Cuộc tấn công mạng đã gây ra sự sụp đổ của công ty hậu cần Knights of Old Group của Anh (KNP Logistics) vào năm 2023. Câu chuyện về vụ việc này đã được làm thành bộ phim tài liệu Panorama và được tiết lộ chi tiết. Theo tờ The Times, cuộc tấn công bắt đầu từ ngày 26/6/2023 khi tin tặc đột nhập vào hệ thống mạng của công ty thông qua một tài khoản nhân viên với mật khẩu yếu.

Chúng nhanh chóng tiếp cận các hệ thống nhạy cảm và triển khai mã độc tống tiền. Không chỉ mã hóa dữ liệu, chúng còn đe dọa công bố thông tin nội bộ và dữ liệu khách hàng lên mạng, một chiến thuật tống tiền kép nhằm gia tăng áp lực buộc công ty phải trả tiền chuộc. Mặc dù Knights of Old tuân thủ các tiêu chuẩn bảo mật dữ liệu quốc tế và có bảo hiểm an ninh mạng, công ty vẫn không thể phục hồi sau những thiệt hại nặng nề về vận hành và uy tín.

Đến tháng 9/2023, công ty buộc phải ngừng hoạt động hoàn toàn, kết thúc hành trình 158 năm và để lại một khoảng trống trong ngành hậu cần Anh quốc. Khoảng 500 xe tải của công ty đã ngừng hoạt động, khiến 700 lao động mất việc sau khi nhóm tin tặc thực hiện cuộc tấn công. Công ty bảo hiểm an ninh mạng Solace Global đã nhận thông tin và xử lý ngay sáng hôm sau. Đại diện Solace cho biết nhóm kỹ thuật đã phát hiện toàn bộ dữ liệu của KNP đã bị mã hóa và các hệ thống quan trọng bị xóa sạch.

Theo công ty an ninh mạng Sophos, số vụ tấn công ransomware trên toàn cầu đã tăng 105% chỉ trong một năm, từ 2022 đến 2023. Các nhóm tin tặc ngày càng hoạt động có tổ chức và tận dụng dữ liệu đánh cắp để thực hiện các đòn tấn công có mục tiêu. Sự phụ thuộc ngày càng lớn của nền kinh tế toàn cầu vào hạ tầng số khiến các doanh nghiệp trở nên dễ bị tổn thương hơn trước các cuộc tấn công mạng.

Sự sụp đổ của Knights of Old là hồi chuông cảnh báo cho các doanh nghiệp. Để tránh rơi vào bi kịch tương tự, các doanh nghiệp cần ghi nhớ một số bài học sống còn. Đầu tiên, đầu tư vào các biện pháp bảo mật, bao gồm bảo mật điểm cuối nâng cao, giám sát hệ thống liên tục và có sẵn kịch bản ứng phó sự cố rõ ràng. Thứ hai, áp dụng xác thực đa yếu tố (MFA). Thứ ba, sao lưu dữ liệu định kỳ và duy trì bản sao lưu an toàn.

Thứ tư, đào tạo nhân viên thường xuyên để nâng cao nhận thức và kỹ năng ứng phó với các cuộc tấn công. Cuối cùng, cập nhật thông tin an ninh mạng để phát hiện sớm nguy cơ và các mối đe dọa. Các doanh nghiệp cần chú trọng vào việc xây dựng một chiến lược bảo mật toàn diện để bảo vệ mình trước những mối đe dọa ngày càng tăng của tấn công mạng.

Một cuộc điều tra an ninh mạng gần đây đã tiết lộ những mối liên hệ đáng lo ngại giữa nhóm tin tặc APT39, được cho là có sự hậu thuẫn của chính quyền Iran, và công ty an ninh mạng Amnban. Vụ việc này không chỉ dẫn đến việc rò rỉ hàng gigabyte dữ liệu nhạy cảm mà còn phanh phui hoạt động gián điệp mạng có tổ chức, đe dọa đến an toàn hàng không và bảo mật cá nhân trên toàn cầu.

Công ty Amnban được thành lập vào năm 2018 với sự hậu thuẫn của các cựu sinh viên Đại học Sharif và Đại học Amir Kabir, ban đầu quảng bá là đơn vị chuyên về thử nghiệm xâm nhập và tư vấn bảo mật hợp pháp. Tuy nhiên, dữ liệu bị rò rỉ gần đây đã cho thấy một bức tranh hoàn toàn khác: công ty này bị cáo buộc là vỏ bọc cho nhóm APT39 (còn gọi là Chafer), chuyên thu thập thông tin tình báo mạng cho Bộ Tình báo Iran (MOIS).

Các tài liệu bị đánh cắp cho thấy Amnban không chỉ bị xâm nhập mà còn trực tiếp vận hành các chiến dịch thu thập dữ liệu nhạy cảm như hộ chiếu, địa chỉ, ảnh chân dung và thông tin liên hệ của hàng triệu hành khách hàng không trên toàn thế giới. Những dữ liệu này có thể bị sử dụng để theo dõi, đánh cắp danh tính, thậm chí phục vụ mục đích vi phạm nhân quyền.

Một số nhân vật chủ chốt của công ty Amnban đã bị nêu tên, bao gồm CEO Behnam Amiri, người từng bị tình báo quốc tế cảnh báo, và Ali Kamali, hacker từng bị FBI trừng phạt vì các cuộc tấn công vào cơ sở hạ tầng của Mỹ. Ngoài ra, đặc vụ Hamed Mashayekhi của MOIS cũng được cho là thường xuyên lui tới trụ sở Amnban.

Từ các hãng hàng không đến sàn tiền số: Mục tiêu toàn cầu. Dưới danh nghĩa đào tạo OSINT (tình báo nguồn mở), Amnban đã tiến hành do thám hàng loạt hãng hàng không như Emirates, Qatar Airways, Turkish Airlines, Etihad, Kenya Airways… cùng các công ty vận chuyển lớn như FedEx, DHL, USPS, và cả các thực thể của Nga. Dữ liệu cho thấy các chiến dịch có quy mô lớn, có tổ chức và nhắm đến cả đồng minh lẫn đối thủ của Iran.

Không dừng lại ở đó, nhóm còn nhắm đến sàn giao dịch tiền số như KuCoin, Binance, CoinSwitch… bằng cách sử dụng kỹ thuật xã hội tinh vi như tạo hồ sơ giả trên LinkedIn để lừa đảo nhân viên, dụ họ cài mã độc, hoặc thu thập thông tin hệ thống qua các liên kết theo dõi.

Hạ tầng hỗ trợ chiến dịch này bao gồm hàng trăm máy chủ ảo và hệ thống gửi email giả mạo được phân bố toàn cầu, cho phép vận hành liên tục các hoạt động lừa đảo, đánh cắp dữ liệu, kiểm soát từ xa, đe dọa nghiêm trọng đến an ninh hàng không và mạng lưới tài chính quốc tế.

Sự cố này là lời cảnh báo mạnh mẽ về rủi ro đến từ các hoạt động gián điệp mạng do nhà nước tài trợ. Các tổ chức hàng không, công nghệ và tài chính cần khẩn cấp đánh giá lại hệ thống bảo mật, trong khi cộng đồng quốc tế cần phối hợp hành động để đối phó với những mối đe dọa có tổ chức như APT39.

Lumma Stealer, một trong những phần mềm đánh cắp thông tin phổ biến nhất trên thế giới, đã thể hiện khả năng phục hồi đáng kể sau cuộc triệt phá của Cục Điều tra Liên bang Mỹ (FBI) vào tháng 5. Theo các nhà nghiên cứu an ninh mạng của Trend Micro, nhóm điều hành phía sau Lumma Stealer đã nhanh chóng triển khai lại hệ thống phân phối của họ và áp dụng các kỹ thuật lẩn trốn tinh vi hơn để tránh bị phát hiện.

Sự gia tăng trở lại của số lượng tài khoản bị tấn công bằng Lumma Stealer trong giai đoạn từ tháng 6 đến tháng 7 đã được ghi nhận. Điều này cho thấy mối đe dọa từ phần mềm độc hại này vẫn còn hiện hữu và tiếp tục là một vấn đề đáng quan tâm đối với các tổ chức và cá nhân trên toàn cầu.

Lumma Stealer hoạt động dựa trên mô hình malware-as-a-service, cho phép các tội phạm mạng khác thuê hoặc mua dịch vụ mà không cần có kiến thức kỹ thuật chuyên sâu. Khả năng của phần mềm độc hại này bao gồm việc thu thập hàng loạt dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, bao gồm thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và dữ liệu cá nhân.

Phần mềm độc hại này được phát tán thông qua nhiều kênh và chiến thuật lén lút, bao gồm phần mềm bẻ khóa, trang web lừa đảo, quảng cáo độc hại và các chiến dịch trên mạng xã hội. Điều này đòi hỏi người dùng phải có sự cảnh giác cao độ và thực hiện các biện pháp phòng ngừa hiệu quả để bảo vệ thông tin của mình.

Để phòng ngừa và giảm thiểu rủi ro từ Lumma Stealer, các tổ chức cần chủ động trong công tác tình báo mối đe dọa. Việc tăng cường hợp tác giữa ngành an ninh mạng và cơ quan thực thi pháp luật là rất quan trọng để theo dõi các biến thể của Lumma Stealer và cập nhật các biện pháp bảo vệ phù hợp.

Ngoài ra, đào tạo nhân viên cách phát hiện mối đe dọa từ các chiến dịch Lumma Stealer đang hoạt động và đã biết đến cũng là một bước quan trọng. Điều này không chỉ giúp nâng cao nhận thức về an ninh mạng mà còn góp phần xây dựng một môi trường kỹ thuật số an toàn hơn cho tất cả mọi người.

Trong bối cảnh Lumma Stealer tiếp tục phát triển và thích nghi, việc duy trì sự cảnh giác và cập nhật các giải pháp bảo mật là điều cần thiết. Người dùng và các tổ chức cần liên tục theo dõi các thông tin cập nhật từ các nguồn tin cậy và thực hiện các biện pháp phòng ngừa một cách chủ động để bảo vệ thông tin của mình.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, với Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Mặc dù hệ thống của NSA bị xâm nhập, cơ quan này khẳng định không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này không chỉ nhắm vào Mỹ mà còn mở rộng ra nhiều nước châu Âu, trong đó có Đức, và nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Những email này thường chứa các liên kết hoặc tệp đính kèm độc hại, có thể kích hoạt tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập của người dùng.

Các chuyên gia bảo mật khuyến cáo người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng. Một số biện pháp có thể được thực hiện bao gồm: cập nhật phần mềm và hệ điều hành thường xuyên, sử dụng mật khẩu mạnh và thay đổi định kỳ, tránh nhấp vào các liên kết hoặc tệp đính kèm không rõ nguồn gốc, và sử dụng các công cụ bảo mật như phần mềm diệt virus và tường lửa.

Để tăng cường bảo mật, các tổ chức cũng nên triển khai các giải pháp phòng chống tấn công mạng như hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS). Đồng thời, việc đào tạo nhân viên về các biện pháp bảo mật và cách nhận biết các cuộc tấn công mạng cũng là một phần quan trọng trong việc bảo vệ hệ thống và dữ liệu.

Trong bối cảnh các cuộc tấn công mạng ngày càng trở nên tinh vi, việc hợp tác giữa các quốc gia và các tổ chức trong việc chia sẻ thông tin và kinh nghiệm về bảo mật là rất cần thiết. Điều này có thể giúp nâng cao hiệu quả trong việc phòng chống các cuộc tấn công mạng và bảo vệ hệ thống và dữ liệu của các tổ chức và cá nhân.

Microsoft đã được liên hệ để bình luận về các cuộc tấn công mạng này, nhưng chưa có phản hồi chính thức. Tuy nhiên, công ty đã khẳng định cam kết trong việc bảo vệ hệ thống và dữ liệu của khách hàng và đang làm việc chặt chẽ với các cơ quan chức năng để điều tra và ngăn chặn các cuộc tấn công mạng.