Canon thừa nhận bị mã độc ransomware tấn công

Một ngày sau khi Canon bị nghi ngờ trở thành nạn nhân mới nhất của một cuộc tấn công bằng ransomware, một thông báo nội bộ gửi cho nhân viên của Canon thừa nhận điều này đã bị tiết lộ với các phương tiện truyền thông.

Theo Bleeping Computer, nhà sản xuất máy ảnh đã gửi một lưu ý cho nhân viên xác nhận rằng, ransomware là nguyên nhân gây ra sự cố trên trang web (tại Mỹ), email, các nền tảng cộng tác và các hệ thống nội bộ khác nhau của hãng.

Theo thông báo: "Canon USA, Inc. và các công ty con của Canon hiểu tầm quan trọng của việc duy trì tính toàn vẹn các hoạt động và bảo mật hệ thống. Quyền truy cập vào một số hệ thống của Canon hiện không khả dụng do sự cố ransomware mà chúng tôi đã phát hiện ra. Điều này không liên quan đến vấn đề gây ảnh hưởng đến image.canon gần đây".

Khi được yêu cầu xác nhận, về phần mình, Canon cho Threatpost biết: "Chúng tôi hiện đang điều tra tình hình".

Băng nhóm Maze ransomware thừa nhận đã gây ra sự cố ngừng hoạt động nói trên, chúng tuyên bố đã có "10 terabyte dữ liệu, cơ sở dữ liệu riêng tư, v.v...". Điều này phù hợp với phương thức hoạt động của nhóm tội phạm này. Chúng thường đe dọa làm rò rỉ hoặc bán dữ liệu nhạy cảm nếu mục tiêu không trả tiền chuộc.

Trên thực tế, vào tháng 4, các nhà nghiên cứu đã cho biết, băng nhóm Maze đã tạo ra một trang web chuyên liệt kê danh tính của những nạn nhân không hợp tác với chúng và thường xuyên công bố các mẫu dữ liệu bị đánh cắp, thông tin chi tiết về hàng chục công ty, bao gồm các công ty luật, nhà cung cấp dịch vụ y tế và công ty bảo hiểm, đã không chấp nhận yêu cầu của chúng.

Tiago Henriques - Nhà quản lý cao cấp về Bảo mật Khách hàng của Coalition cho biết: "Maze là một dòng ransomware đặc biệt độc hại. Bọn tội phạm tuyên bố sẽ đánh cắp dữ liệu của mục tiêu và đe dọa sẽ công khai dữ liệu đó nếu họ từ chối trả tiền chuộc. Các yêu cầu về tiền chuộc của chúng cũng đặc biệt tốn kém - lớn hơn xấp xỉ 5,5 lần so với mức trung bình".

Trang web của Canon tại Mỹ vẫn chưa hoạt động vào thời điểm viết bài này, thông báo trước đây "trang web đang được bảo trì tạm thời" giờ được thay thế bằng hình ảnh một khinh khí cầu và dòng chữ "Trang web của chúng tôi đang cập nhật. Hãy quay lại sớm! Trong thời gian chờ đợi, vui lòng ghé thăm: Canon Online Store hoặc Canon Forum".

Như những nội dung được đăng tải trên trang này thì các tài sản khác của Canon, bao gồm cả trang web toàn cầu của hãng, dường như không bị ảnh hưởng, có nghĩa là các biện pháp liên quan đến bảo mật của gã khổng lồ điện tử tiêu dùng này đã làm hạn chế thiệt hại.

Nếu vậy, theo các nhà nghiên cứu, Canon có thể tự coi mình là một trường hợp hiếm hoi. Tiago Henriques - Nhà quản lý cao cấp về bảo mật khách hàng của Coalition cho biết: "Trong các hoạt động tấn công giả định, chúng tôi thường có thể giành quyền kiểm soát hoàn toàn các hệ thống mạng từ 1 - 3 ngày và sự hiện diện của các sản phẩm bảo mật hiếm khi ngăn cản được chúng tôi khai thác hệ thống máy tính".

"Nhóm Maze đã chứng tỏ mình giỏi như các tổ chức kiểm tra bảo mật chuyên nghiệp và số tiền đáng kể kiếm được từ việc tống tiền các nạn nhân đã giúp họ phát triển các phương pháp khai thác, xâm nhập của riêng mình. Như thế, không có gì ngạc nhiên khi họ có thể xâm phạm nhiều mục tiêu lớn. Thực tế là rất khó để bảo vệ mình trước một đối thủ lành nghề".

Tình huống mà Canon bị tấn công bởi ransomware khá kỳ lạ, giống với cuộc tấn công gần đây vào Garmin. Trong trường hợp này, chuyên gia GPS Garmin đã phải trả một khoản tiền chuộc hàng triệu USD cho các tệp dữ liệu mà tội phạm lấy được.

Henriques của Coalition cho biết: "Ransomware đã bắt các doanh nghiệp làm con tin (theo nghĩa đen), các công cụ, chiến thuật và thủ tục mà các đối tượng tội phạm đang sử dụng thậm chí còn trở nên tiên tiến hơn trong những tháng gần đây. Chỉ trong nửa đầu năm 2020, chúng tôi đã quan sát thấy sự gia tăng 279% tần suất các cuộc tấn công ransomware".