Đòi tiền chuộc đến 70 triệu USD, cuộc tấn công Ransomware lớn nhất thế giới được nhóm hacker REvil thực hiện như thế nào?

Một cuộc lây lan dây chuyền khổng lồ vào thứ Sáu tuần trước đã làm cho ít nhất hàng trăm, thậm chí hàng nghìn doanh nghiệp thế giới nhiễm ransomware. Trong số đó bao gồm cả công ty điều hành đường sắt, chuỗi nhà thuốc và hàng trăm cửa hàng thuộc thương hiệu Coop của Thụy Điển. Tổng số tiền chuộc mà nhóm này yêu cầu lên đến 70 triệu USD (hơn 1.611 tỷ VND). Đây được xem là cuộc tấn công mạng đòi tiền chuộc có quy mô lớn nhất thế giới từ trước đến nay.

Được thực hiện bởi băng nhóm tội phạm REvil khét tiếng có trụ sở tại Nga, cuộc tấn công là sự kết hợp chết người giữa ransomware và hệ thống dây chuyền chuỗi cung ứng. 

Các chuyên gia an ninh mạng đang bắt đầu hiểu làm thế nào mà giới hacker lại có thể phát động một cuộc tấn công quy mô lớn như vậy. 

Tất cả bắt đầu từ một lỗ hổng được phát hiện và sắp được vá trong quá trình cập nhật các dịch vụ CNTT của Kaseya, một công ty Mỹ chuyên phát triển phần mềm để quản lý thiết bị và hệ thống mạng doanh nghiệp. Sau đó công ty này lại bán các công cụ đó cho các công ty khác được gọi là “các nhà cung cấp dịch vụ được quản lý” (MSP).

Bằng cách “gieo mầm” ransomware thông qua cơ chế phân phối đáng tin cậy của Kaseya, những kẻ tấn công có thể làm lây nhiễm mã độc vào cơ sở hạ tầng mạng của Kaseya trong các MSP và sau đó tạo ra hiệu ứng domino khi những MSP đó vô tình phân phối phần mềm độc hại cho khách hàng của họ.

Sean Gallagher, một nhà nghiên cứu bảo mật cấp cao tại Sophos cho biết, “Điều đáng lo ngại là REvil đã sử dụng các ứng dụng đáng tin cậy để truy cập vào các mục tiêu. Thông thường, các tác nhân của ransomware cần nhiều lỗ hổng ở các giai đoạn khác nhau để thực hiện điều đó hoặc bỏ thời gian trên mạng để phát hiện mật khẩu quản trị viên. Đây là một bước cao hơn so với các cuộc tấn công ransomware thông thường.”

Nói một cách đơn giản, quyền Quản trị hệ thống / Máy chủ ảo (VSA), hệ thống bảo mật của Kasaya do MSP quản lý, đã bị xâm nhập và những bản cập nhật độc hại đã được gửi đến các máy khách. Hiện tại, vẫn chưa biết liệu những kẻ tấn công có truy cập vào tất cả các hệ thống trung tâm và lỗ hổng của Kaseya hay không.

Họ đã khai thác các máy chủ VSA riêng lẻ do MSP quản lý và đẩy các “bản cập nhật” độc hại từ đó cho các khách hàng của MSP. REvil dường như đã điều chỉnh các yêu cầu tiền chuộc — và thậm chí một số kỹ thuật tấn công của họ — dựa trên mục tiêu, thay vì thực hiện cùng một cách tiếp cận cho tất cả.

Thật không may, thời điểm xảy ra cuộc tấn công cũng là lúc các nhà nghiên cứu bảo mật vừa xác định được lỗ hổng cơ bản trong hệ thống cập nhật Kaseya. Wietse Boonstra của Viện nghiên cứu Lỗ hổng bảo mật Hà Lan đã làm việc với Kaseya để phát triển và kiểm tra các bản vá cho lỗ hổng này. Các bản sửa lỗi gần như được phát hành, nhưng vẫn chưa được triển khai vào thời điểm REvil xuất hiện.

Victor Gevers, một nhà nghiên cứu từ Viện nghiên cứu Lỗ hổng bảo mật của Hà Lan cho biết: “Chúng tôi đã làm hết sức mình và Kaseya đã làm hết sức của họ. Tôi nghĩ đó là một lỗ hổng dễ tìm thấy. Đây rất có thể là lý do khiến những kẻ tấn công giành chiến thắng ở chặng nước rút cuối cùng ”.

Các hacker cũng tấn công các ứng dụng VSA dựa trên Windows. Các “thư mục làm việc” của VSA, thường hoạt động như một "khu vườn" có tường bao quanh đáng tin cậy bên trong các máy đó, có nghĩa là các công cụ quét bảo mật được dạy để bỏ qua bất cứ điều gì chúng đang làm, cung cấp một vỏ bọc để che giấu mối đe dọa. Phần mềm sau đó sẽ chạy một loạt lệnh để ẩn hoạt động độc hại khỏi Microsoft Defender.

Cuối cùng, virus đã khiến trình cập nhật Kesaya khởi chạy phiên bản hợp pháp của Dịch vụ chống phần mềm độc hại Microsoft, tuy nhiên đây là phiên bản đã lỗi thời, hết hạn. Sau khi xâm nhập, phần mềm độc hại tiến hành mã hóa dữ liệu trên thiết bị. Hơn nữa, nó khiến nạn nhân khó lấy lại thông tin của họ từ các bản sao lưu để hacker có thể yêu cầu tiền chuộc.

Gevers nói rằng trong hai ngày qua, số lượng máy chủ VSA có thể truy cập mở trên Internet đã giảm từ 2.200 xuống dưới 140, do các MSP cố gắng làm theo lời khuyên của Kesaya và đưa chúng vào chế độ ngoại tuyến.

Kaseya đã cung cấp các bản cập nhật và đảm bảo với người dùng rằng đang thực hiện kế hoạch khôi phục.

Về lý do tại sao REvil lại tiếp tục gia tăng chiến thuật của mình theo một cách rất manh động như vậy sau khi thu hút rất nhiều sự chú ý, các nhà nghiên cứu nói rằng điều quan trọng là phải nhớ mô hình kinh doanh của REvil. Chúng không hoạt động một mình mà cấp phép ransomware cho một mạng lưới các chi nhánh khác, điều hành các hoạt động của riêng họ và sau đó chỉ cần chia một phần lợi nhuận cho REvil.

“Thật sai lầm khi nghĩ về điều này chỉ là về REvil — đó là một tác nhân liên kết mà nhóm REvil sẽ có quyền kiểm soát hạn chế,” Brett Callow, một nhà phân tích mối đe dọa bảo mật tại công ty chống virus Emsisoft cho biết. Ông không cho rằng tình trạng này sẽ sớm dừng lại. "Có bao nhiêu tiền là quá nhiều đâu?"

Tham khảo: Wired