Thêm một nhà cung cấp hosting lớn bị mã độc tống tiền tấn công

Thứ bảy (9/11) vừa qua, SmarterASP.NET cho biết đã bị tấn công bởi mã độc tống tiền (ransomware). SmarterASP.NET là một trong những công ty cung cấp dịch vụ lưu trữ chất lượng tốt hiện nay. Hiện SmarterASP.NET đang cung cấp dịch vụ lưu trữ cho 440.000 khách hàng trên toàn thế giới. Đây cũng là công ty lưu trữ web lớn thứ ba trong năm nay đã phải ngừng hoạt động do tin tặc xâm phạm mạng và dữ liệu được mã hóa trên máy chủ của khách hàng.

Đại diện SmarterASP.NET cho biết họ đang nỗ lực làm việc để khôi phục máy chủ của khách hàng, chưa rõ công ty đã trả tiền chuộc hay đang khôi phục từ các bản sao lưu.

Trên trang web của công ty đăng tải một thông báo, trong đó thừa nhận vụ tấn công. "Tài khoản lưu trữ của bạn đã bị tấn công và tin tặc đã mã hóa tất cả dữ liệu của bạn", thông báo cho biết.

 "Chúng tôi đang làm việc với các chuyên gia bảo mật để cố gắng giải mã dữ liệu của bạn và cũng để đảm bảo điều này sẽ không bao giờ xảy ra nữa".

Cuộc tấn công không chỉ nhằm vào dữ liệu của khách hàng mà còn cả chính SmarterASP.NET. Trang web của công ty đã phải ngừng hoạt động cả ngày vào thứ bảy, trở lại trực tuyến vào sáng chủ nhật.

Các nỗ lực khôi phục máy chủ diễn ra chậm. Nhiều khách hàng vẫn không có quyền truy cập vào tài khoản và dữ liệu của họ.Những người nói rằng dữ liệu của họ vẫn bị mã hóa, bao gồm các tệp tin trên trang web và cơ sở dữ liệu backend.

Hầu hết khách hàng sử dụng dịch vụ của SmarterASP.NET để lưu trữ các trang web ASP.NET, tuy nhiên, có một số sử dụng các máy chủ của công ty này cho backend ứng dụng, nơi họ đang đồng bộ hóa hoặc sao lưu dữ liệu quan trọng. Ngoài các máy chủ web, việc cơ sở dữ liệu backend cũng bị tấn công đã khiến nhiều người dùng không thể chuyển các dịch vụ bị ảnh hưởng sang cơ sở hạ tầng CNTT thay thế.

Theo thông tin được đăng tải trên Twitter, tất cả các tệp của khách hàng đã được mã hóa bởi một chủng ransomware mà nối thêm phần mở rộng tệp ".kjhbx" vào mỗi tệp mà nó mã hóa.

SmarterASP.NET là nhà cung cấp dịch vụ lưu trữ thứ ba bị tấn công trong năm nay. Đầu tiên là A2 Hosting một nhà cung cấp hosting khá nổi tiếng của Mỹ, được thành lập năm 2003, có các máy chủ đặt tại châu Á và Bắc Mỹ bị mã hóa bởi một chủng ransomware GlobeImposter 2.0 hồi tháng 5.

Nhà cung cấp dịch vụ lưu trữ web thứ hai bị tấn công trong năm nay là iNSYNQ, đã bị nhiễm ransomware vào giữa tháng 7 bởi một phiên bản của ransomware MegaCortex.Cả A2 Hosting và iNSYNQ đã phải mất nhiều tuần để khôi phục hoàn toàn dữ liệu của khách hàng. Với quy mô và lượng khách hàng lớn, dự kiến SmarterASP.NET cũng phải mất khoảng thời gian khôi phục tương tự như trên.

Không có gì ngạc nhiên khi các băng nhóm ransomware đang tìm cách tấn công các nhà cung cấp dịch vụ lưu trữ web. Thực tế, cho đến ngày nay, khoản tiền chuộc ransomware lớn nhất là từ một nhà cung cấp dịch vụ lưu trữ web. Đó là vụ việc của công ty lưu trữ web Hàn Quốc Internet Nayana, công ty này đã trả 1,3 tỷ won (1,14 triệu USD) nhằm lấy lại quyền truy cập vào dữ liệu mà tin tặc đã mã hóa sau sự cố ransomware vào tháng 6/2017.