Tin tặc nhắm mục tiêu hàng ngàn máy chủ trên toàn thế giới

Tin tặc nhắm mục tiêu hàng ngàn máy chủ trên toàn thế giới, Ý cảnh báo

Hàng ngàn máy chủ máy tính trên khắp thế giới đã trở thành mục tiêu của một cuộc tấn công bằng mã độc tống tiền, Cơ quan An ninh mạng Quốc gia Ý (ACN) cho biết hôm 5/2, đồng thời cảnh báo các tổ chức hành động để bảo vệ hệ thống của họ.

Vụ tấn công tập trung vào trong các máy chủ VMware ESXi, chỉ vài ngày sau khi một nhà điều hành giao dịch phái sinh của Vương quốc Anh bị tấn công tương tự.

"Vài chục hệ thống quốc gia bị xâm phạm. Cuộc tấn công được tung ra bởi các tin tặc trên toàn thế giới, bao gồm cả Ý, nó là một cuộc tấn công lớn, mức độ và trên hết là hậu quả của nó vẫn đang được làm rõ", trang web Cơ quan An ninh mạng Quốc gia Ý (ACN) dẫn tin.

Tổng giám đốc ACN Roberto Baldoni nói với tờ Reuters rằng, cuộc tấn công tìm cách khai thác một lỗ hổng phần mềm, đồng thời cho biết thêm rằng cuộc tấn công này diễn ra trên quy mô lớn.

Hãng thông tấn ANSA của Ý, trích dẫn báo cáo của ACN, cho thấy rằng các máy chủ đã bị xâm phạm ở các nước châu Âu khác như Pháp và Phần Lan cũng như Hoa Kỳ và Canada. Hàng chục tổ chức của Ý có thể đã bị ảnh hưởng và nhiều tổ chức khác đã được cảnh báo hành động để tránh bị khóa khỏi hệ thống của họ.

Theo NCSC, ransomware này tấn công một lỗ hổng hơn hai năm tuổi trong phần mềm ESXi của VMware. Đây là một hệ thống được sử dụng rộng rãi cho phép nhiều hệ điều hành chạy trên một máy chủ. Lỗ hổng này cũng từng được phát hiện vào năm 2020.

Stefano Zanero, giáo sư chính thức về an ninh mạng tại Politecnico di Milano của Ý, cho biết trong một cuộc phỏng vấn: "Lỗ hổng được nhắm mục tiêu đã tồn tại hai năm, và lẽ ra phải được vá ngay bây giờ, nhưng rõ ràng là nhiều máy chủ vẫn chưa được bảo vệ".

Nhiều máy chủ đã bị ảnh hưởng vào cuối tuần qua. Nhiều máy tính ở Pháp ban đầu bị ảnh hưởng, nhưng các máy chủ ở Phần Lan, Hoa Kỳ và Canada cũng là mục tiêu, theo cơ quan ACN của Ý. Hàng chục tổ chức ở Ý bị ảnh hưởng. Cục An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ cũng đang điều tra tác động và kêu gọi các tổ chức báo cáo các cuộc tấn công mạng này.

Các trung tâm an ninh mạng quốc tế cũng đang cảnh báo các công ty và tổ chức thực hiện các biện pháp phòng ngừa, và cập nhật tất cả các bản cập nhật bảo mật cho hệ thống ESXi của họ, để ngăn không cho các tệp của họ không thể truy cập được do ransomware tấn công vào.

Các khách hàng của Telecom Italia đã báo cáo sự cố internet trước đó vào 5/2, nhưng sự cố này và báo cáo trên không được cho là có liên quan với nhau. Các quan chức an ninh mạng của Hoa Kỳ cho biết họ đang đánh giá tác động của các sự cố được báo cáo.

"Chúng tôi đang làm việc với các đối tác khu vực công và tư nhân của chúng tôi để đánh giá tác động của những sự cố được báo cáo này, và cung cấp hỗ trợ khi cần thiết", Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ cho biết trong một tuyên bố.

Được biết, ransomware là một loại phần mềm độc hại khóa các tệp của nạn nhân và tin tặc yêu cầu thanh toán để cung cấp khóa mã hóa. LockBit, băng đảng đứng sau cuộc tấn công vào tuần trước vào ION Trading UK nhằm ngăn chặn giao dịch phái sinh, cho biết họ đã nhận được tiền chuộc và mở khóa các tệp đó. ION đã từ chối bình luận về việc liệu một khoản tiền chuộc đã được trả hay chưa. Trước mắt, vẫn không rõ liệu có nhóm nào nhận trách nhiệm về vụ tấn công loạt máy chủ mới nhất hay không.

Liên minh toàn cầu tái khẳng định cam kết chống lại ransomware

Vào tháng 11/2022, đại diện của 36 quốc gia – bao gồm cả Vương quốc Anh và Ukraine và Liên minh Châu Âu (EU) đã đưa ra một tuyên bố chung tái khẳng định cam kết của họ trong việc giải quyết ransomware. Vào thời điểm đó, họ cũng đang ở Washington DC để tham dự Hội nghị thượng đỉnh Sáng kiến Chống Ransomware Quốc tế (ICRI) lần thứ hai do Nhà Trắng triệu tập.

Thứ trưởng Bộ Tài chính Hoa Kỳ Wally Adeyemo lúc đó cho biết: "Đó là một minh chứng rõ ràng cho cả mối đe dọa nghiêm trọng mà ransomware gây ra, và tầm quan trọng thiết yếu của hợp tác quốc tế khi chúng ta có sự tham gia mạnh mẽ từ các quốc gia trên toàn cầu trong Hội nghị thượng đỉnh này".

"Chúng tôi có thể tiếp cận thách thức của ransomware bằng một lăng kính khác, và trong một số trường hợp, nó có thể bằng một bộ công cụ hoàn toàn khác – nhưng tất cả chúng ta ở đây, vì chúng ta biết rằng ransomware vẫn là mối đe dọa nghiêm trọng đối với nạn nhân trên toàn cầu và tiếp tục mang lại lợi nhuận cho kẻ xấu".

"Trên thực tế, chúng tôi biết rằng các tin tặc trên toàn thế giới coi việc tiến hành các cuộc tấn công bằng ransomware là kế hoạch sinh lời nhiều nhất trên internet – thậm chí còn mang lại nhiều lợi nhuận hơn cả việc bán dữ liệu bất hợp pháp qua thị trường darknet cũng như đánh cắp và bán thẻ tín dụng bị đánh cắp".

Adeyemo nói thêm: "Ở giữa bối cảnh này, điều quan trọng hơn bao giờ hết là chúng ta cùng nhau chia sẻ những gì chúng ta đang thấy qua lăng kính độc đáo của mình, và học hỏi từ những phương pháp hay nhất của nhau".

Trong tuyên bố chung, các thành viên cho biết họ sẽ tiếp tục nỗ lực để đạt được 5 mục tiêu đã nêu, và ủng hộ việc thực hiện khuôn khổ của Liên Hợp Quốc đã được thông qua trước đó về hành vi của nhà nước có trách nhiệm trong không gian mạng, cụ thể là quy tắc tự nguyện mà các quốc gia nên hợp tác về những vấn đề như vậy.

Trong tương lai, các thành viên cho biết họ có kế hoạch thành lập Lực lượng đặc nhiệm chống ransomware quốc tế (ICRTF) tự nguyện, họ sẽ được giao nhiệm vụ phát triển các công cụ liên ngành, và trao đổi thông tin tình báo về mối đe dọa, đồng thời củng cố chính sách và hướng dẫn thực hành ứng phó tốt nhất. Lực lượng đặc nhiệm cuối cùng sẽ tạo ra các báo cáo có sẵn công khai về các công cụ, chiến thuật và thủ tục của ransomware, đồng thời sẽ hợp tác với khu vực tư nhân thông qua một chương ngành phụ trợ.

Liên minh cũng chia sẻ thêm chi tiết về việc ra mắt nền tảng chia sẻ thông tin thí điểm – được phát triển giữa Israel và Các Tiểu vương quốc Ả Rập Thống nhất – nơi các quan chức cấp nhà nước có thể trao đổi lời khuyên, học hỏi và giảm thiểu, mà các công ty mạng khu vực tư nhân cuối cùng cũng sẽ có quyền truy cập. Nhóm cũng có kế hoạch phát triển một công cụ giúp các quốc gia sử dụng quan hệ đối tác công tư để chống lại ransomware.

Nhóm cũng tuyên bố sẽ tăng đáng kể mức độ thực thi hành động chống lại những kẻ điều hành ransomware, và thực hiện các bước quyết định hơn để chống lại hoạt động rửa tiền điện tử ngầm- vốn là nền tảng cho "sự thành công" của hệ sinh thái tội phạm mạng. Điều này sẽ bao gồm việc thiết lập các cơ chế mới để thông báo cho các tổ chức tài chính và nền tảng tài sản ảo về các khoản thanh toán bằng ransomware nhằm thu giữ tiền dễ dàng hơn, thúc đẩy hoạt động chống rửa tiền và chống tài trợ cho các công cụ khủng bố mạng.

Ngoài ra, tập thể đã đồng ý rằng cam kết ngoại giao là một công cụ quan trọng trong cuộc chiến chống lại ransomware trong cộng đồng toàn cầu, và cam kết hợp tác sâu hơn với đầy đủ các bên liên quan về các kế hoạch hành động khu vực, tập trung, các khuôn khổ đa phương và các chương trình xây dựng năng lực. Các quốc gia thành viên của ICRTF giờ đây cũng sẽ sớm tiến hành một loạt các cuộc diễn tập không gian mạng hai năm một lần, điều này sẽ đóng góp vào "bộ công cụ sống" cho ICRTF.