Indigo Books & Music Inc. đã tiết lộ rằng sự cố ngừng hoạt động hệ thống mà họ đang xử lý trong gần một tháng là do phần mềm tống tiền gây ra.
Nhà bán lẻ đã mất quyền truy cập vào trang web và khả năng thanh toán, cho biết cuộc tấn công này đã triển khai LockBit, một phần mềm độc hại ngày càng gia tăng trong các vi phạm an ninh kỹ thuật số.
LockBit là gì?
LockBit vừa là một nhóm tấn công mạng vừa là một phần mềm độc hại được sử dụng để thực hiện các cuộc tấn công tội phạm.
Sumit Bhatia, giám đốc đổi mới và chính sách tại Rogers Cybersecure Catalyst tại Đại học Toronto Metropolitan, cho biết LockBit, một nhóm, hoạt động như một doanh nghiệp cung cấp dịch vụ ransomware, nơi các nhóm phát triển phần mềm độc hại được cấp phép cho các mạng liên kết, sử dụng nó để thực hiện các cuộc tấn công. Chất xúc tác tại Đại học Toronto Metropolitan.
Trang web của công ty phần mềm bảo mật BlackBerry cho biết phần mềm độc hại LockBit xâm nhập vào mạng của các mục tiêu thông qua các lỗ hổng chưa được vá, truy cập nội bộ và khai thác zero-day -- các lỗ hổng trong phần mềm được phát hiện trước khi công ty tạo ra nó nhận ra vấn đề, cho họ "không ngày" để khắc phục.
LockBit sau đó có thể thiết lập quyền kiểm soát hệ thống của nạn nhân, thu thập thông tin mạng và đánh cắp hoặc mã hóa dữ liệu, trang này cho biết.
BlackBerry cho biết: “Các cuộc tấn công LockBit thường sử dụng chiến thuật tống tiền kép để khuyến khích nạn nhân trả tiền, trước tiên, để lấy lại quyền truy cập vào các tệp được mã hóa của họ và sau đó trả tiền một lần nữa để ngăn dữ liệu bị đánh cắp bị đăng công khai”.
LockBit phát triển như thế nào?
LockBit đã yêu cầu ít nhất 100 triệu đô la tiền chuộc và đã kiếm được hàng chục triệu đô la tiền thanh toán từ các nạn nhân, theo một tài liệu tòa án được nộp tại Quận New Jersey trong vụ kiện năm 2022 chống lại một nghi phạm thành viên LockBit.
LockBit xuất hiện vào đầu tháng 1 năm 2020 và kể từ đó, các thành viên của nhóm này đã thực hiện ít nhất 1.000 cuộc tấn công LockBit chống lại các nạn nhân ở Hoa Kỳ và trên toàn thế giới, tài liệu cáo buộc.
Ai đứng sau LockBit?
Đó là một câu hỏi khó, Bhatia nói, bởi vì "những người này hoạt động trong bóng tối."
"Nhưng những gì chúng tôi hiểu phần lớn là có mối liên hệ sâu sắc với Nga và với các thành viên cũ của cộng đồng Nga, những người có thể không nhất thiết phải sống ở nước ngoài nữa, nhưng có thể hoạt động từ một loạt địa điểm khác nhau trên khắp châu Âu và tạo thành một một phần của mạng lớn này mà LockBit đã khởi chạy," ông nói thêm.
Điều đó có nghĩa là các thành viên LockBit có thể ở bất cứ đâu trên thế giới. Ví dụ, vào tháng 11, Bộ Tư pháp Hoa Kỳ đã buộc tội công dân mang hai quốc tịch Nga và Canada là Mikhail Vasiliev liên quan đến việc anh ta bị cáo buộc tham gia vào chiến dịch ransomware LockBit.
Cuộc tấn công mạng của Indigo được thực hiện bởi nhóm LockBit hay ai đó sử dụng phần mềm LockBit?
Indigo cho biết mạng của họ "đã bị bọn tội phạm truy cập, những kẻ đã triển khai phần mềm ransomware có tên LockBit", nhưng nói thêm rằng họ không biết cụ thể ai đứng sau vụ tấn công.
LockBit có liên quan đến những nơi nào khác?
Bệnh viện nhi ở Toronto đã trải qua một cuộc tấn công ransomware vào tháng 12 đã ảnh hưởng đến hoạt động. LockBit tuyên bố một trong những đối tác của họ đã thực hiện vụ tấn công, nhóm này cuối cùng đã xin lỗi vì cho rằng các cuộc tấn công vào bệnh viện vi phạm các quy tắc của họ.
Các nạn nhân khác của LockBit bao gồm Royal Mail của Vương quốc Anh, tập đoàn công nghệ Thales của Pháp và Cảng vụ Lisbon ở Bồ Đào Nha.
Các công ty có thể làm gì để tránh trở thành nạn nhân của cuộc tấn công LockBit?
Bhatia cho biết LockBit chủ yếu dựa vào các cuộc tấn công lừa đảo.
Lừa đảo thường bắt đầu bằng các email hoặc tin nhắn văn bản lừa đảo có vẻ như chúng được gửi bởi một công ty đáng tin cậy. Chúng thường lừa mọi người nhập thông tin bí mật như mật khẩu vào một trang web lừa đảo hoặc tải phần mềm độc hại xuống máy tính có quyền truy cập vào mạng của công ty.
Bhatia cho biết: “Phần mềm tống tiền, đặc biệt là thông qua lừa đảo, thường bắt nguồn từ yếu tố con người.”
Điều đó có nghĩa là cách tốt nhất để ngăn chặn nó là đảm bảo rằng nhân viên thận trọng và hiểu cách xem xét các liên kết và tin nhắn họ nhận được để tránh lừa đảo.
Bhatia nói: “Thật sự hiểu làm thế nào để cảnh giác với điều gì đó được coi là đáng ngờ.”
Có nên trả tiền cho những kẻ tấn công đã truy cập hệ thống hoặc giải mã dữ liệu và tệp nếu bị tấn công bằng ransomware không?
"Từ góc độ thực thi pháp luật, các tổ chức được khuyến khích không trả tiền và đó là ... bởi vì bạn không thực sự được đảm bảo, ngay cả sau khi trả tiền rằng bạn sẽ không bị ảnh hưởng xấu," Bhatia nói.
"Bạn không thể thực sự tin tưởng vào những cam kết được đưa ra bởi những kẻ tấn công này."
Các nhà chức trách cũng không khuyến khích trả tiền vì điều đó khuyến khích bọn tội phạm tiếp tục tấn công và tạo ra một chu kỳ, ông nói.
Tuy nhiên, ông lưu ý rằng "không phải lúc nào các doanh nghiệp nhỏ cũng có quyền không trả tiền hoặc những doanh nghiệp đang làm việc trong các lĩnh vực quan trọng, nơi việc truy cập vào dữ liệu đó hoặc truy cập vào các hệ thống đó là rất quan trọng và có thể gây ra tác động bất lợi nghiêm trọng."
Indigo đã từ chối trả tiền cho những kẻ tấn công, những kẻ mà công ty cho biết đã lên kế hoạch đăng lên dark web dữ liệu nhân viên mà họ đã đánh cắp.
"Các ủy viên quyền riêng tư không tin rằng trả tiền chuộc sẽ bảo vệ những người có dữ liệu bị đánh cắp, vì không có cách nào đảm bảo việc xóa/bảo vệ dữ liệu sau khi trả tiền chuộc," Indigo cho biết trên trang web của mình.
"Ngoài ra, chúng tôi không thể đảm bảo rằng bất kỳ khoản tiền chuộc nào sẽ không rơi vào tay những kẻ khủng bố hoặc những kẻ khác trong danh sách trừng phạt."
© 2023 The Canadian Press
© Bản tiếng Việt của The Canada Life
