Hacker nhắm mục tiêu vào con của các lãnh đạo công ty trong cuộc tấn công ransomware tinh vi
Theo hãng an ninh mạng hàng đầu Mandiant thuộc Google, khi các công ty tăng cường phòng thủ mạng, các hacker ngày càng sáng tạo hơn. Hacker thậm chí còn đi xa hơn khi nhắm mục tiêu vào con của các lãnh đạo công ty với hy vọng nắm giữ thông tin cá nhân đòi tiền chuộc trong cuộc tấn công ransomware.
Cuộc tấn công ransomware (mã độc tống tiền) thường đến từ việc hacker xâm nhập vào công ty hoặc tổ chức để đánh cắp rồi mã hóa dữ liệu. Hacker sẽ giữ dữ liệu này cho đến khi nạn nhân đồng ý trả tiền chuộc. Các cuộc tấn công khiến nạn nhân không thể truy cập vào dữ liệu bị đánh cắp, điều này có thể làm tê liệt hoạt động của công ty hoặc tổ chức cho đến khi thanh toán tiền chuộc.
Các cuộc tấn công như vậy đã trở nên phổ biến hơn ở Mỹ những năm gần đây, đình đám nhất là vụ hacker Nga làm tê liệt đường ống dẫn khí đốt dài 5.000 dặm (khoảng 8.046km) ở Bờ Đông nước Mỹ vào năm 2021.
Tháng 2.2024, những kẻ tấn công ransomware đã nhắm mục tiêu vào Chain Healthcare, bộ phận quản lý thanh toán của gã khổng lồ chăm sóc sức khỏe UnitedHealth Group (Mỹ), gây ra tình trạng tồn đọng các yêu cầu thanh toán tiền bảo hiểm theo toa thuốc.
Ransomware có thể được đưa vào cơ sở dữ liệu công ty thông qua một sơ suất nhỏ nhất của nhân viên, chẳng hạn như nhấp vào liên kết trong email lừa đảo. Song khi các công ty ngày càng giỏi hơn trong việc ngăn chặn tội phạm mạng, những kẻ lừa đảo cũng trở nên sáng tạo hơn, theo Giám đốc Công nghệ Mandiant - Charles Carmakal.
Phát biểu tại Hội nghị RSA (cuộc họp thường niên của các chuyên gia an ninh mạng) ở thành phố San Francisco, Mỹ đầu tuần này, Charles Carmakal cho biết một số kẻ tấn công “không tuân theo quy tắc nào”, thậm chí còn nhắm mục tiêu vào con của lãnh đạo công ty, theo ấn phẩm tin tức công nghệ The Register.
Charles Carmakal cho biết: “Chúng tôi đã thấy những tình huống mà trong đó kẻ tấn công về cơ bản là hoán đổi SIM điện thoại của con các lãnh đạo và bắt đầu gọi điện cho họ (từ số điện thoại của con họ)”.
Hoán đổi SIM là khi tội phạm có được quyền truy cập từ xa vào thẻ SIM điện thoại di động của bạn, sau đó chuyển hướng kiểm soát các cuộc gọi và tin nhắn đến - đi sang điện thoại của chúng.
Charles Carmakal cho biết kẻ tấn công ransomware sử dụng các phương pháp khác nhau để truy cập vào điện thoại di động, gồm cả việc giả mạo ID người gọi.
“Hãy nghĩ về tình thế tiến thoái lưỡng nan về tâm lý mà lãnh đạo công ty phải trải qua – nhìn thấy cuộc gọi từ con cái, nhấc điện thoại lên và nghe thấy giọng nói của người khác?”, ông nói.
Charles Carmakal cho hay những kiểu lừa đảo này tạo thêm gánh nặng cho các lãnh đạo công ty, vì phải lựa chọn giữa việc bảo vệ khách hàng, nhân viên với gia đình họ. “Đó là trải nghiệm khá đáng sợ”, ông nói.
Mandiant cho biết hacker dùng phương thức hoán đổi SIM và giả mạo ID người gọi trên điện thoại di động của con các lãnh đạo công ty - Ảnh: Getty Images
Trong dự báo an ninh đám mây của Google Cloud vào tháng 12.2023, Charles Carmakal cho biết Google dự kiến sẽ thấy sự gia tăng đáng kể trong năm nay của các đối tượng độc hại trẻ tuổi sử dụng các kỹ thuật tấn công mạng mới hơn, chẳng hạn như kỹ thuật xã hội thông qua tin nhắn văn bản.
Kỹ thuật xã hội thông qua tin nhắn văn bản là sử dụng tâm lý học để lừa đảo người khác qua tin nhắn SMS. Kẻ gian sẽ cố gắng thao túng nạn nhân cung cấp thông tin cá nhân, tài chính hoặc thực hiện các hành động có hại cho bản thân hoặc tổ chức của họ. Đây là một dạng tấn công smishing (kết hợp giữa SMS và phishing), lừa đảo qua tin nhắn SMS, tương tự như lừa đảo qua email (phishing).
Microsoft cho biết cách tốt nhất để bảo vệ bạn khỏi ransomware là tránh truy cập các trang web đáng ngờ, không bao giờ mở file đính kèm từ người mà bạn không quen biết và cảnh giác với các liên kết trên mạng xã hội.
Treo thưởng 10 triệu USD để bắt kẻ cầm đầu nhóm LockBit
Theo trang CyberNews, Mỹ và các đồng minh đang ráo riết truy tìm thủ lĩnh của băng đảng ransomware LockBit khét tiếng.
Lực lượng đặc nhiệm quốc tế gồm Cục Điều tra liên bang Mỹ (FBI) và Cơ quan Phòng chống tội phạm quốc gia Anh (NCA) đang truy lùng gắt gao Dmitry Khoroshev, nghi phạm được cho là kẻ cầm đầu của LockBit có thể đang lẩn trốn tại thành phố Kaliningrad, Nga.
NCA cáo buộc Dmitry Khoroshev chính là LockBitSupp, biệt danh một trong những hacker đứng đầu của LockBit. Nhóm này được cho là đã kiếm được hơn 1 tỉ USD từ hoạt động phi pháp suốt 5 năm qua, gồm tống tiền các nạn nhân, bán dữ liệu bị đánh cắp và cho các nhóm tội phạm khác thuê phần mềm ransomware.
Dmitry Khoroshev bị truy nã về 26 tội danh “gian lận và lạm dụng máy tính” ở Mỹ, ước tính đã mang lại cho hắn hơn 100 triệu USD. Dmitry Khoroshev hiện phải đối mặt với các lệnh trừng phạt từ Mỹ, Anh và Úc, gồm việc phong tỏa tài sản và bị đưa vào danh sách cấm bay.
Bộ Tư pháp Mỹ đã treo thưởng 10 triệu USD cho bất kỳ ai cung cấp thông tin hỗ trợ việc bắt giữ và kết tội Dmitry Khoroshev. Đây là mức tiền thưởng cao nhất mà Bộ Tư pháp Mỹ từng đưa ra với tội phạm mạng.
Nếu bị bắt, Dmitry Khoroshev có thể phải đối mặt với mức án tù chung thân.
Thông tin truy nã Dmitry Khoroshev - Ảnh: CyberNews
LockBit đã gây ra nhiều vụ tấn công mạng lớn nhắm vào các doanh nghiệp và tổ chức trên khắp thế giới, trong đó có hơn 1.700 doanh nghiệp ở Mỹ. Các nạn nhân nổi tiếng nhất của nhóm này gồm có hãng hàng không Boeing, dịch vụ tài chính ION và Ngân hàng Công thương Trung Quốc.
Các quan chức Mỹ và Anh cho biết chiến dịch chống lại LockBit đã thành công trong việc làm gián đoạn hoạt động của nhóm này và làm giảm khả năng thực hiện các cuộc tấn công. Tuy nhiên, họ cảnh báo rằng LockBit vẫn là mối đe dọa lớn với vấn đề an ninh mạng trên toàn cầu, đặc biệt là cho các doanh nghiệp.
Hacker Nga làm tê liệt đường ống dẫn khí đốt dài 5.000 dặm ở Bờ Đông nước Mỹ vào năm 2021 bằng cách thực hiện hàng loạt các bước tinh vi. Cụ thể gồm:
1. Xâm nhập mạng lưới: Kẻ tấn công xâm nhập vào mạng lưới công nghệ thông tin của Colonial Pipeline, công ty sở hữu đường ống dẫn khí. Hacker có thể sử dụng các kỹ thuật như lừa đảo kỹ thuật xã hội, khai thác lỗ hổng phần mềm hoặc mua mật khẩu bị đánh cắp để thực hiện điều này.
2. Di chuyển ngang: Sau khi xâm nhập vào mạng lưới, kẻ tấn công di chuyển sang các hệ thống khác trong mạng lưới của Colonial Pipeline. Hacker có thể sử dụng các kỹ thuật như quét mạng và khai thác lỗ hổng phần mềm để tìm kiếm các hệ thống dễ bị tấn công.
3. Nâng cao đặc quyền: Kẻ tấn công nâng cao quyền truy cập của chúng để có quyền kiểm soát nhiều hơn với các hệ thống Colonial Pipeline. Hacker có thể sử dụng các kỹ thuật như leo thang đặc quyền hoặc sử dụng mật khẩu đánh cắp được để thực hiện điều này.
4. Cài đặt phần mềm độc hại: Kẻ tấn công cài đặt phần mềm độc hại trên các hệ thống của Colonial Pipeline. Phần mềm này cho phép hacker kiểm soát các hệ thống, xóa dữ liệu hoặc gián đoạn hoạt động.
5. Khởi động cuộc tấn công: Kẻ tấn công khởi động cuộc tấn công ransomware, mã hóa dữ liệu trên các hệ thống của Colonial Pipeline và yêu cầu tiền chuộc để giải mã dữ liệu.
Colonial Pipeline buộc phải đóng cửa đường ống dẫn khí để ngăn chặn sự lây lan của phần mềm độc hại. Việc này từng dẫn đến tình trạng thiếu khí đốt ở Bờ Đông nước Mỹ và làm tăng giá xăng.
Vụ hack trên là một lời nhắc nhở về mức độ nguy hiểm của các cuộc tấn công mạng và tầm quan trọng của việc bảo vệ hệ thống an ninh mạng. Công ty cần thực hiện các bước để bảo vệ mạng lưới của họ khỏi cuộc tấn công, chẳng hạn sử dụng phần mềm chống vi rút và tường lửa mạnh mẽ, cập nhật phần mềm thường xuyên và đào tạo nhân viên về nhận thức an ninh mạng.
