Khi một tổ chức bị tấn công bởi ransomware, nhiều người có xu hướng nghĩ rằng điều duy nhất cần lo lắng là khôi phục dữ liệu càng nhanh càng tốt. Đầu tuần này, tuy nhiên, phóng viên an ninh mạng Brian Krebs kể chuyện về một cuộc tấn công ransomware vào một nhà cung cấp dịch vụ CNTT có tên Virtual Care Carrier Inc. (VCPI), và trong quá trình đó, anh ta đã cho chúng tôi thấy có bao nhiêu yếu tố khác xảy ra khi tin tặc giữ con tin dữ liệu của người khác.
Có lẽ chúng ta nên bắt đầu với thực tế là VCPI cung cấp dịch vụ cho hơn 100 viện dưỡng lão và các cơ sở chăm sóc sức khỏe tại 45 tiểu bang. Không quá khó để thấy rằng việc phá vỡ cơ sở hạ tầng CNTT của một công ty như vậy có thể rất tàn phá, nhưng mức độ nguy hiểm thực sự không trở nên rõ ràng cho đến khi bạn nhìn vào cách thức cuộc tấn công diễn ra.
Nó lần đầu tiên được chú ý vào đầu giờ sáng ngày 17 tháng 11 khi những kẻ tấn công giải phóng ransomware Ryuk trên mạng của VCPI. Ngay sau đó, tất cả dữ liệu được cung cấp bởi nhà cung cấp dịch vụ đám mây đã được mã hóa và VCPI được thông báo rằng nó có thể có khóa mở khóa các tệp nếu thanh toán số bitcoin đáng kinh ngạc trị giá 14 triệu đô la. Đó là một khoản tiền chuộc khá lớn, nhưng một lần nữa, số lượng dữ liệu đã bị bắt làm con tin.
Mệt mỏi vì mất mật khẩu của bạn?
Nhận Trình quản lý mật khẩu Cyclonis (Dùng thử MIỄN PHÍ)!
Sắp xếp, lưu trữ và truy cập mật khẩu của bạn ở một nơi được mã hóa.
Chỉ nhớ một mật khẩu chủ!
Tìm hiểu thêm.
Tự động đăng nhập vào trang web
Tạo mật khẩu phức tạp
Tự động điền biểu mẫu web nhanh chóng
Đồng bộ hóa mật khẩu trên nhiều thiết bị
* Xem chi tiết và điều khoản dùng thử miễn phí
Chi tiết dùng thử miễn phí & Điều khoản
Dùng thử MIỄN PHÍ: Ưu đãi 30 ngày một lần! Không cần thẻ tín dụng để dùng thử miễn phí. Chức năng đầy đủ cho thời lượng dùng thử miễn phí. (Chức năng đầy đủ sau khi dùng thử miễn phí yêu cầu mua đăng ký.) Để tìm hiểu thêm về chính sách và giá cả của chúng tôi, hãy xem EULA, Chính sách bảo mật, Điều khoản giảm giá đặc biệt và Trang mua hàng. Nếu bạn muốn gỡ cài đặt ứng dụng, vui lòng truy cập trang Hướng dẫn gỡ cài đặt. 
Vụ tấn công đã tác động khủng khiếp đến VCPI và khách hàng của nó
Khách hàng của VCPI bị mất quyền truy cập vào bất cứ điều gì từ email, thông qua điện thoại và hệ thống thanh toán, cho các hoạt động trả lương. Hồ sơ bệnh nhân không thể truy cập được và một số bác sĩ không thể đặt hàng các loại thuốc quan trọng vì cuộc tấn công, điều đó có nghĩa là đối với một số bệnh nhân, nhiễm trùng ransomware có thể gây hậu quả nghiêm trọng. Vài ngày sau vụ việc, Karen Christianson, CEO của VCPI nói với Brian Krebs rằng công ty của cô không có đủ nguồn lực để trả tiền chuộc và cuộc tấn công rất có thể đánh vần kết thúc cho việc kinh doanh lưu trữ dữ liệu.
Những dự đoán ban đầu đã không thành hiện thực. Mặc dù khách hàng của VCPI gặp phải sự cố đáng kể sau vụ tấn công, nhà cung cấp dịch vụ lưu trữ đã quản lý để khôi phục dữ liệu. Có lẽ trong nỗ lực hạn chế mức độ thiệt hại PR mà VCPI phải chịu, Karen Christianson đã yêu cầu Brian Krebs viết một báo cáo tiếp theo về cách công ty phục hồi. Krebs đồng ý lên lịch phỏng vấn, nhưng ngay sau ngày và thời gian được thỏa thuận, anh nhận được một email khiến anh chú ý ngay lập tức.
Mức độ xâm nhập trở nên rõ ràng
Thông điệp được dự định là từ một thành viên của nhóm hack đã tấn công VCPI, mà, đối với Brian Krebs, ít nhất, không thực sự khác thường. Yêu cầu của email, tuy nhiên, là khá lạ. Kẻ gian đã yêu cầu Krebs nhắc nhở CEO của VCPI rằng đề nghị giảm giá tiền chuộc sắp hết hạn.
Nhà điều hành ransomware bị cáo buộc bằng cách nào đó đã nhận thức được cuộc phỏng vấn theo lịch trình, và Krebs nghi ngờ rằng kiến thức này dựa trên phỏng đoán. Phóng viên an ninh mạng nghĩ rằng ngoài ransomware, tin tặc đã sử dụng các công cụ khác cho phép họ truy cập vào các hệ thống và thông tin liên lạc nội bộ của VCPI. Krebs đã gọi các chuyên gia từ Hold Security và yêu cầu họ giúp anh ta hiểu rõ hơn về phạm vi của sự thỏa hiệp.
Ngay sau đó, cuộc điều tra đã đưa ra bằng chứng cho thấy cơ sở hạ tầng của VCPI lần đầu tiên được xâm nhập trở lại vào tháng 9 năm 2018, rất có thể với việc sử dụng một tài liệu Word độc hại được tẩm theo các hướng dẫn vĩ mô. Tài liệu Word đã tải xuống Emotet, một họ phần mềm độc hại được ghi nhận cho các tính năng giống như sâu cho phép nó di chuyển ngang trong mạng.
Các tin tặc đã đi vào một vụ đánh cắp mật khẩu trước khi triển khai ransomware Ryuk
Sau khi sử dụng Emotet để thiết lập chỗ đứng trong mạng của VCPI, kẻ gian đã triển khai Trickbot một trojan ngân hàng được ca ngợi vì tính linh hoạt và khả năng đánh cắp thông tin mạnh mẽ. Các chuyên gia của Hold Security thậm chí đã tìm cách chặn một số liên lạc giữa những kẻ gian, điều này cho thấy rằng trong cuộc tấn công VCPI, tên người dùng và mật khẩu của khoảng 300 trang web và nhà cung cấp dịch vụ trực tuyến đã bị xâm phạm. Chúng bao gồm các nền tảng quản lý mật khẩu, ngân hàng, thanh toán và cổng thanh toán, quản lý theo toa và dịch vụ cung cấp y tế, tài khoản vận chuyển và bưu chính, v.v. Brian Krebs đã đưa ra bằng chứng trong cuộc phỏng vấn với Karen Christianson, và mặc dù VCPI đã không thừa nhận điều đó Chính thức, việc cuộc phỏng vấn kết thúc đột ngột ngay sau đó cho thấy CEO hoàn toàn không biết gì về vụ trộm.
Trong một thời gian, các nhà khai thác ransomware đã tập trung vào các tổ chức hơn là người dùng cuối. Chúng ta không còn nói về những đứa trẻ kịch bản đang tìm cách tàn phá một số sự tàn phá và kiếm tiền nhanh chóng. Các cuộc tấn công gần đây được thực hiện bởi các nhóm hack tinh vi, người có khá nhiều công cụ và tài nguyên theo ý của họ, và đôi khi, việc triển khai ransomware chỉ là một phần nhỏ trong toàn bộ hoạt động. Các tổ chức như VCPI phải biết rằng tin tặc có thể tấn công trên nhiều mặt trận khác nhau và dữ liệu đăng nhập thường là loại trái cây treo thấp. Đó là lý do tại sao, như Brian Krebs đã kết luận trong báo cáo của mình, việc thay đổi mật khẩu sẽ nằm trong danh sách ưu tiên cho bất kỳ công ty nào bị tấn công mạng, bất kể sự cố có liên quan đến ransomware hay không.
