Những vụ tấn công lớn nhất trong năm 2021

Log4j

Lỗ hổng Log4Shell được phát hiện trong Apache Log4j - tập tin ghi lại nhật ký hoạt động của các ứng dụng thường dùng để truy vết lỗi vào đầu tháng 12 vừa qua đã khiến giới bảo mật chấn động. Log4Shell được xem là lỗ hổng nguy hiểm nhất thập kỷ, xếp hạng ở mức nguy hiểm nhất bởi nó cho phép kẻ tấn công chiếm quyền điều khiển từ xa đối với hệ thống chạy ứng dụng bằng Java.

Số lượng nạn nhân tiềm năng là rất lớn vì gần một phần ba máy chủ web trên thế giới sử dụng nền  java. Các chuyên gia đã ghi nhận tổng cộng 3,7 triệu lần tấn công với 46% trong số đó được thực hiện bởi các tác nhân tấn công độc hại thông thường. Do đó, lỗ hổng Log4j chắc chắn đang trở thành cơn ác mộng. Các công ty nên cài đặt tường lửa có tính năng cập nhật tự động để giúp bảo vệ cơ sở hạ tầng của họ tại thời điểm này. Mặt khác, người tiêu dùng cần chú ý đến các bản cập nhật trên thiết bị của họ.

Kaseya

Kaseya là công ty chuyên cung cấp công cụ cho các doanh nghiệp gia công phần mềm và các tiện ích khác. Ngày 2/7, một nhóm hacker tấn công khoảng 800-1.500 doanh nghiệp sử dụng dịch vụ của công ty này bằng ransomware, trong đó có cả trường học, cơ quan chính phủ, ngân hàng, tổ chức du lịch và giải trí. Đây được coi là một trong những đợt tấn công ransomware có quy mô lớn kỷ lục trong lịch sử.

Ngày 5/7, nhóm hacker REvil nhận trách nhiệm về vụ hack này, đồng thời yêu cầu khoản tiền chuộc từ 45.000 đến 5 triệu USD với mỗi doanh nghiệp. Đỉnh điểm của cuộc tấn công là khi nhóm đứng sau vụ hack yêu cầu 70 triệu đô la bitcoin. Khoản thanh toán này để đổi lấy một khóa giải mã có thể giúp các nạn nhân bị ảnh hưởng phục hồi sau cuộc tấn công độc hại.

Do đó, Kaseya đã đóng các máy chủ của mình và khuyến nghị tất cả các khách hàng của mình làm tê liệt các máy chủ VSA tại chỗ của họ. Họ khẳng định không có khách hàng nào có dữ liệu bị xâm phạm, họ đặt máy chủ SaaS ngoại tuyến để đề phòng. Việc khôi phục máy chủ đi kèm với bản vá cho các máy chủ VSA tại chỗ đã diễn ra vào ngày 11 tháng 7 năm 2021.

SolarWinds

Vụ hack SolarWinds là một sự kiện lớn vì nó gây ra một sự cố lớn trong chuỗi cung ứng ảnh hưởng đến nhiều tổ chức, bao gồm cả chính phủ Hoa Kỳ. Là một công ty phần mềm cung cấp các công cụ quản lý hệ thống, vụ hack SolarWinds khiến hàng nghìn khách hàng bị lộ dữ liệu bao gồm các cơ quan tiểu bang, địa phương và liên bang sử dụng hệ thống mạng Orion của SolarWinds.

SolarWinds đã yêu cầu tất cả khách hàng của mình cập nhật nền tảng Orion hiện tại của họ. Các bản vá được phát hành cho các lỗ hổng tiềm ẩn sẽ giúp bảo vệ dữ liệu người tiêu dùng trong tương lai. Tương tự, khách hàng không thể cập nhật hệ thống của họ nên thay đổi mật khẩu cho các tài khoản sử dụng các máy chủ đó.

Microsoft Exchange

Vào đầu tháng 1, máy chủ Microsoft Exchange của hơn 30.000 công ty Hoa Kỳ đã bị tấn công. Hàng trăm nghìn người trên toàn cầu bị phơi nhiễm do sự cố. Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) quy cuộc tấn công này là do nhóm HAFNIUM có trụ sở tại Trung Quốc.

Vào ngày 2 tháng 3 năm 2021, Microsoft đã phát hành một bản vá khẩn cấp để giúp khắc phục tình trạng này. Tin tốt là chỉ có các máy chủ trao đổi tại chỗ bị ảnh hưởng. FBI đã dẫn đầu một hoạt động để xóa phần mềm độc hại khỏi các máy chủ bị ảnh hưởng.

Ivanti Pulse Connect

Nhiều lỗ hổng trong Ivanti Pulse Connect đang cho phép tội phạm mạng xâm nhập hệ thống trong các cơ quan tư nhân và chính phủ. Bằng cách triển khai web shell độc hại, tin tặc có thể truy cập vào dữ liệu của người tiêu dùng. Do đó, các cơ quan liên bang đang làm việc suốt ngày đêm để giúp giải quyết những lỗ hổng này.

Những kẻ tấn công đang sử dụng các lỗ hổng này để thao túng các chức năng cụ thể như bỏ qua xác thực đa yếu tố, bỏ qua xác thực và ghi mật khẩu. Ivanti đã phát hành một bản vá để giúp giải quyết những vấn đề này và bảo vệ dữ liệu người tiêu dùng của họ.

Hiệp hội bóng rổ quốc gia (NBA)

Các cuộc tấn công ransomware là một tập hợp con của các cuộc tấn công mạng có thể tấn công cơ sở hạ tầng quan trọng. Một trong những cuộc tấn công lớn nhất trong số những cuộc tấn công này trong quá khứ gần đây là vào Hiệp hội Bóng rổ Quốc gia. Một nhóm hacker, thường được gọi là Babuk, tuyên bố đã đánh cắp thông tin bí mật trị giá 500 GB trên Houston Rockets.

Dữ liệu thu thập được bao gồm các thông tin tài chính, hợp đồng và tài liệu pháp lý. Do đó, họ đã sử dụng thông tin làm đòn bẩy cho tổ chức có uy tín và nổi tiếng này. Cảnh báo của Babuk là tất cả dữ liệu sẽ được công khai trừ khi nhu cầu 50 triệu đô la của họ được đáp ứng.

Tuy nhiên, nhu cầu của họ có được đáp ứng hay không vẫn chưa rõ ràng. Tracey Hughes, người phát ngôn của nhóm, tuyên bố rằng tổ chức Rockets đã phát hiện hoạt động đáng ngờ trong mạng nội bộ của họ và mở một cuộc điều tra.

Colonial Pipeline

Colonial Pipeline là nhà điều hành mạng lưới đường ống cung cấp nhiên liệu cho Bờ Đông nước Mỹ dài gần 8.900 km. Vào cuối tháng 4, công ty này đã bị tin tặc tấn công khiến hệ thống thanh toán bị vô hiệu hóa, buộc họ phải đóng cửa một phần mạng lưới để kiểm soát phần mềm độc hại.

Sự cố của Colonial Pipeline khiến hàng chục bang từ Florida đến Virginia phải ban bố tình trạng khẩn cấp. Rất nhiều người dân kéo đến các trạm xăng mua nhiên liệu tích trữ. Bộ Giao thông Vận tải và Cơ quan Bảo vệ Môi trường Mỹ phải ra quyết định khẩn cấp để giảm bớt tình trạng khan hiếm nguồn cung.

Nhóm tin tặc DarkSide bị cáo buộc đứng sau vụ hack này. Colonial Pipeline nhanh chóng nhượng bộ các yêu cầu vì họ cần tránh bị gián đoạn thêm. Họ đã trả khoản tiền chuộc 75 Bitcoin, tương đương 4 triệu USD khi đó để xử lý sự cố.

Sau đó, các cơ quan hành pháp Mỹ đã thu hồi được một phần số tiền này, nhưng cho tới nay DarkSide vẫn chưa bị bắt.

Theo New York Times, FBI đã thu hồi phần lớn số tiền chuộc bằng cách theo dõi chuyển động của ví kỹ thuật số và tiền điện tử. Tuy nhiên, việc tìm ra những hacker đã gây ra tội ác vẫn là một nhiệm vụ khó khăn.

Twitch

Nền tảng phát video trực tiếp của Amazon, Twitch, cũng trở thành nạn nhân của một cuộc tấn công mạng vào năm 2021. Một tin tặc ẩn danh tuyên bố đã chiếm lấy nền tảng này cùng với dữ liệu thanh toán của người dùng và mã nguồn. Tin tặc còn tiến xa hơn khi xâm phạm một trò chơi chưa được phát hành từ studio trò chơi của Amazon.

Một người nào đó sau đó đã đăng vụ rò rỉ trên một diễn đàn trực tuyến, 4chan, dưới dạng một tài liệu 125 GB. Nó cho thấy Amazon đã kiếm được bao nhiêu từ Twitch và số lượng người dùng đang hoạt động. Mặc dù Amazon không phản hồi về vụ hack ngay lập tức, nhưng họ đã đưa ra một tuyên bố - vài ngày sau đó - xác nhận vụ việc. Amazon cho biết, sự việc bắt nguồn từ "thay đổi thiết lập máy chủ cho phép bên thứ ba truy cập trái phép". Đồng thời công ty cũng bác bỏ nguy cơ lộ mật khẩu người dùng.

JBS Foods

Một trong những nhà cung cấp thịt lớn nhất thế giới, JBS Foods, đã trở thành nạn nhân của một cuộc tấn công ransomware vào tháng 5 năm 2021. Theo CNN, một nhóm tấn công có trụ sở tại Nga có tên REvil được cho là đứng sau cuộc tấn công độc hại này. Người tiêu dùng bắt đầu hoảng sợ sau cuộc tấn công làm lộ ra những lỗ hổng trên thị trường thịt.

Mặc dù không có báo cáo về tình trạng thiếu lương thực đáng kể, nhưng chính phủ khuyến khích người tiêu dùng bình tĩnh, không có mua bán thịt trong tình trạng hoảng loạn sẽ làm tình hình leo thang hơn nữa. Tuy nhiên, JBS Foods chỉ thừa nhận vụ tấn công vào ngày 9/6 mặc dù đã được Nhà Trắng thừa nhận vào ngày 1/6.

Thực phẩm JBS đã trả tổng cộng 11 triệu đô la khi bị yêu cầu tiền chuộc bằng Bitcoin sau khi tham vấn với các chuyên gia an ninh mạng. Đây là một trong những khoản thanh toán Ransomware lớn nhất được ghi nhận trong lịch sử, theo CBS News.

Accellion Breach

Accellion, một công ty đẳng cấp thế giới chuyên về cộng tác và chia sẻ tệp an toàn, đã trở thành nạn nhân của một cuộc tấn công không ngày nhằm vào phần mềm Ứng dụng Truyền Tệp độc đáo của họ. Tin tặc đã sử dụng các lỗ hổng trong phần mềm để lấy dữ liệu người dùng của Accellion. Do đó, họ đã phát động một cuộc tấn công tổng lực vào các đối tác và khách hàng của Accellion.

Vào ngày 28 tháng 1 năm 2021, Accellion đã phát hành một bản vá bảo mật để giúp khắc phục tình trạng này. Tuy nhiên, có những tác động lâu dài của vi phạm đối với các cá nhân và tổ chức bị ảnh hưởng. Do đó, mọi người cần phải thực hiện các biện pháp phòng ngừa cần thiết để đảm bảo họ không trở thành nạn nhân của các cuộc tấn công.

Scripps Health

Hệ thống y tế có trụ sở tại San Diego, Scripps Health, đã buộc phải đưa các phần mạng vào ngoại tuyến trong vài tuần do một cuộc tấn công Ransomware vào ngày 1 tháng 5 năm 2021. Việc này gây ra tác động lớn khiến doanh thu bị mất gần 112,7 triệu đô la Mỹ. Ngoài việc làm gián đoạn việc chăm sóc bệnh nhân, các nhà cung cấp dịch vụ y tế không có lựa chọn nào khác ngoài việc sử dụng hồ sơ giấy. Dữ liệu bị đánh cắp bao gồm địa chỉ, số an sinh xã hội, ngày sinh, số tài khoản bệnh nhân và thông tin bảo hiểm y tế của hơn 150.000 bệnh nhân.

Hiện tại, Scripps Health đang đấu tranh với một vụ kiện tập thể. Bệnh nhân đổ lỗi cho các nhà lãnh đạo hệ thống vì đã không bảo vệ đầy đủ dữ liệu. Do đó, bệnh nhân phải chịu những hậu quả tiềm ẩn - bao gồm gian lận y tế và đánh cắp danh tính.

Epik Hosting Hacks năm 2021

Công ty lưu trữ miền, Epik, cũng trở thành nạn nhân của một cuộc tấn công mạng vào năm 2021. Các tin tặc đứng sau cuộc tấn công đã công bố dữ liệu của công ty lên mạng. Các nhà phân tích và nghiên cứu bảo mật đã tìm hiểu dữ liệu để xác định thông tin nhạy cảm nào bị rò rỉ.

Các chuyên gia khuyến khích khách hàng của Epik Hosting thay đổi mật khẩu của họ và tránh sử dụng lại các mật khẩu tương tự tại các trang web khác. Chủ sở hữu miền cũng nên tích hợp một hệ thống giúp họ theo dõi bất kỳ thay đổi nào của miền. Thực hiện điều này để đảm bảo không có ai chuyển nhà đăng ký nào mà họ không biết.

Công ty nước giải khát Molson Coors

Được biết đến với loại bia mang tính biểu tượng, Molson Coors, đã bị tấn công mạng vào năm 2021. Vụ tấn công xảy ra vào ngày 11 tháng 3, gây ra gián đoạn nghiêm trọng trong hoạt động hàng ngày của họ - bao gồm cả việc vận chuyển và sản xuất bia. Công ty đã phải đưa hệ thống của mình vào ngoại tuyến để giúp ngăn chặn sự lây lan thêm của phần mềm độc hại.

Công ty cũng đã thuê cố vấn pháp lý và các chuyên gia công nghệ thông tin pháp y để giúp điều tra vụ hack. Mặc dù công ty không công bố thông tin về vụ tấn công nhưng họ đã xoay sở để hoạt động của nó diễn ra suôn sẻ. Ngoài ra, công ty không nêu số lượng cơ sở bị ảnh hưởng bởi vụ tấn công.

Phần mềm Pegasus của NSO Group

Đầu năm nay, tổ chức Ân xá Quốc tế cho biết đã tìm thấy bằng chứng iPhone 12 bị tấn công, khiến 50.000 số điện thoại bị rò rỉ. Trong đó, phần mềm gián điệp Pegasus của NSO Group (Israel) được phát hiện được dùng để theo dõi các nhà hoạt động, nhà báo, quan chức chính phủ và viện sĩ, trong đó có 5 bộ trưởng Pháp. Nó tự xâm nhập vào điện thoại của bạn và biến nó thành một thiết bị giám sát theo dõi nạn nhân 24/7.

Pegasus có thể làm một số điều đối với thiết bị của bạn, khiến nó trở nên khá nguy hiểm. Chúng bao gồm sao chép và gửi tin nhắn, ghi âm cuộc gọi và thu thập ảnh. Tương tự, nó có thể xác định chính xác vị trí của bạn và nơi bạn đã đến.

Trước đó, NSO Group cũng từng bị Meta tố cáo sử dụng máy chủ WhatsApp để phát tán phần mềm độc hại tới 1.400 điện thoại di động của các nhà báo, nhà hoạt động nhân quyền, nhà ngoại giao, quan chức chính phủ cấp cao. NSO Group phủ nhận mọi cáo buộc trên và khẳng định Pegasus được xây dựng chỉ để chống tội phạm, khủng bố.

T-Mobile – Các vụ tấn công vi phạm dữ liệu di động năm 2021

Vào ngày 17 tháng 8 năm 2021, người dùng T-Mobile - nhà cung cấp dịch vụ di động lớn thứ ba ở Hoa Kỳ - đã bị vi phạm dữ liệu. Nó đã tiết lộ thông tin của gần 47 triệu người tiêu dùng trước đây, hiện tại và tương lai. Hầu hết dữ liệu chứa số an sinh xã hội, họ và tên hợp pháp, giấy phép lái xe, v.v.

Hiện tại, T-Mobile đang đấu tranh với một vụ kiện tập thể do vi phạm dữ liệu này. Theo những người lập hồ sơ, T-Mobile biết nguy cơ tiềm ẩn của việc vi phạm dữ liệu nhưng vẫn duy trì thông tin cá nhân một cách thiếu thận trọng.

CD Projekt Red

Các nhà phát triển trò chơi Ba Lan đứng sau các trò chơi như Cyberpunk 2077, CD Projekt Red, cũng trở thành nạn nhân của một cuộc tấn công ransomware như một phần của vụ hack năm 2021. Theo một thông báo trên các tài khoản mạng xã hội chính thức của họ, tin tặc đã giành được quyền truy cập vào mạng công ty của họ. May mắn thay, công ty đã thông báo rằng các bản sao lưu của họ vẫn còn nguyên vẹn.

Nhà sản xuất trò chơi cũng đã tiếp tục công bố một bản sao của giấy nhắn tiền chuộc do những kẻ tấn công để lại. Các tin tặc tuyên bố có bản sao mã nguồn của các trò chơi phổ biến - bao gồm Witcher 3, Gwent và Cyberpunk 2077. Tuy nhiên, CD Projekt Red nói rõ rằng họ sẽ không thương lượng với các tin tặc đứng sau vụ tấn công ác ý.

US Cellular - Mạng di động Hoa Kỳ

Nhà mạng lớn thứ tư tại Hoa Kỳ - US Cellular - đã trở thành nạn nhân của một vụ vi phạm dữ liệu vào ngày 6 tháng 1 năm 2021. Cuộc tấn công nhắm vào các nhân viên của tổ chức có quyền truy cập vào phần mềm quản lý quan hệ khách hàng.

Mặc dù thông báo vi phạm không có nhiều chi tiết về cuộc tấn công, nhưng chỉ những nhân viên mục tiêu mới rơi vào cảnh bị lừa đảo. Do đó, các cá nhân trái phép đã có quyền truy cập vào số điện thoại không dây của người tiêu dùng và chi tiết tài khoản. Theo Forbes, tin tặc này liên hệ với các nhân viên đóng giả là nhân viên hỗ trợ CNTT trong những sự cố như vậy. Do đó, chúng có thể truy cập từ xa một khi thuyết phục được nạn nhân làm theo hướng dẫn của chúng.

Nguồn: AgileIT