Mới đây, một cuộc tấn công bằng ransomware (mã độc tống tiền) vào một công ty CNTT của Mỹ có khả năng ảnh hưởng tới 1.000 doanh nghiệp. Một trong những chuỗi siêu thị lớn nhất của Thụy Điển tiết lộ rằng họ đã phải tạm thời đóng cửa khoảng 800 cửa hàng sau khi mất quyền truy cập vào các thanh toán.

Embed from Getty Images

Hôm thứ Sáu (2/7), các tin tặc đã chiếm đoạt phần mềm quản lý công nghệ được sử dụng rộng rãi từ công ty công nghệ thông tin Kaseya của Mỹ chuyên cung cấp dịch vụ an ninh mạng cho các doanh nghiệp vừa và nhỏ. Chúng thay đổi bộ công cụ được gọi là VSA dùng để quản lý máy chủ, máy tính để bàn, thiết bị mạng và máy in của các công ty nhỏ và vừa.

Kaseya cho biết tối thứ Sáu (2/7) rằng họ đã cố gắng giới hạn vụ tấn công để nó chỉ có thể ảnh hưởng đến một tỷ lệ nhỏ khách hàng đang sử dụng phần mềm VSA của hãng. 

Tuy nhiên, công ty an ninh mạng Huntress Labs cho biết trong một diễn đàn Reddit rằng họ đang làm việc với các đối tác bị nhắm mục tiêu trong cuộc tấn công và phần mềm này đã bị thao túng “để mã hóa hơn 1.000 công ty.”

Các doanh nghiệp bị ảnh hưởng có các tệp được mã hóa kèm theo các thông điệp điện tử yêu cầu thanh toán tiền chuộc lên tới hàng nghìn hoặc hàng triệu đô la.

Huntress Labs hôm thứ Sáu cho biết họ tin rằng băng đảng ransomware REvil có liên hệ với Nga là nguyên nhân gây ra vụ tấn công ransomware mới nhất này. Tháng trước, FBI đã đổ lỗi cho chính nhóm này vì đã làm tê liệt công ty đóng gói thịt JBS.

Tổng thống Joe Biden hôm thứ Bảy cho biết ông đã chỉ đạo các cơ quan tình báo Mỹ điều tra kẻ đứng sau vụ tấn công, và Mỹ sẽ đáp trả nếu Nga được xác định là bên gây ra sự cố. 

Trong hội nghị thượng đỉnh tại Geneva vào ngày 16/6, ông Biden kêu gọi Tổng thống Nga Vladimir Putin truy quét các tin tặc mạng đến từ Nga, đồng thời cảnh báo về hậu quả nếu các cuộc tấn công ransomware như vậy tiếp tục gia tăng.

Ông Biden cũng cho biết ông sẽ nhận được một bản thông báo tóm tắt về cuộc tấn công mới nhất vào Chủ nhật.

John Hammond, nhà nghiên cứu bảo mật cấp cao của Huntress, đã đề cập đến một kỹ thuật ngày càng cao của hacker nhằm chiếm quyền điều khiển phần mềm để xâm nhập hàng trăm hoặc hàng nghìn người dùng cùng một lúc.

Trong một tuyên bố hôm thứ Sáu, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ cho biết họ đang “hành động để nắm bắt và giải quyết cuộc tấn công ransomware gần đây” nhằm vào sản phẩm VSA của Kaseya.

Coop, một trong những chuỗi cửa hàng tạp hóa lớn nhất Thụy Điển, cho biết một công cụ được sử dụng để cập nhật từ xa thông tin thanh toán của họ đã bị ảnh hưởng bởi cuộc tấn công, vì vậy họ không thể thực hiện thanh toán.

“Chúng tôi đã khắc phục sự cố và khôi phục suốt đêm, nhưng chúng tôi sẽ phải đóng cửa các cửa hàng trong ngày hôm nay”, người phát ngôn của Coop, Therese Knapp nói với Đài truyền hình Thụy Điển.

Hãng thông tấn Thụy Điển TT cho biết công nghệ của Kaseya đã được sử dụng bởi công ty Thụy Điển Visma Esscom, công ty quản lý máy chủ và thiết bị cho một số doanh nghiệp Thụy Điển.

Các dịch vụ đường sắt của tiểu bang và một chuỗi nhà thuốc cũng bị gián đoạn.

“Họ đã bị tấn công ở nhiều mức độ khác nhau,” giám đốc điều hành của Visma Esscom, Fabian Mogren, nói với TT.

Bộ trưởng Quốc phòng Peter Hultqvist nói trên đài truyền hình Thụy Điển rằng cuộc tấn công là “rất nguy hiểm” và cho thấy doanh nghiệp và các cơ quan nhà nước cần cải thiện khả năng chuẩn bị của họ như thế nào.

Ông nói: “Trong một tình huống địa chính trị khác, có thể các tác nhân chính phủ tấn công chúng ta theo cách này để đóng cửa xã hội và tạo ra hỗn loạn.”

Các cuộc tấn công chuỗi cung ứng đã trở thành ưu tiên hàng đầu trong chương trình nghị sự về an ninh mạng sau khi Hoa Kỳ cáo buộc tin tặc hoạt động theo chỉ đạo của chính phủ Nga và giả mạo một công cụ giám sát mạng do công ty phần mềm SolarWinds của Texas xây dựng.

Nhật Minh (theo CNA)

Xem thêm: