm phạm. Aer Lingus, một công ty con của BA, xác nhận rằng vụ việc đã ảnh hưởng đến cả nhân viên hiện tại và nhân viên cũ. Tuy nhiên, không có thông tin tài chính, ngân hàng hoặc số điện thoại nào bị xâm phạm trong sự kiện đáng báo động này.
Lỗ hổng zero-day trong sản phẩm MOVEit Transfer của Progress Software đã ảnh hưởng đáng kể đến nhiều công ty trên toàn cầu. Tuy nhiên, các quan chức của công ty đã nhấn mạnh rằng tất cả phần mềm do Zellis sở hữu vẫn không bị ảnh hưởng và không có sự cố hoặc thỏa hiệp nào được báo cáo liên quan đến bất kỳ khía cạnh nào khác của cơ sở hạ tầng CNTT của công ty.
Đi sâu vào nguồn gốc của cuộc tấn công: Cụm mối đe dọa với các liên kết tiềm năng của Nga
Những phát hiện gần đây từ công ty an ninh mạng Maidant đã làm sáng tỏ nguồn gốc của cuộc tấn công, xác định nó là một "cụm mối đe dọa mới được tạo ra" có tên UNC4857. Cụm này bao gồm các nhóm tội phạm mạng đã biết, chẳng hạn như FIN11 , TA505 và Clop , đã thiết lập kết nối với Nga. Tuy nhiên, động cơ đằng sau vụ tấn công, dù là do mục tiêu chính trị hay tài chính, vẫn chưa chắc chắn. Mặc dù FIN11 trước đây chỉ hoạt động với tư cách là một tổ chức tội phạm liên quan đến việc đòi tiền chuộc dữ liệu, nhưng điều này đặt ra câu hỏi liệu các mạng lưới tội phạm quen thuộc này có đứng sau vụ việc hay liệu những kẻ đánh thuê mạng có động cơ ý thức hệ có liên quan hay không.
Điều thú vị là phạm vi nạn nhân bị ảnh hưởng bởi cuộc tấn công MOVEit vượt ra ngoài các mục tiêu dự kiến. Chính phủ Nova Scotia, một mục tiêu khó có thể xảy ra đối với một diễn viên được nhà nước hậu thuẫn, cũng đã trở thành nạn nhân. Các báo cáo chỉ ra rằng cuộc tấn công có khả năng xâm phạm khoảng 2.500 máy chủ MOVEit, khuếch đại quy mô và tác động của vi phạm. Ipswitch, nhà phát triển phần mềm quản lý CNTT, vẫn chưa tiết lộ số lượng công ty sử dụng phần mềm của họ tại thời điểm xảy ra sự cố trước khi thực hiện sửa chữa.
Điều gì nằm ở phía trước cho các nạn nhân: Hệ lụy và triển vọng
Khi tình hình diễn ra, các tổ chức nạn nhân phải chuẩn bị tinh thần cho các nỗ lực tống tiền tiềm ẩn, dữ liệu bị đánh cắp bị lộ ra công chúng và khả năng bị tác nhân đe dọa công khai làm xấu hổ. Có khả năng, tội phạm mạng sẽ sớm bắt đầu liên lạc với nạn nhân của chúng, đưa ra yêu cầu tống tiền và nhắm mục tiêu một cách có hệ thống vào những người trong danh sách của chúng. Để bảo vệ khỏi bị hư hại thêm, tất cả các tổ chức, bất kể phần mềm được vá khi nào, đều nên tiến hành phân tích pháp y kỹ lưỡng về hệ thống của họ nếu giao diện web MOVEit bị lộ ra ngoài internet.
Hé lộ vi phạm an ninh mạng: BA, BBC và Boots tiết lộ chi tiết liên hệ và ngân hàng ảnh chụp màn hình
