Các nhà nghiên cứu cho biết hôm thứ 7 rằng một cuộc tấn công bằng ransomware (mã độc tống tiền) nhằm vào một công ty CNTT lớn của Mỹ có khả năng nhắm vào 1.000 doanh nghiệp. Sau khi xảy ra cuộc tấn công này, một trong những chuỗi siêu thị lớn nhất Thụy Điển tiết lộ rằng họ đã phải tạm thời đóng cửa khoảng 800 cửa hàng của mình sau khi mất quyền truy cập vào các hệ thống thanh toán.

Kaseya cho biết vào tối thứ 6 rằng những kẻ tấn công đã nhắm mục tiêu vào một tỷ lệ nhỏ khách hàng của Kaseya –những người sử dụng phần mềm VSA đặc trưng của Kaseya - “hiện ước tính có khoảng dưới 40 khách hàng của Kaseya trên toàn thế giới sử dụng phần mềm này.”

Tuy nhiên, công ty an ninh mạng Huntress Labs cho biết trên diễn đàn Reddit rằng họ đang làm việc với các đối tác bị nhắm mục tiêu trong cuộc tấn công này và phần mềm tấn công này đã bị thao túng “để mã hóa hơn 1.000 công ty”.

Các tin tặc có trụ sở tại Nga đã bị đổ lỗi cho một loạt các cuộc tấn công bằng mã độc tống tiền (ransomware). Trước đó, Tổng thống Mỹ Joe Biden đã đưa vấn đề tấn công an ninh mạng này ra để tọa đàm với người đồng cấp Nga Vladimir Putin.

Hôm thứ 7, ông Biden đã yêu cầu ngay lập tức một cuộc điều tra đầy đủ, đồng thời nói thêm rằng “suy nghĩ ban đầu là đó không phải là chính phủ Nga, nhưng chúng tôi chưa chắc chắn”.

Brett Callow, một nhà phân tích của công ty an ninh mạng Emsisoft, cho biết họ vẫn chưa biết có bao nhiêu công ty bị ảnh hưởng và cho biết quy mô ảnh hưởng của cuộc tấn công có thể rất lớn.

Các cuộc tấn công ransomware thường liên quan đến việc khóa dữ liệu trong hệ thống bằng cách sử dụng mã hóa, khiến các công ty phải trả tiền để lấy lại quyền truy cập.

Kaseya tự mô tả mình là nhà cung cấp hàng đầu các dịch vụ quản lý bảo mật và CNTT cho các doanh nghiệp vừa và nhỏ.

VSA, sản phẩm hàng đầu của công ty, được thiết kế để cho phép các công ty quản lý mạng máy tính và máy in từ một điểm duy nhất.

Co-op Thụy Điển, công ty chiếm khoảng 20% thị phần trong lĩnh vực siêu thị của đất nước, cho biết trong một tuyên bố rằng: “Một trong những nhà thầu phụ của chúng tôi đã bị tấn công kỹ thuật số và đó là lý do tại sao việc thanh toán của chúng tôi không hoạt động nữa. Chúng tôi rất tiếc về tình huống này và sẽ làm tất cả những gì có thể để mở cửa trở lại nhanh chóng”.

Co-op Thụy Điển không nêu rõ tên nhà thầu nào trong thông báo này nhưng công ty con Thụy Điển của tập đoàn phần mềm VSA cho biết vấn đề này có liên quan đến vụ tấn công Kaseya.

Trước đó, vào giữa trưa ngày thứ 6 ở Bờ Đông Mỹ, Kaseya đã thông báo về một sự cố có thể xảy ra với VSA và “đóng cửa ngay lập tức” các máy chủ của mình như một “biện pháp phòng ngừa".

Kaseya cũng thông báo cho khách hàng qua email kèm theo ghi chú trong phần mềm VSA và điện thoại để tắt máy chủ VSA của họ nhằm ngăn ngừa việc họ bị xâm phạm.

Công ty cho biết trong một tuyên bố: “Chúng tôi tin rằng chúng tôi đã xác định được nguồn gốc của lỗ hổng bảo mật và đang chuẩn bị một bản sửa chữa để giảm thiểu những thiệt hại mà nó gây ra”.

Theo Nhóm Ứng cứu Khẩn cấp Máy tính của chính phủ New Zealand, những kẻ tấn công đến từ một nhóm tấn công có tên Revil của Nga.

Theo Cục Điều tra Liên bang Mỹ (FBI), REvil đứng sau cuộc tấn công hồi tháng trước nhằm vào JBS, một trong những nhà chế biến thịt lớn nhất thế giới, kết thúc bằng việc công ty thịt có trụ sở tại Brazil này phải trả số bitcoin trị giá 11 triệu USD cho các tin tặc.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cho biết họ đang “hành động để hiểu và giải quyết cuộc tấn công ransomware vào chuỗi cung ứng gần đây” chống lại Kaseya VSA và các nhà cung cấp dịch vụ sử dụng phần mềm của họ.

Hội đồng Bảo an Liên Hợp Quốc trong tuần này đã tổ chức cuộc họp công khai chính thức đầu tiên về an ninh mạng, giải quyết mối đe dọa ngày càng tăng của các cuộc tấn công mạng đối với cơ sở hạ tầng quan trọng của các quốc gia.

Một số thành viên Hội đồng Bảo an thừa nhận những mối nguy hiểm nghiêm trọng do tội phạm mạng gây ra, đặc biệt là các cuộc tấn công ransomware vào các công ty và cơ sở lắp đặt lớn.

Nhiều công ty Mỹ, bao gồm cả tập đoàn máy tính SolarWinds và đường ống dẫn dầu Colonial, gần đây cũng đã trở thành mục tiêu của các cuộc tấn công bằng mã độc tống tiền (ransomware).

FBI đã đổ lỗi cho các cuộc tấn công đó là do các tin tặc có trụ sở trên lãnh thổ Nga.

Gerome Billois, chuyên gia an ninh mạng của công ty tư vấn Wavestone cho biết: Nhưng thông thường, “tội phạm mạng hoạt động theo từng công ty”.

Ông nói: “Trong trường hợp này, họ đã tấn công một công ty cung cấp phần mềm quản lý hệ thống dữ liệu, cho phép họ nhắm mục tiêu đồng thời vào hàng trăm công ty”.

Billois cho biết việc xác định chính xác có bao nhiêu công ty bị nhắm mục tiêu là rất khó, vì các công ty bị ảnh hưởng đã mất hệ thống liên lạc của họ cùng một lúc.

Kaseya đã kêu gọi khách hàng của mình đóng các máy chủ chạy nền tảng VSA, nhưng ta không thể biết liệu hệ thống đã bị tắt “tự nguyện hay buộc phải tắt”.

Alfred Saikali của công ty luật Shook, Hardy & Bacon cho biết: “Đây là một trong những cuộc tấn công ransomware lớn nhất, lan rộng nhất mà tôi từng thấy trong sự nghiệp của mình.

Ông nói thêm: “Tôi chưa bao giờ thấy nhiều công ty thuê chúng tôi tư vấn các vấn đề về pháp lý trong một ngày cho cùng một vụ việc như trên. Theo nguyên tắc chung, bạn muốn tránh việc tấn công và những thiệt hại nặng nề thì bạn phải trả tiền chuộc bằng mọi giá, bất kể số tiền đó là bao nhiêu”.

Huy Hoàng