Ngày 2/7, một nhóm hacker đã đột nhập vào phần mềm của Kaseya và dùng ransomware để tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này. Kaseya là một công ty công nghệ có trụ sở tại Miami (Mỹ), chuyên cung cấp công cụ cho các doanh nghiệp chuyên gia công phần mềm và các tiện ích khác, chủ yếu cho các công ty vừa và nhỏ.

REvil được cho là một nhóm hacker quan tâm đến tài chính, không liên quan đến các tổ chức chính trị. Ảnh: Lifars.

Vụ tấn công đã dẫn tới một phản ứng dây chuyền liên quan đến các doanh nghiệp không chỉ ở Mỹ, mà còn trên toàn cầu. Ngày 5/7, CEO của Kaseya xác nhận có khoảng 800 đến 1.500 doanh nghiệp trên khắp thế giới bị ảnh hưởng.

Theo các chuyên gia bảo mật, vụ Kaseya được xem là một trong những đợt tấn công bằng ransomware có quy mô lớn kỷ lục từ trước tới nay. Công ty an ninh mạng Eset thống kê khoảng 10 quốc gia bị ảnh hưởng, gồm cả trường học, các cơ quan thuộc chính phủ, ngân hàng, các tổ chức du lịch và giải trí.

Cũng trong 5/7, tổ chức hacker REvil đã nhận trách nhiệm, đồng thời yêu cầu 70 triệu USD tiền chuộc. Trong quá khứ, nhóm này đã tấn công một loạt các tổ chức và doanh nghiệp khác.

REvil là ai

Satnam Narang, chuyên gia của công ty bảo mật Tenable, cho biết tên gọi của REvil là sự kết hợp của từ “ransomware” và “evil”. Nhóm này còn được gọi với cái tên khác là Sodinokibi.

Khác với các tổ chức hacker thường ẩn giấu danh tính, các thông tin về REvil được công khai trên dark web. Một thành viên giấu tên trên diễn đàn tội phạm mạng XSS cho biết nhóm tin tặc này đang ở “đỉnh cao sự nghiệp” và tuyên bố đây là cuộc tấn công lớn nhất từ trước đến nay của họ. Tuy nhiên, việc tìm ra người cầm đầu REvil là thực sự khó khăn, bởi chúng hoạt động theo hệ thống cấu trúc riêng lẻ, khó xác định hành tung.

Ransomware mà REvil dùng để tấn công là một loại mã độc thường mã hóa dữ liệu hoặc mạng máy tính của nạn nhân. Các hacker sau đó yêu cầu một khoản tiền chuộc để giải mã thông tin hoặc cam kết không bán bí mật tài liệu ra ngoài.

Giới bảo mật xác nhận REvil “có khả năng rất cao” xuất phát từ Nga. Dữ liệu phân tích từ ransomware mà nhóm này dùng để tấn công cho thấy mã nguồn của phần mềm tống tiền này được viết để qua mặt các máy tính sử dụng tiếng Nga. Bài đăng của REvil cũng được biết bằng tiếng Nga. Tổ chức này thậm chí còn đang tìm cách tuyển dụng thành viên để mở rộng chi nhánh.

Những người đứng sau REvil được cho là có liên quan đến một ransomware “khét tiếng” khác là GandCrab – mã độc được sử dụng lần đầu tiên vào năm 2018, chủ yếu để tấn công các công ty chăm sóc sức khỏe, theo Fortune. Nhóm hacker đứng sau GandCrab đã tuyên bố “nghỉ hưu” vào 2019 và “khoe” đã đánh cắp được hơn 2 tỷ USD tiền chuộc. Cùng năm, Belarus cho biết đã bắt giữ một hacker có quan hệ với GandCrab.

Tony Cook, chuyên gia về ransomware tại GuidePoint Security, cho biết REvil dường như được “truyền cảm hứng” từ GandCrab. Hai nhóm sử dụng công cụ và kỹ thuật hack tương tự nhau. Thậm chí, ông nghi ngờ một số thành viên cũ của GandCrab đã tham gia mạng lưới REvil sau khi tan rã.

REvil muốn gì?

REvil thực hiện các cuộc tấn công được mô tả là “vô cùng tinh vi”, sau đó yêu cầu tiền chuộc từ các nạn nhân. Nếu không nghe theo, chúng sẽ đe dọa tiết lộ dữ liệu và thông tin lên dark web.

Theo Narang, REvil cũng hoạt động như một doanh nghiệp chuyên bán công nghệ hack và các công cụ khác cho hacker bên thứ ba. Các thành viên của REvil tạo ra cơ sở hạ tầng trực tuyến trên dark web, đăng tài liệu bị đánh cắp và kiếm các khoản thanh toán ransomware từ nạn nhân.

Jack Cable, kiến trúc sư bảo mật tại công ty tư vấn an ninh mạng Krebs Stamos Group, cho rằng không giống như các hacker khác có liên quan đến chính phủ nào đó, REvil chỉ nhắm mục tiêu động cơ tài chính. Cable đã thử liên hệ với đại diện của REvil và đã ngạc nhiên khi có thể mặc cả dữ liệu mua bán. Nhóm cũng như chấp nhận Bitcoin làm phương thức thanh toán thay vì yêu cầu ban đầu là đồng Monero vốn khó bị theo dõi hơn.

Cũng theo Cable, những nhóm hacker như REvil nguy hiểm hơn các nhóm có liên quan đến chính phủ vì chúng “sẵn sàng đánh sập bệnh viện”. Theo ông, các nhóm hacker do chính phủ hậu thuẫn thường hoạt động theo “các quy tắc và chuẩn mực bất thành văn”, nghĩa là họ tránh các vụ hack có thể giết người và làm tê liệt bệnh viện nằm trong số không được phép đó.

Các nạn nhân

Năm 2019 được xem là lần đầu tiên REvil tổ chức tấn công mạng quy mô lớn. Khi đó, nhóm này đã nhắm vào hệ thống máy tính của 22 thị trấn thuộc Texas (Mỹ), chiếm quyền điều khiển, lây nhiễm ransomware và đòi 2,5 triệu USD tiền chuộc, theo ZDnet.

Ngoài vụ tấn công Kaseya, REvil từng thực hiện nhiều vụ gây rúng động khác. Chẳng hạn, hồi tháng 3, nhóm này đã xâm nhập vào hệ thống của Quanta Computer – đối tác của Apple – và đánh cắp một số bản thiết kế các sản phẩm mới chưa ra mắt của “Táo Khuyết”.

Các hình ảnh sau đó được đăng tải bao gồm số serie linh kiện, kích thước và dung lượng cụ thể mô tả chi tiết nhiều bộ phận hoạt động bên trong máy tính xách tay Apple. Một trong những hình ảnh có chữ ký của nhà thiết kế John Andreadis. REvil đã yêu cầu Apple trả khoản tiền chuộc 50 triệu USD trước ngày 1/5.

Ngày 31/5, JBS – một trong những doanh nghiệp chế biến thịt lớn nhất thế giới – cho biết công ty đã bị tấn công mạng và bị yêu cầu phải trả 11 triệu USD tiền chuộc bằng Bitcoin. FBI sau đó điều tra và xác nhận REvil là những kẻ đứng sau.

REvil cũng thừa nhận đã tấn công vào các công ty luật Grubman, Shire, Meiselas & Sacks tại New York, tuyên bố đã lấy được nhiều tài liệu liên quan đến cựu Tổng thống Mỹ Donald Trump. Năm 2019, nhóm này cũng tấn công một nhóm thư ký bầu cử ở Louisiana. Chính quyền dưới thời Tổng thống Trump đã chỉ định REvil là một nhóm khủng bố.

Trong một cuộc họp tại Phòng Tình huống với các cố vấn an ninh mạng hàng đầu nước Mỹ, Tổng thống Joe Biden cho biết “sẽ đưa ra phản ứng” với Tổng thống Nga Vladimir V. Putin về làn sóng tấn công ransomware từ các nhóm hacker Nga nhằm vào các công ty Mỹ sắp tới.

Tổng hợp