Vụ tấn công Ransomware bất ngờ khiến Colonial Pipeline chao đảo

Colonial Pipeline - một nhà điều hành đường ống dẫn nhiên liệu tại Mỹ đã bị tấn công Ransomware, gây ảnh hưởng đến cơ sở hạ tầng. Sự việc này khiến Mỹ và toàn thế giới chao đảo.

DarkSide chính là thủ phạm tấn công ransomware?

Vào thứ Năm, ngày 6 tháng Năm, nhà điều hành đường ống dẫn nhiên liệu hàng đầu của Hoa Kỳ, Colonial Pipeline, đã bị tấn công bởi một cuộc tấn công ransomware. Theo tuyên bố của FBI, thủ phạm là một tổ chức tội phạm mạng Đông Âu được biết đến với tên gọi DarkSide. Trong khi nhóm này chưa công khai thừa nhận sự tham gia của họ trong vụ tấn công, họ tuyên bố rằng mục tiêu của họ là tiền tệ chứ không phải chính trị.

Bằng cách sử dụng mô hình tấn công đã nổi tiếng của DarkSide, hacker đã giành được quyền truy cập vào mạng, cố gắng đánh cắp gần 100 gigabyte dữ liệu quan trọng từ mạng của Colonial Pipeline, sau đó khóa dữ liệu và máy chủ quan trọng. Theo nhiều nguồn tin, chỉ có hệ thống thông tin bị ảnh hưởng chứ không phải hệ thống điều khiển công nghiệp (ICS).

May mắn thay, các thành viên trong nhóm CNTT cảnh báo đã xác định được cuộc tấn công và chủ động đưa các hệ thống cụ thể vào ngoại tuyến để ngăn chặn mối đe dọa. Điều này ngăn những kẻ tấn công đánh cắp bất kỳ dữ liệu nào đồng thời bảo vệ cơ sở hạ tầng phân phối năng lượng quan trọng của họ khỏi bị xâm phạm thêm.

Sự kiện đã làm ảnh hưởng tới Colonial Pipeline khiến cho 5.550 dặm đường ống cũng như một số cơ sở hạ tầng CNTT của họ bị tạm dừng hoạt động, để làm sạch và phục hồi hệ thống bị tổn thương. Colonial Pipeline là nhà cung cấp xăng, dầu diesel và nhiên liệu máy bay lớn nhất ở Bờ Đông. Họ vận chuyển 2,5 triệu thùng nhiên liệu mỗi ngày – gần một nửa tổng nguồn cung cấp nhiên liệu của Bờ Đông – thông qua mạng lưới đường ống liên kết các nhà máy lọc dầu trên Bờ Vịnh với các trung tâm phân phối trên khắp miền đông và miền nam Hoa Kỳ.

Các cơ quan liên bang, chuyên gia an ninh mạng, chuyên gia hậu cần và những người khác đã và đang làm việc để tránh tình trạng đường dây ngừng hoạt động kéo dài, có thể khiến giá xăng tăng đột biến trước mùa lái xe cao điểm – mùa hè. Nhưng theo một số chuyên gia, ngay cả việc ngừng hoạt động chỉ kéo dài bốn hoặc năm ngày cũng có thể dẫn đến tình trạng ngừng hoạt động của một số trạm nhiên liệu dọc theo Bờ Đông Hoa Kỳ phụ thuộc vào đường ống giao hàng.

Để giải quyết vấn đề đảm bảo cung cấp cho người tiêu dùng, các phản ứng của Liên bang chủ yếu tập trung vào việc duy trì việc phân phối kịp thời các nguồn cung cấp nhiên liệu quan trọng. Mặc dù vấn đề này là do một cuộc tấn công mạng, các biện pháp khẩn cấp đã được tập trung vào việc duy trì nguồn cung thông qua các biện pháp như nới lỏng các quy định về nhiên liệu được vận chuyển bằng xe tải. Do đó, người lái xe ở 18 bang hiện có thể làm việc thêm hoặc nhiều giờ linh hoạt hơn khi vận chuyển các sản phẩm dầu mỏ tinh chế.

Phân tích cuộc tấn công của DarkSide Ransomware

Có một số câu hỏi đặt ra là liệu tổ chức DarkSide có liên quan trực tiếp đến cuộc tấn công này hay là kết quả của việc cung cấp Ransomware-as-a-Service mà họ chạy trên dark web, nơi các “chi nhánh” trả cho DarkSide phần trăm thu nhập từ một tấn công thành công.

Mặc dù chi tiết chính xác của cuộc tấn công này vẫn chưa rõ ràng, nhưng ví dụ về các công cụ và kỹ thuật sau thỏa hiệp liên quan đến DarkSide là việc họ sử dụng các công cụ hợp pháp như:

- Cobalt Strike – một bộ thử nghiệm pentest được sử dụng rộng rãi bởi các red team trên toàn cầu. - PSExec.exe – một công cụ dòng lệnh cung cấp khả năng mở rộng và chức năng tương tự như telnet để quản trị từ xa. - Putty.exe – một công cụ SSH/Telnet được sử dụng rộng rãi để quản trị từ xa các máy chủ. - PCHunter – cung cấp thông tin hệ thống cấp thấp ở cấp hạt nhân. - MegaSync – Phiên bản tiếng Nga của MegaSync, phối hợp với nhà cung cấp dịch vụ lưu trữ MEGA, có khả năng được sử dụng để di chuyển dữ liệu và tài liệu đã được lọc. - Một tệp được quan sát khác là một công cụ tìm kiếm thông tin từ Firefox và tìm kiếm mật khẩu và các dữ liệu liên quan khác để trích xuất.

Cần làm gì để bảo vệ các cơ sở hạ tầng quan trọng?

Các cuộc tấn công ransomware vẫn là một trong những mối đe dọa nguy hiểm nhất đối với bất kỳ tổ chức nào thực hiện ngay cả một phần hoạt động kinh doanh trực tuyến. Thách thức này thậm chí còn trở nên rõ rệt hơn trong năm qua. Người lao động chuyển đổi từ các địa điểm làm việc tại văn phòng được bảo vệ bởi bảo mật cấp doanh nghiệp đến các khu vực hẻo lánh và văn phòng tại nhà được bảo vệ với ít hơn một kết nối VPN. Mặc dù chúng tôi không biết chi tiết cụ thể cho trường hợp này, nhưng chúng tôi đã thấy sự gia tăng đáng kể trong các cuộc tấn công ransomware chỉ xuất phát từ một kịch bản như vậy.

FortiGuard Labs đã báo cáo trong February 2021 Global Threat Landscape Report rằng các tổ chức đã chứng kiến sự gia tăng gấp bảy lần các cuộc tấn công ransomware trong nửa cuối năm 2020. Véc tơ tấn công ưa thích là xâm nhập các mạng gia đình không được bảo vệ và sau đó chiếm đoạt các kết nối VPN trở lại mạng công ty. Một trong nhiều thách thức khi dựa vào công nghệ VPN hàng thập kỷ là nó không cung cấp bất kỳ kiểm tra gốc nào đối với dữ liệu được gửi qua các kết nối đó, cũng như không xác thực người dùng, thiết bị hoặc ứng dụng chạy qua VPN tunnel. Các nhà nghiên cứu về mối đe dọa của FortiGuard Labs đã ghi nhận sự thay đổi đáng kể và gần như tức thời từ các cuộc tấn công nhắm mục tiêu vào các thiết bị doanh nghiệp sang các cuộc tấn công nhắm mục tiêu vào các thiết bị cấp tiêu dùng vào thời điểm các tổ chức bắt đầu chuyển sang chiến lược kết nối làm việc tại nhà.

Để bảo vệ khỏi mối đe dọa ransomware đang gia tăng và phát triển ngày nay, các tổ chức cần thực hiện 3 điều:

Mạng gia đình (Home Offices) và kết nối từ xa cần được bảo mật

Mạng gia đình và các kết nối từ xa cần được bảo mật. Fortinet có một danh mục đầy đủ các công cụ tập trung vào việc giải quyết vấn đề này.

• Fortinet Secure SD-WAN cho phép các tổ chức bảo mật và duy trì các kết nối đáng tin cậy từ các văn phòng từ xa đến các tài nguyên của công ty, cho dù trong mạng vật lý hay đám mây. Nó đảm bảo rằng các ứng dụng kinh doanh quan trọng hoạt động dưới mức bảo mật tối đa trong khi cung cấp trải nghiệm người dùng tối ưu. Secure SD-WAN cũng có thể cách ly các kết nối công việc với phần còn lại của mạng gia đình, do đó mạng công ty không gặp rủi ro từ các thiết bị gia đình không được bảo mật như hệ thống giải trí, thiết bị thông minh hoặc người dùng tham gia làm việc từ xa, học tập từ xa hoặc mạng xã hội trực tuyến hoặc các hoạt động giải trí.
• FortiSASE cung cấp bảo mật dựa trên đám mây để đảm bảo rằng ngay cả những người dùng di động nhiều nhất và các thiết bị IoT phân tán đều có kết nối an toàn với các tài nguyên của công ty. Mục tiêu là cung cấp quyền truy cập an toàn vào các tài nguyên quan trọng cho bất kỳ người dùng nào trên bất kỳ thiết bị nào từ bất kỳ vị trí nào.
• FortiEDR cung cấp tính năng bảo vệ thiết bị điểm cuối nâng cao để phát hiện và phản hồi các cuộc tấn công mạng và đảm bảo rằng các thiết bị có thể tiếp tục hoạt động an toàn và đáng tin cậy ngay cả khi chúng đã bị xâm phạm.
• Zero Trust Access loại bỏ sự tin cậy vốn có trong nhiều mạng mà các cuộc tấn công khai thác để di chuyển tự do qua một mạng bị xâm nhập. Nó thực hiện điều này trước tiên bằng cách giả định rằng mọi thiết bị hoặc người dùng đều có khả năng bị xâm phạm. Sau đó, nó kết hợp xác thực đa yếu tố nâng cao, ngữ cảnh quan trọng (chẳng hạn như vai trò người dùng, loại thiết bị, thời gian và ngày hoặc vị trí địa lý) với công nghệ kiểm soát truy cập mạng để đảm bảo rằng mọi thiết bị chỉ được phép truy cập vào các tài nguyên mà chúng cần để thực hiện công việc của mình. Zero Trust Network Access mở rộng điều này hơn nữa bằng cách cung cấp khả năng kiểm soát chi tiết cho các ứng dụng quan trọng dựa trên xác thực sâu về người dùng và thiết bị.

Triển khai các biện pháp đối phó với Ransomware

Các biện pháp đối phó với Ransomware bao gồm những việc như duy trì sao lưu thường xuyên các hệ thống quan trọng và lưu trữ chúng ngoài mạng một cách an toàn, có chiến lược và nhóm phản ứng tấn công, chạy mô phỏng khôi phục, xây dựng chuỗi lệnh với quyền phân tán để có thể đưa ra các quyết định quan trọng gần sự kiện mạng nhất có thể và tăng cường khả năng phát hiện và phản ứng với mối đe dọa với AI hệ thống và tự động hóa để các mối đe dọa phản ứng có thể được xác định, điều tra và dừng lại ở tốc độ kỹ thuật số.

Kiểm tra và nhận thức các thông tin về mối đe dọa

Thông tin về mối đe dọa cần phải là một phần trong security framework của bạn. Bạn không chỉ cần nhận thức được các mối đe dọa trong tự nhiên mà còn cả các mối đe dọa đang diễn ra để sự thỏa hiệp trong một phần của mạng của bạn không lây lan sang phần khác. Và điều này yêu cầu hệ thống mạng và bảo mật được triển khai ở bất kỳ đâu trên mạng phân tán của bạn để xem, chia sẻ, tương quan và phản ứng với các sự kiện đe dọa trong thời gian thực.

Mong rằng những sự việc đáng tiếc như trên sẽ không lặp lại bởi nó ảnh hưởng rất lớn đến cơ sở hạ tầng, các vấn đề xã hội cũng như đe dọa đến an ninh mạng trên toàn thế giới.

Nguồn bài tham khảo từ: vietsunshine