Các cuộc tấn công bằng ransomware đang tinh vi hơn khả năng phòng thủ

Trước các cuộc tấn công liên tục chống lại các chính phủ và khu vực tư nhân, Hoa Kỳ sẽ tổ chức Hội nghị thượng đỉnh chống mã độc tống tiền quốc tế bắt đầu vào ngày 7/11. Hội nghị thượng đỉnh quy tụ gần ba chục quốc gia nhằm giải quyết sự trỗi dậy của một trong những mối đe dọa an ninh mạng thách thức nhất- ransomware, bởi nó có thể làm tê liệt các bệnh viện và đóng cửa các đường ống dẫn khí đốt trọng yếu.

Nhà Trắng cho biết, các công ty như CrowdStrike Holdings Inc, Mandiant Inc và Microsoft Corp cũng sẽ tham gia hội nghị thượng đỉnh. Những công ty này từ lâu đã có tầm nhìn về phạm vi của các cuộc tấn công mạng, và một số tham gia vào việc ứng phó với các sự cố khi các công ty hoặc chính phủ bị tấn công mạng.

Song song với đó, Mỹ đang tiếp tục ra sức làm việc để cắt đứt các phương thức thanh toán bất hợp pháp giúp hình thức tấn công ransomware khả thi về mặt tài chính, cụ thể là thông qua tiền điện tử, một quan chức Nhà Trắng nói với điều kiện giấu tên. Chỉ ra sự gia tăng đột biến trong các cuộc tấn công ransomware khi Bitcoin được sử dụng rộng rãi hơn, quan chức này gọi mối đe dọa là không biên giới. 

Vào tháng 3, Tổng thống Joe Biden đã ký luật an ninh mạng sâu rộng quy định một số lĩnh vực nhất định phải báo cáo các vi phạm cho Bộ An ninh Nội địa Hoa Kỳ trong vòng 72 giờ sau khi phát hiện ra vụ việc, và 24 giờ nếu họ thực hiện thanh toán bằng ransomware. Nhiều tiểu bang ở Mỹ cũng yêu cầu các công ty báo cáo vi phạm.

Tuy nhiên, các tác nhân ransomware dường như đã mở rộng mục tiêu của họ và tiếp tục phát hành các kho dữ liệu riêng tư nếu nhu cầu của họ không được đáp ứng. Điều đó bao gồm một cuộc tấn công vào mùa thu năm nay vào Học khu Thống nhất Los Angeles, lớn thứ hai của quốc gia, trong đó thông tin bí mật về học sinh đã bị rò rỉ khi tiền chuộc chưa được trả.

Cụ thể, nhóm tin tặc thực hiện vụ tấn công mạng nhằm vào Học khu thống nhất Los Angeles (LAUSD) đã tung lượng lớn dữ liệu của học khu này lên mạng internet.

Kênh tin tức KTLA ngày 3/10 dẫn nguồn quan chức địa phương nêu rõ trong vụ tấn công mạng trên, nhóm tin tặc đã đánh cắp hơn 500 gigabytes dữ liệu và yêu cầu LAUSD trả tiền chuộc trước ngày 3/10 để đổi lấy dữ liệu bị đánh cắp. Tuy nhiên, tối 1/10, nhóm đã tung dữ liệu lên mạng sau khi ban giám hiệu LAUSD tuyên bố từ chối trả tiền chuộc cho nhóm tin tặc. 

Trong một thông báo, ông Alberto Carvalho, người đứng đầu LAUSD, khẳng định việc trả tiền chuộc cho tin tặc không thể đảm bảo nhà trường khôi phục được toàn bộ dữ liệu. Và cuộc tấn công ransomware vào Học khu thống nhất Los Angeles này là vụ tấn công lần thứ 50 trong năm nay, đối với ngành giáo dục Hoa Kỳ, theo một cuộc kiểm đếm của công ty an ninh mạng Emsisoft.

Trước đó, một trường đại học chủ yếu là người da đen ở bang Illinois đã buộc phải đóng cửa vào tháng 5 sau sự sụt giảm số lượng nhập học do đại dịch gây ra, và hậu quả từ cuộc tấn công ransomware vào hệ thống máy tính của trường.

Một cuộc tấn công ransomware riêng biệt vào tháng 1 đã buộc hệ thống trường công lập Albuquerque, New Mexico - bao gồm hơn 140 trường công lập - phải đóng cửa trong hai ngày vì vụ tấn công ảnh hưởng đến các hệ thống lưu trữ thông tin liên hệ khẩn cấp cho học sinh. Cùng tháng đó, một cuộc tấn công ransomware khác nhằm vào một nhà cung cấp phần mềm đã ảnh hưởng đến các trang web của khoảng 5.000 trường học, chủ yếu ở Mỹ, sử dụng phần mềm này. Văn phòng Trách nhiệm Giải trình của Chính phủ, một cơ quan kiểm toán liên bang, đã kêu gọi Bộ Giáo dục Mỹ cần làm nhiều hơn nữa để bảo vệ các trường học khỏi các mối đe dọa tấn công ransomware.

Thậm chí, các bệnh viện bị tấn công bởi ransomware khi FBI cảnh báo về mối đe dọa leo thang đối với ngành chăm sóc sức khỏe. Trong một cảnh báo chung được đưa ra, FBI và hai cơ quan liên bang cảnh báo họ có "thông tin đáng tin cậy về mối đe dọa tội phạm mạng ngày càng gia tăng và sắp xảy ra đối với các bệnh viện và nhà cung cấp dịch vụ chăm sóc sức khỏe của Hoa Kỳ".

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Bộ Y tế và Dịch vụ Nhân sinh (HHS) và FBI đã đưa ra lời khuyên cảnh báo các nhà cung cấp dịch vụ chăm sóc sức khỏe để đảm bảo rằng, họ cần phải nhanh chóng thực hiện "các biện pháp phòng ngừa hợp lý và kịp thời để bảo vệ mạng của họ khỏi những mối đe dọa này."

Các cơ quan này đồng cho biết, các nhóm tấn công ransomware đang nhắm mục tiêu vào lĩnh vực này với các cuộc tấn công có thể dẫn đến "đánh cắp dữ liệu và làm gián đoạn các dịch vụ chăm sóc sức khỏe".

Trên Twitter, Chris Krebs, giám đốc CISA, cảnh báo các cá nhân chăm sóc sức khỏe và tổ chức, cơ sở bệnh viện điều trị, chăm sóc sức khỏe cộng đồng nên có "lá chắn! Các giám đốc điều hành - hãy sẵn sàng kích hoạt các kế hoạch phục hồi sau thảm họa và liên tục kinh doanh".

Vào tháng 10, công ty Universal Health Services (UHS) đã bị tấn công bởi một cuộc tấn công mạng lớn đã đánh sập tất cả các hệ thống CNTT của nó.

Vốn dĩ, UHS, công ty điều hành 400 bệnh viện và cơ sở y tế ở Mỹ và Anh, đã bị tấn công bởi một chủng ransomware khét tiếng được gọi là Ryuk, theo báo cáo của các phương tiện truyền thông. Các bệnh viện bị ảnh hưởng đã chuyển hướng xe cấp cứu và chuyển bệnh nhân cần phẫu thuật đến các bệnh viện khác gần đó, theo báo cáo của các phương tiện truyền thông. Phải mất hai tuần để tổ chức khôi phục hoàn toàn hệ thống CNTT của mình.

Theo Adam Meyers, phó chủ tịch cấp cao về tình báo tại CrowdStrike, trong một tuyên bố với Fierce Healthcare: "Trên thực tế, trong một số trường hợp, những kẻ tấn công yêu cầu hai khoản tiền chuộc — một để xóa dữ liệu và một để giải mã nó".

Daniel Norman, một nhà phân tích giải pháp cấp cao tại Diễn đàn An ninh Thông tin khẳng định trong những năm tới, những mối đe dọa bảo mật này sẽ tiếp tục gia tăng trên khắp thế giới khi công nghệ tự động xâm lấn nhiều hơn vào phòng điều hành. Ông nói: "Những kẻ tấn công sẽ một lần nữa chú ý đến việc làm gián đoạn dịch vụ y tế bằng cách nhắm vào các thiết bị và hệ thống được bảo mật kém".