“BBC, BA, Nova Scotia là những nạn nhân đầu tiên của vụ hack toàn cầu”

Các quan chức an ninh mạng ở Hoa Kỳ và Anh đã cảnh báo rằng các băng nhóm tống tiền trên mạng của Nga đã hack một chương trình chuyển tệp phổ biến với các công ty có thể gây ra những ảnh hưởng toàn cầu sâu rộng. Các nạn nhân ban đầu của hành vi trộm cắp dữ liệu bao gồm BBC, British Airways và chính phủ Nova Scotia.

Brett Callow, nhà phân tích tại công ty an ninh mạng Emsisoft cho biết: “Đây có khả năng là một trong những vụ vi phạm nghiêm trọng nhất trong những năm gần đây. “Chúng tôi sẽ hiểu rõ hơn tầm quan trọng của nó khi có thêm thông tin chi tiết về số lượng và loại tổ chức bị ảnh hưởng.”

Tập đoàn ransomware Cl0p đã thông báo trên trang web tối của mình vào cuối ngày thứ Ba rằng các nạn nhân của nó – được đề xuất lên tới hàng trăm – có thời hạn đến ngày 14 tháng 6 để liên lạc để thương lượng một khoản tiền chuộc hoặc có nguy cơ bị đánh cắp dữ liệu nhạy cảm trực tuyến.

Chương trình bị khai thác, MOVEit, được các doanh nghiệp sử dụng rộng rãi để chia sẻ tệp một cách an toàn. Công ty mẹ của nhà sản xuất Hoa Kỳ, Progress Software, đã thông báo cho khách hàng về vi phạm vào ngày 31 tháng 5 và đưa ra một bản vá. Nhưng các nhà nghiên cứu an ninh mạng cho biết hàng chục, nếu không muốn nói là hàng trăm, các công ty có thể đã âm thầm có dữ liệu nhạy cảm.

Caitlin Condon, giám đốc cấp cao về nghiên cứu bảo mật của công ty an ninh mạng Rapid7, cho biết: “Chắc chắn có những tổ chức vẫn không biết rằng họ bị ảnh hưởng,” đồng thời lưu ý rằng MOVEit đặc biệt phổ biến ở Bắc Mỹ.

“Chúng tôi đã chứng kiến ​​nhiều tổ chức bị ảnh hưởng bởi các cuộc tấn công này trong lĩnh vực chăm sóc sức khỏe, dịch vụ tài chính, công nghệ, sản xuất, bảo hiểm, chính phủ và hơn thế nữa,” Condon cho biết qua email, đồng thời cho biết thêm rằng nhiều doanh nghiệp có thể sẽ tiết lộ hành vi trộm cắp dữ liệu, đặc biệt là “như các yêu cầu báo cáo theo quy định có hiệu lực”.

Khi được yêu cầu xác nhận danh tính của một số nạn nhân được báo cáo, người phát ngôn của Cl0p đã trả lời câu hỏi qua email từ Associated Press cho biết: “Chúng tôi chưa kiểm tra hồ sơ của công ty, như bạn có thể thấy trên trang web của chúng tôi; chúng tôi đã cho các công ty cơ hội quyết định quyền riêng tư của họ trước khi chúng tôi hành động.”

Zellis, nhà cung cấp dịch vụ tuyển dụng hàng đầu của Vương quốc Anh phục vụ British Airways, BBC và hàng trăm hãng khác, nằm trong số những người dùng bị ảnh hưởng. Zellis cho biết hôm thứ Hai rằng “một số lượng nhỏ” khách hàng của họ đã bị ảnh hưởng bởi điều mà các chuyên gia an ninh mạng gọi là vi phạm chuỗi cung ứng vì sự thỏa hiệp của một nhà cung cấp phần mềm duy nhất có thể có tác động sâu sắc như vậy.

“Chúng tôi đã thông báo cho các đồng nghiệp có thông tin cá nhân bị xâm phạm để cung cấp hỗ trợ và lời khuyên”, British Airways cho biết trong một tuyên bố.

BBC, với khoảng 22.000 nhân viên trên toàn thế giới, cho biết họ đang làm việc với Zellis để xác định mức độ vi phạm. Đài truyền hình cho biết trong một email được gửi vào thứ Hai tới tất cả nhân viên và dịch giả tự do của Vương quốc Anh rằng dữ liệu bao gồm ngày sinh, số bảo hiểm quốc gia và địa chỉ nhà đã bị lộ. Nhưng nó cho biết chi tiết tài khoản ngân hàng dường như không bị ảnh hưởng và “không có bằng chứng nào cho thấy dữ liệu đã bị khai thác”.

Chuỗi nhà thuốc Boots của Anh, nơi có hơn 50.000 nhân viên, cũng cho biết họ đã thông báo cho nhân viên về vụ hack.

Chính phủ Nova Scotia đã xác nhận hôm Chủ nhật rằng họ nằm trong số các nạn nhân, cho biết dữ liệu của một số cư dân đã bị lộ. Cơ quan y tế cấp tỉnh của Canada sử dụng MOVEit để chia sẻ thông tin nhạy cảm và bí mật.

Đại học Rochester đã đưa ra một tuyên bố vào thứ Sáu tuần trước cho thấy họ nằm trong số các nạn nhân nhưng một phát ngôn viên, Sara Miller, sẽ không xác nhận rằng họ đã sử dụng MOVEit hoặc thảo luận về dữ liệu bị đánh cắp.

‘Dữ liệu rất nhạy cảm’

Jared Smith, nhà phân tích mối đe dọa của công ty an ninh mạng SecurityScorecard cho biết: “Điều khó hiểu về MOVEit là nó hầu như chỉ được các tổ chức doanh nghiệp sử dụng để chia sẻ dữ liệu nhạy cảm cao với nhau”. Về cơ bản, các công ty không tin tưởng Dropbox hoặc Google Drive đủ an toàn cho hoạt động kinh doanh của họ.

Alex Heid, giám đốc nghiên cứu của Security Scorecard, cho biết điều này đặc biệt có nghĩa là loại dữ liệu nhạy cảm “đổ thêm dầu vào lửa cho hệ sinh thái trộm cắp danh tính hiện có”.

Công ty đã phát hiện 2.500 máy chủ MOVEit dễ bị tổn thương trong 790 tổ chức, bao gồm 200 cơ quan chính phủ. Smith cho biết không thể chia nhỏ cơ quan theo quốc gia. Không biết có bao nhiêu máy chủ MOVEit dễ bị tấn công đã bị tấn công.

Smith cho biết tin tặc đã tích cực quét các mục tiêu, thâm nhập vào chúng và đánh cắp dữ liệu ít nhất là vào ngày 29 tháng 3.

Cl0p là một trong những tổ chức tội phạm mạng phát triển mạnh nhất trên thế giới và đây không phải là lần đầu tiên tổ chức này vi phạm các chương trình truyền tệp để có quyền truy cập vào dữ liệu mà sau đó có thể được sử dụng để tống tiền các công ty. Các ví dụ khác bao gồm máy chủ GoAnywhere vào đầu năm 2023 và thiết bị Ứng dụng truyền tệp Accelion vào năm 2020 và 2021.

Trong một cố vấn chung được đưa ra vào thứ Tư, Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ và FBI cho biết Cl0p được ước tính đã “làm gián đoạn hơn 3.000 tổ chức có trụ sở tại Hoa Kỳ và 8.000 tổ chức toàn cầu”.

“Vì sự nhanh chóng và tiện lợi [with which it] đã khai thác những lỗ hổng này và dựa trên các chiến dịch trước đây của họ, FBI và CISA dự kiến ​​sẽ thấy việc khai thác rộng rãi các dịch vụ phần mềm chưa được vá lỗi trong cả mạng riêng và mạng công cộng.

Cl0p khẳng định họ không tống tiền các chính phủ, thành phố hay cơ quan cảnh sát, nhưng các chuyên gia an ninh mạng cho rằng đây là một chiến thuật có khả năng cố gắng tránh xung đột trực tiếp với cơ quan thực thi pháp luật và không thể tin tưởng rằng các nhóm có động cơ tài chính sẽ giữ lời hứa xóa dữ liệu bị đánh cắp khỏi các mục tiêu đó . .