FACTBOX – Ai đứng sau vụ hack MOVEit quy mô?

Nhóm ransomware cl0p đang tuyên bố một nhóm nạn nhân mới từ vụ hack giao thức truyền tệp MOVEit, nhận công lao vào thứ Ba vì đã đánh cắp dữ liệu từ Đại học California, Los Angeles, Siemens Energy, Abbvie Inc và Schneider Electric, cùng những tổ chức khác.

Tổng số nạn nhân gần đây từ các đường dây tống tiền trực tuyến đã lên tới 121 tổ chức, theo Brett Callow, người có công ty an ninh mạng Emsisoft giúp các công ty đối phó với các nỗ lực phá hoại kỹ thuật số. Ông nói rằng ít nhất 15 triệu người đã bị ảnh hưởng. Đây là những gì được biết về cl0p và cơn thịnh nộ gần đây.

Tin tặc là ai? Danh tính và vị trí của Cl0p không được công khai. Nhưng các nhà nghiên cứu bảo mật cho biết nhóm này có liên quan đến tiếng Nga hoặc nói tiếng Nga và tên của nó có thể là một cách chơi chữ trong tiếng Nga có nghĩa là “lỗi”. Vào năm 2021, chính quyền Ukraine thông báo đã bắt giữ sáu người có liên quan đến nhóm, nhưng không rõ họ có phải là thành viên cốt lõi của nhóm hay không, nhóm này vẫn tiếp tục tấn công các nạn nhân.

Cl0p là một nhóm ransomware dưới dạng dịch vụ, nghĩa là nhóm này cho tội phạm mạng khác thuê phần mềm và cơ sở hạ tầng của mình để đổi lấy một phần doanh thu. Nhóm này đã giúp đi tiên phong trong việc thực hiện hành vi tống tiền kép, trong đó tội phạm mạng bắt giữ các tệp làm con tin bằng cách mã hóa chúng – sau đó đe dọa tiết lộ chúng trực tuyến trừ khi thanh toán được thực hiện. Công ty an ninh mạng Nhật Bản TrendMicro đã mô tả cl0p là “người tạo ra xu hướng cho các chiến thuật luôn thay đổi của nó.”

Các tin tặc – những người đôi khi đánh vần tên của họ là “CLOP” – đã không trả lời email ngay lập tức để tìm kiếm bình luận. Làm thế nào mà họ thu thập được rất nhiều nạn nhân?

Cl0p đã có thể lợi dụng một lỗ hổng chưa được phát hiện trước đây trong chương trình truyền tệp phổ biến – MOVEit Transfer – để đánh cắp dữ liệu từ một số lượng lớn tổ chức, một số tổ chức xử lý dữ liệu thuộc nhiều tổ chức hơn. Việc hack các giao thức truyền tệp ngày càng trở nên phổ biến khi tin tặc chuyển từ mã hóa dữ liệu sang đánh cắp tệp đơn giản và đe dọa sẽ phát hành chúng trừ khi trả tiền chuộc.

Nếu nạn nhân không trả tiền, cl0p sẽ đăng danh tính của họ lên trang darknet của họ – một chiến thuật bêu tên đã được thực hiện trong vài tuần qua. Ai đã bị ảnh hưởng?

Các nạn nhân được tuyên bố công khai bao gồm công ty giải trí Sony, các công ty kế toán lớn EY và PWC, công ty năng lượng khổng lồ Shell PLC và quỹ hưu trí hàng đầu của Hoa Kỳ Calpers. Các cơ quan chính phủ – bao gồm Bộ Năng lượng Hoa Kỳ và cơ quan quản lý viễn thông của Vương quốc Anh – cũng bị ảnh hưởng.

Nhiều tổ chức nhấn mạnh rằng mục tiêu của vụ hack là dịch vụ truyền tệp chứ không phải hệ thống của họ. Nhưng vì dữ liệu của họ vẫn bị đánh cắp nên người dân, nhân viên, khách hàng và đối tác kinh doanh có thông tin bị xâm phạm sẽ không thoải mái chút nào. Kết quả của việc tiết lộ công khai rằng Brett Callow của Emsisoft đã đưa ra con số 15 triệu cá nhân bị ảnh hưởng. Nhưng ông cho biết con số thực tế “có thể cao hơn nhiều – và có thể cao hơn rất, rất nhiều.”

Điều gì đang được thực hiện để ngăn chặn chúng? Bản chất phổ biến và thường gián tiếp của các thỏa hiệp tạo ra công việc cho các chuyên gia thực thi pháp luật và an ninh mạng.

“Mọi người đều bị choáng ngợp”, Charles Carmakal, giám đốc công nghệ của Mandiant, công ty gần đây đã được mua lại bởi Alphabet Inc. Trong một tin nhắn gửi tới LinkedIn, anh ấy nói rằng ngay cả tin tặc cũng đang phải vật lộn với khối lượng công việc. “Vài tuần qua thật căng thẳng,” anh nói.

FBI cho biết họ “đã biết và đang điều tra việc khai thác lỗ hổng MOVEit gần đây bởi các phần tử ransomware độc ​​hại.” Đầu tháng này, chính phủ Hoa Kỳ đã công bố phần thưởng trị giá 10 triệu đô la cho thông tin liên kết cl0p – hoặc bất kỳ nhóm hack nào khác nhắm vào cơ sở hạ tầng quan trọng của Mỹ – với các chính phủ nước ngoài.