Tấn công ransomware phá kỷ lục trong tháng 7

Các cuộc tấn công bằng ransomware đã đạt mức cao kỷ lục vào tháng 7/2023, do việc khai thác phần mềm MOVEit của nhóm ransomware Cl0p.

Trong một báo cáo mới do nhóm tình báo mối đe dọa toàn cầu của NCC Group công bố, các nhà phân tích đã quan sát thấy mức kỷ lục các cuộc tấn công mạng liên quan đến ransomware vào tháng trước với 502 sự cố lớn. Theo các nhà nghiên cứu, con số này cho thấy mức tăng 154% so với cùng kỳ năm trước với 198 cuộc tấn công được phát hiện vào tháng 7/2022.

So với tháng trước, con số trong tháng 7 cho thấy mức tăng 16% với 434 sự cố ransomware được ghi nhận vào tháng 6/2023.

NCC Group cho rằng con số kỷ lục này một là do hoạt động của Cl0P, một nhóm ransomware khét tiếng có liên quan đến việc khai thác phần mềm MOVEit.

Cl0p là ai?

Cl0p, còn được biết đến hoặc có liên quan đến Lace Tempest, chịu trách nhiệm cho 171 trong số 502 cuộc tấn công trong tháng 7, nhiều vụ trong số đó được cho là do việc khai thác phần mềm truyền tệp tin MOVEit.

Cl0p đã xuất hiện từ năm 2019 và được biết đến như một dịch vụ ransomware (RaaS) dành cho tội phạm mạng. Còn được gọi hoặc được liên kết với TA505, Cl0p đã tích cực theo đuổi các mục tiêu có giá trị cao với mục đích đòi các khoản chuộc lớn và các những kẻ điều hành sẽ đôi khi đánh cắp thông tin trước khi mã hóa theo chiến thuật được gọi là “chiến thuật tống tiền kép”.

Nếu nạn nhân từ chối trả tiền chuộc, dữ liệu bị đánh cắp của họ có nguy cơ bị công bố trực tuyến và bị nêu tên trên một trang web rò rỉ công khai.

Khai thác MOVEit

Việc khai thác MOVEit đã ảnh hưởng đến hàng trăm tổ chức trên toàn thế giới, khiến dữ liệu của hàng triệu cá nhân bị đánh cắp.

Vào tháng 5, Progress Software đã báo cáo lỗ hổng zero-day trong dịch vụ truyền tệp tin MOVEit Transfer và MOVEit Cloud, có thể dẫn đến leo thang các đặc quyền và truy cập trái phép vào các môi trường của khách hàng. Vấn đề là MOVEit được sử dụng bởi các cơ quan chính phủ và các ngành có quy định chặt chẽ, cả trực tiếp và thông qua các chuỗi cung ứng phần mềm.

Các nạn nhân liên quan bao gồm Bộ Năng lượng Mỹ, Shell, BBC, Ofcom, Trung tâm nghiên cứu National Student Clearinghouse và nhiều trường đại học Mỹ.

Các ngành bị ảnh hưởng

Tổng cộng, lĩnh vực công nghiệp chiếm 31% các cuộc tấn công bằng ransomware tương đương 155 sự cố được ghi nhận.

Những công ty bị ảnh hưởng chủ yếu trong lĩnh vực này là các công ty dịch vụ nghề nghiệp và thương mại, sản xuất, xây dựng và kỹ thuật. Theo các nhà nghiên cứu, các dịch vụ nghề nghiệp và thương mại là mục tiêu tấn công nhiều nhất trong tháng 7, với các nhóm ransomware Cl0p, LockBit 3.0 và 8Base chịu trách nhiệm tới 48% tổng số vụ tấn công mạng được ghi nhận.

Trong khi các lĩnh vực này phải hứng chịu số vụ tấn công ransomware cao nhất từ đầu năm đến nay thì ngành tiêu dùng đứng thứ hai với 79 vụ tấn công tương đương 16% tổng số vụ trong tháng 7. Các đại diện cho lĩnh vực gồm khách sạn và giải trí, truyền thông, bán lẻ, xây dựng nhà ở, ô tô...

Đứng thứ ba là ngành công nghệ với 72 vụ tấn công tương đương 14% số vụ tấn công hàng tháng. NCC Group cho biết ngành này "đã trải qua mức tăng cao nhất trong 3 lĩnh vực hàng đầu của tháng và điều này có thể là do hoạt động của Cl0p."

Cl0p gây ra 39 cuộc tấn công mạng nhằm vào lĩnh vực này, tương đương 54%, bao gồm những cuộc tấn công nhằm vào các tổ chức cung cấp dịch vụ phần mềm và CNTT, các nhà cung ứng bán dẫn, điện tử tiêu dùng và viễn thông.

Nhóm ransomware mới xuất hiện

Sau Cl0p, Lockbit 3.0 là nhóm ransomware hoạt động mạnh thứ hai trong tháng 7, gây ra 50 cuộc tấn công, tương đương 10%. Mặc dù con số này là giảm 17% so với tháng trước, nhưng tháng 7 cũng là thời điểm các tác nhân đe dọa mới đổi thương hiệu công bố sự hiện diện của chúng.

Ví dụ, Noescape được cho là thương hiệu mới của Avaddon, đã đóng cửa sau khi gửi hàng nghìn khóa giải mã đến một cơ quan truyền thông vào năm 2021 gây ra 16 trong số các cuộc tấn công được ghi lại, cùng với các cuộc tấn công khác bao gồm 8Base, BianLian, BlackCat, Play và Cactus.

Matt Hull, Giám đốc toàn cầu về tình báo mối đe dọa tại NCC Group nhận xét: “Nhiều tổ chức vẫn đang phải đối mặt với tác động của cuộc tấn công MOVEit do Cl0p gây ra. Điều này cho thấy các cuộc tấn công bằng ransomware có thể lan rộng và lâu dài như thế nào - không tổ chức hay cá nhân nào được an toàn. Chiến dịch này đặc biệt quan trọng vì Cl0p có thể tống tiền hàng trăm tổ chức bằng cách xâm phạm một môi trường. Bạn không chỉ cần cảnh giác trong việc bảo vệ môi trường của chính mình mà còn phải hết sức chú ý đến các giao thức bảo mật của nơi bạn làm việc cùng như chuỗi cung ứng của bạn"./.