Khi dịch vụ hack “bước ra ánh sáng” (Phần 1)
Hôm qua (14/5), Công ty năng lượng Colonial Pipeline đã phải trả cho tin tặc 5 triệu đô bằng tiền mã hóa để “chuộc” dữ liệu.
Colonial Pipeline đã trở thành cái tên mới nhất - và cũng nổi tiếng nhất - gia nhập vào danh sách “nạn nhân” của một nhóm tấn công mạng có tên DarkSide.
Nhưng DarkSide không đơn thuần chỉ là một nhóm hacker. Đây là một “công ty khởi nghiệp” và là nhà cung cấp phần mềm cho các tin tặc để xâm nhập và tống tiền các doanh nghiệp lớn. DarkSide và các đối tác của nó đại diện cho một nhóm doanh nghiệp ngầm đang hợp tác với nhau để đe dọa các công ty cả công lẫn tư nhân. Chỉ tính riêng 2020, “doanh thu” từ việc tống tiền bằng virus độc đã đạt con số 370 triệu USD.
Mô hình kinh doanh của DarkSide gần như tương đồng với một công ty SaaS – (Software as a Service – cho thuê phần mềm). Bên cạnh phần mềm chính để tin tặc đánh cắp và mã hoá dữ liệu của nạn nhân, nó còn cung cấp các dịch vụ xung quanh phần mềm đó, chẳng hạn như các công cụ cho phép tin tặc giao tiếp với nạn nhân, hoặc nhận hỗ trợ về công nghệ.
Công ty thậm chí còn treo thưởng nếu nạn nhân chấp nhận trả tiền chuộc. Theo FireEye - công ty bảo mật đang giúp Colonial Pipeline phục hồi - các đối tác sẽ nhận 25% nếu phí chuộc dưới 500.000 USD và 10% nếu phí chuộc cao hơn 5 triệu USD.
DarkSide đang biến những cuộc tấn công mạng trở nên đơn giản tới mức lôi kéo rất nhiều tin tặc tham gia. Đến cả Peter Kruse, người sáng lập kiêm Giám đốc điều hành của công ty bảo mật CSIS Security Group cũng thừa nhận, đây là một cách kiếm tiền “nhanh chóng” khi ngày càng nhiều hacker sử dụng dịch vụ của DarkSide.
DarkSide gây thu hút với lời hứa hẹn mang đến tốc độ mã hóa tốt nhất để khóa máy tính nhanh hơn bất kỳ một phần mềm khác. Nó cũng hỗ trợ các cuộc tấn công trên cả hệ điều hành Windows và Linux. Kể từ khi xuất hiện vào tháng 8 năm 2020, nó đã góp phần làm rò rỉ dữ liệu của hơn 80 tổ chức, và danh tính của những người đã trả tiền có thể sẽ không bao giờ được biết đến.
Theo công ty khởi nghiệp bảo mật CyberReason, với việc một cuộc tấn công mạng từ “khách hàng” của DarkSide “đòi” số tiền dao động từ 200.000 USD tới 2 triệu USD, có thể công ty này đã thu về tổng cộng hơn 30 triệu USD chỉ trong nửa năm. Cùng với báo cáo của KrebsOnSecurity cho thấy nhóm đã thương lượng khoản tiền chuộc 11 triệu USD với một công ty nạn nhân, con số này có khả năng còn cao hơn.
Hệ thống bảo mật lỏng lẻo cũng góp phần tiếp tay cho tin tặc. Trước khi sử dụng phần mềm của DarkSide, trước tiên hacker cần phải xâm nhập được vào hệ thống của công ty nạn nhân, và DarkSide không cung cấp dịch vụ đó. Kruse cho biết các đối tác của DarkSide sẽ tìm kiếm các thiết bị dễ bị tấn công bằng cách quét web. Khi đã có thể xâm nhập được các thiết bị đó, tin tặc sẽ kiểm soát các máy tính được kết nối trong hệ thống và cài đặt phần mềm DarkSide, tiến hành mã hoá dữ liệu.
Colonial Pipeline vẫn chưa tiết lộ chính xác cách họ bị tấn công, mặc dù các phân tích về máy chủ của công ty từ các chuyên gia bảo mật đã phát hiện ra một số cách mà tin tặc có thể sử dụng để lợi dụng các lỗ hổng trong hệ thống phòng thủ của công ty. Ví dụ, có một số lượng lớn camera giám sát được gắn ‘lỏng lẻo’ vào cơ sở hạ tầng CNTT của công ty, theo Derek Abdine từ công ty bảo mật Censys.
Và Bob Maley, cựu lãnh đạo bảo mật của PayPal và hiện là giám đốc an ninh của công ty khởi nghiệp phòng thủ mạng Black Kite, cho biết anh ta đã nhìn thấy các máy chủ chia sẻ tệp và quản lý từ xa đang được mở, mà nếu tin tặc bằng cách nào đó có được thông tin đăng nhập này, chúng sẽ dễ dàng xâm nhập vào hệ thống của Colonial. “Nếu tôi định hack nó, tôi chỉ cần sử dụng một công cụ có sẵn để kết nối, chạy một đoạn script nhỏ và thử tất cả các thông tin đăng nhập mà tôi có, cộng với một số tên người dùng và mật khẩu phổ biến, ”Maley nói thêm.
Từ lâu, người ta lo ngại rằng nhiều doanh nghiệp đang không có cơ sở hạ tầng đủ tốt để chống lại các loại tấn công như Maley mô tả. “Các hệ thống cũ và các cơ sở hạ tầng tương tự khác được thiết kế chủ yếu để lưu giữ thông tin và thực hiện các nhiệm vụ kiểm soát cơ bản mà không được xây dựng để bảo mật thông tin” theo Chris Piehota, cựu giám đốc công nghệ FBI cho biết.
Nhân sự cũng là một nguyên nhân khác. Theo Kruse và Maley, Colonial dường như không có bất kỳ ai phụ trách vấn đề an ninh mạng. Về phần mình, Colonial cho biết họ thuê một giám đốc thông tin từ năm 2017 để xem xét các biện pháp phòng thủ và an ninh mạng - tổng chi tiêu cho CNTT của họ đã tăng hơn 50% trong bốn năm qua.
Đại diện phát ngôn của công ty đã nói với Forbes rằng họ có “các giao thức và phần mềm mạnh mẽ để phát hiện và giải quyết các mối đe dọa một cách chủ động và phản ứng”, và nhóm ứng phó sự cố bên thứ ba của công ty xác nhận rằng họ đang tuân theo “các phương pháp tốt nhất” trước khi bị tấn công.
Có thể bạn quan tâm