FBI cảnh báo về chiến dịch tấn công mạng đa quốc gia, nêu 4 bước người dùng internet cần làm để bảo vệ dữ liệu

Trong bối cảnh phức tạp của mạng internet nói chung và mạng xã hội nói riêng, những hình thức lừa đảo xuất hiện dưới nhiều hình hài. Không chỉ đơn giản là tấn công giả mạo (phishing), kỹ nghệ xã hội (social engineering, hay hiểu đơn giản là thao túng tâm lý nạn nhân), hay bấm vào các liên kết độc hại, kẻ gian đang liên tục làm mới mình để hiệu quả hơn.

Mới đây, Cục Điều tra Liên bảng Mỹ (FBI) cảnh báo về một chiến dịch tấn công mạng lớn, áp dụng những hình thức phi lừa đảo và ransomware (những phần mềm độc hại có thể khóa phần cứng và đòi tiền chuộc).

Có tên gọi “Ghost - Hồn ma”, chiến dịch lớn của tổ chức tin tặc đã khiến FBI phải lập tức buông lời cảnh báo tới công chúng, đồng thời cung cấp một số biện pháp giúp người dùng tự bảo vệ mình.

FBI đưa ra cảnh báo khẩn cấp

Ngày 19/2, FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã đưa ra cảnh báo bảo mật chung AA25-050A , cảnh báo về nhóm tin tặc nguy hiểm mang tên Ghost. Nhóm này đang thực hiện hàng loạt cuộc tấn công nhắm vào nhiều tổ chức trên hơn 70 quốc gia.

Cuộc tấn công đầu tiên đã được ghi nhận vào đầu năm 2021, khi các tin tặc của nhóm Ghost khai thác lỗ hổng có trong hệ thống chưa được cập nhật bảo mật. Cuộc tấn công gần đây nhất diễn ra vào tháng 1/2025.

Theo FBI, những thành viên của nhóm này sử dụng nhiều tên khác nhau, bao gồm Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada và Rapture. Một số file ransomeware được sử dụng trong chiến dịch có tên Cring.exe, Ghost.exe, ElysiumO.exe và Locker.exe.

Tuy nhiên, phương thức tấn công của chúng không thay đổi: thay vì sử dụng hình thức lừa đảo qua email, tương tự nhiều những cuộc tấn công ransomware hiện nay, Ghost tận dụng các mã lập trình đã được công khai để tấn công các lỗ hổng bảo mật còn tồn tại trên các phần mềm, firmware. Nhóm nhắm tới các máy chủ có kết nối internet, sau đó triển khai mã độc ransomware trên các máy trong hệ thống.

"FBI đã quan sát thấy nhóm tin tặc Ghost xâm nhập ban đầu vào hệ thống bằng cách khai thác các ứng dụng có kết nối công khai, liên quan đến nhiều lỗ hổng bảo mật phổ biến (CVE). Phương thức tấn công của chúng bao gồm lợi dụng các lỗ hổng trong thiết bị Fortinet FortiOS, máy chủ chạy Adobe ColdFusion, Microsoft SharePoint và Microsoft Exchange, thường được gọi là chuỗi tấn công ProxyShell”, cảnh báo của FBI viết.

FBI đưa ra 4 bước nên làm để bảo vệ chính mình

Trước chiến dịch tấn công mạng lớn, FBI khuyên mọi người nên:

1. Sao lưu hệ thống, lưu trữ dữ liệu tách biệt khỏi hệ thống gốc, cài đặt sao cho chúng không thể bị chỉnh sửa hoặc mã hóa bởi các thiết bị trong mạng khác, tránh trường hợp đã có máy “nhiễm độc”.

2. Vá các lỗ hổng bảo mật đã biết bằng cách cập nhật kịp thời hệ điều hành, phần mềm và firmware theo khung thời gian dựa trên mức độ rủi ro.

3. Phân đoạn mạng nội bộ để hạn chế khả năng lây nhiễm giữa các máy trong hệ thống.

4. Bắt buộc sử dụng xác thực đa yếu tố (MFA) chống lừa đảo cho tất cả tài khoản đặc quyền và tài khoản dịch vụ email.

Các chuyên gia bảo mật nói gì?

“Ghost là một tác nhân đe dọa cấp quốc gia nguy hiểm mà các tổ chức phải nỗ lực tự bảo vệ mình , Juliette Hudson, Giám đốc Công nghệ tại CybaVerse, cho biết. “Nhóm này đang tích cực khai thác các lỗ hổng bảo mật (CVE) đã biết trong các công nghệ phổ biến, điều này nhấn mạnh tầm quan trọng của việc ưu tiên vá lỗi và khắc phục sự cố”.

Joe Silva, CEO của Spektion, đồng ý rằng các cuộc tấn công bằng ransomware Ghost cho thấy rõ hacker đang khai thác những lỗ hổng sinh ra từ việc quá tải: đội ngũ an ninh đang phải cật lực vá những lỗ hổng xuất hiện với mật độ lớn.

“Điều này chứng minh rằng các phương pháp quản lý lỗ hổng bảo mật cũ không thể theo kịp số lượng lỗ hổng ngày càng gia tăng mà tin tặc đang khai thác”, Silva cảnh báo.

Cuối cùng, Tim Mackey, trưởng bộ phận chiến lược rủi ro chuỗi cung ứng phần mềm tại Black Duck, cho biết các cuộc tấn công nhắm vào các phần cứng cũ và Internet of Things (IoT) là điều có thể dự đoán trước. Do đó, cần phải lập kế hoạch đối phó như một phần trong yêu cầu vận hành của thiết bị.

“Tin tặc hiểu rằng các phương pháp bảo mật luôn phát triển”, Mackey nói. “Ngay cả một thiết bị được coi là an toàn nhất cách đây một thập kỷ cũng có thể rất dễ bị tấn công theo tiêu chuẩn ngày nay, chưa kể đến những cuộc tấn công có thể xảy ra trong tương lai”.

Vì vòng đời sử dụng của bất kỳ thiết bị vật lý được tính bằng năm, thậm chí hàng thập kỷ, “các tổ chức khi mua sắm những thiết bị này cần hợp tác chặt chẽ với nhà cung cấp để xây dựng một kế hoạch vận hành và giảm thiểu rủi ro dài hạn. Kế hoạch này không chỉ đảm bảo khả năng cập nhật bản vá mà còn bao gồm việc chia sẻ chủ động các kịch bản mối đe dọa”, ông Mackey kết luận.

Theo Forbes