Các cuộc tấn công ransomware (phần mềm độc hại dùng để tống tiền) nhằm vào các tổ chức của Hoa Kỳ đạt mức kỷ lục trong năm nay khi những kẻ tấn công nâng cao chiến thuật tống tiền và đưa việc bôi nhọ nạn nhân lên một tầm cao mới.
Suốt năm 2023, ransomware (phần mềm độc hại dùng để tống tiền) hoành hành trên khắp các lĩnh vực khi các chiến thuật tống tiền xảo quyệt gia tăng nhan nhản và các xu hướng mới như tấn công ransomware kép khiến các tổ chức bị thiệt hại càng khó khôi phục dữ liệu.
Các công ty an ninh mạng báo cáo số lượng các cuộc tấn công ransomware đạt mức cao kỷ lục theo tháng và theo năm. Một trong những nguyên nhân giải thích cho số lượng ransomware tăng cao có thể là do xu hướng đã chuyển từ việc mã hóa dữ liệu sao cho nạn nhân không truy cập được sang thành các kẻ tấn công ăn cắp và đe dọa tống tiền dữ liệu để gây áp lực buộc nạn nhân phải trả tiền. TechTarget Editorial chỉ ghi nhận số liệu từ các cuộc tấn công liên quan đến việc triển khai hoặc cố gắng triển khai ransomware. Thật không may rằng, lĩnh vực y tế hứng chịu số lượng lớn các cuộc tấn công ransomware, chiếm 4 trong số 10 tổ chức nạn nhân trong danh sách năm nay. Điều này cũng không có gì quá bất ngờ.
Mặc dù các băng nhóm ransomware vẫn hoành hành, các lực lượng chức năng cũng đã có những thắng lợi. Đầu tháng này, Bộ Tư pháp Hoa Kỳ thông báo rằng FBI đã tịch thu một số trang web thuộc về băng nhóm ransomware Alphv/BlackCat và phát triển các công cụ giải mã để giúp nạn nhân khôi phục dữ liệu. Là một trong những nhóm tội phạm mạng hoạt động tích cực nhất vào năm 2023, BlackCat đứng sau một số cuộc tấn công nổi bật trong danh sách này. Các chuyên gia an ninh cho biết tuy việc thu hồi và bắt giữ này có thể có hiệu quả trong việc làm chậm hoạt động của nhóm ransomware, nhưng nhóm có thể hoạt động dưới một cái tên khác trong tương lai.
Dưới đây là danh sách 10 cuộc tấn công ransomware đáng chú ý và gây thiệt hại nhất nhằm vào các tổ chức của Hoa Kỳ trong năm 2023, theo thứ tự thời gian.
Mạng lưới Y tế Thung lũng Lehigh (Lehigh Valley Health Network - LVHN)
Vào ngày 22 tháng 2, Giám đốc điều hành LVHN Brian Nester tiết lộ rằng tổ chức có trụ sở tại Pennsylvania đã bị tấn công ransomware vào ngày 6 tháng 2. LVHN đã tiến hành điều tra và liên hệ với cơ quan pháp luật sau khi phát hiện hoạt động bất thường. Nester xác nhận rằng cuộc tấn công đã ảnh hưởng đến hệ thống máy tính mà LVHN sử dụng cho "hình ảnh bệnh nhân điều trị ung thư bức xạ và các thông tin nhạy cảm khác."
Không giống như nhiều tiết lộ về ransomware, Nester tiết lộ rằng nhóm ransomware BlackCat đứng sau cuộc tấn công và kể lại về yêu cầu tiền chuộc của bọn tội phạm "BlackCat yêu cầu thanh toán tiền chuộc, nhưng LVHN từ chối trả tiền cho tổ chức tội phạm này," ông tuyên bố.
Sau khi LVHN từ chối trả tiền, vào tháng 3, những kẻ điều hành BlackCat đã tung những bức ảnh khỏa thân của bệnh nhân ung thư để gia tăng áp lực. Hành động của nhóm là một trong nhiều ví dụ về chiến thuật tống tiền “không có tình người” ngày càng gia tăng đối với các tổ chức nạn nhân trong năm 2023.
Vài ngày sau, LVHN bắt đầu gửi thông báo vi phạm dữ liệu. Theo các thông báo, băng nhóm BlackCat đã thu được thông tin nhạy cảm bao gồm tên, địa chỉ, số điện thoại, số hồ sơ y tế, thông tin điều trị và chẩn đoán, và thông tin bảo hiểm y tế, nhưng đó không phải là điều tồi tệ nhất.
Thông báo xác nhận rằng dữ liệu bị rò rỉ bao gồm cả hình ảnh nhạy cảm của bệnh nhân. "Thông tin của một số cá nhân còn bao gồm hình ảnh lâm sàng của bệnh nhân trong quá trình điều trị," LVHN viết trong thông báo vi phạm dữ liệu.
Cơ quan Thống chế Hoa Kỳ (U.S. Marshals Service - USMS)
Trong một tuyên bố với NBC News vào ngày 27 tháng 2, Drew Wade, Giám đốc phụ trách quan hệ công chúng của USMS đã xác nhận rằng cơ quan chính phủ này đã bị tấn công ransomware vào ngày 17 tháng 2. Những kẻ tấn công không rõ danh tính đã truy cập vào dữ liệu pháp luật nhạy cảm, bao gồm thông tin nhận dạng cá nhân của các đối tượng điều tra của USMS và một số nhân viên, mặc dù các báo cáo xác nhận họ không truy cập vào Chương trình Bảo vệ Nhân chứng.
Theo như lời Wade nói thì cuộc tấn công ransomware chỉ ảnh hưởng đến một hệ thống, sau đó USMS buộc phải ngắt kết nối. Tuy nhiên, sự gián đoạn vẫn tiếp tục trong ít nhất ba tháng. Vào tháng 5, CNN báo cáo rằng USMS vẫn đang tiếp tục phục hồi sau cuộc tấn công ransomware. Trong khi một người phát ngôn của cơ quan nói với CNN rằng "các công cụ quan trọng" đã được khôi phục 30 ngày sau khi vi phạm, việc khôi phục dữ liệu vẫn đang trong quá trình thực hiện.
Dish Network
Nhà cung cấp truyền hình vệ tinh Mỹ Dish Network đã bị tấn công ransomware vào ngày 23 tháng 2, gây ra sự cố mất mạng và cũng ảnh hưởng đến dữ liệu của hơn 290.000 cá nhân, chủ yếu là nhân viên. Dish đã nộp biểu mẫu 8-K cho Ủy ban Chứng khoán và Sàn giao dịch Hoa Kỳ vào ngày 28 tháng 2, tiết lộ rằng chỉ mất 4 ngày để công ty xác định rằng dữ liệu đã bị kẻ tấn công ẩn danh thu được.
Không có nhóm ransomware nào nhận trách nhiệm về cuộc tấn công trên các trang web rò rỉ dữ liệu công khai. Tuy nhiên, thông báo vi phạm dữ liệu của Dish được công bố vào tháng 5 cho biết công ty đã trả tiền chuộc.
"Chúng tôi không nhận thấy bất kỳ sự lợi dụng nào đối với thông tin của nạn nhân và chúng tôi đã nhận được xác nhận rằng dữ liệu được trích xuất đã bị xóa", Dish viết trong thông báo vi phạm dữ liệu. Công ty từ chối bình luận thêm.
Western Digital
Vào ngày 3 tháng 4, nhà cung cấp bộ nhớ dữ liệu Western Digital tiết lộ về cuộc tấn công mạng vào ngày 26 tháng 3. Sau đó, Western Digital đã thực hiện xử lý sự cố, khôi phục các dịch vụ bị ảnh hưởng và liên hệ với cơ quan pháp luật. Hệ quả của cuộc tấn công bao gồm đánh cắp dữ liệu và thiệt hại về kinh doanh do khách hàng không thể truy cập vào một số dịch vụ, bao gồm SanDisk và My Cloud.
BlackCat, một trong những nhóm ransomware hoạt động mạnh nhất năm 2023, đã nhận trách nhiệm về cuộc tấn công bằng cách rò rỉ dữ liệu bị đánh cắp trên trang web công khai của họ vào ngày 28 tháng 4. Theo xu hướng chiến thuật tống tiền ngày càng hung hăng, dữ liệu bị rò rỉ bao gồm các đoạn phim được cho là lấy từ video cuộc họp hội nghị của Western Digital.
Trong một bản cập nhật vào ngày 5 tháng 5, Western Digital xác nhận rằng họ đã biết về dữ liệu bị rò rỉ công khai và đang điều tra về các cáo buộc.
Thành phố Dallas, Texas
Thành phố Dallas bị tấn công bởi băng nhóm ransomware Royal vào ngày 3 tháng 5, gây ra sự cố mất mạng trên diện rộng và buộc các tòa án Dallas phải đóng cửa đến hết ngày 31 tháng 5. Nhiều thông tin được tiết lộ sau khi báo cáo "Sự cố Ransomware của Thành phố Dallas: Tháng 5 năm 2023" được công bố vào tháng 9. Báo cáo cho biết những kẻ đứng sau Royal ban đầu đã truy cập bằng cách đánh cắp thông tin đăng nhập tài khoản dịch vụ. Với quyền truy cập đó, những kẻ tấn công đã núp dưới bóng của nạn nhân trong một tháng trước khi triển khai ransomware. Việc khôi phục hệ thống và dịch vụ bắt đầu từ ngày 9 tháng 5 và hoàn thành vào ngày 13 tháng 6.
Sau cuộc tấn công gây rối loạn, Hội đồng Thành phố Dallas đã phê duyệt ngân sách giảm thiểu và khắc phục rủi ro trị giá 8,5 triệu USD. Các khoản chi phí bao gồm thuê dịch vụ an ninh mạng của các bên thứ ba, dịch vụ bảo vệ chống trộm cắp danh tính và gian lận, và dịch vụ thông báo vi phạm dữ liệu.
Prospect Medical Holdings
Một trong những cuộc tấn công ransomware gây thiệt hại lớn nhất năm 2023 nhằm vào Prospect Medical Holdings có trụ sở tại California, bao gồm 16 bệnh viện, 11.000 bác sĩ và 18.000 nhân viên. Tin tức về vụ tấn công bắt đầu vào ngày 3 tháng 8 khi chi nhánh Rhode Island của Prospect Medical, CharterCare Health Partners, thông báo rằng hệ thống của họ bị tê liệt và sự gián đoạn ảnh hưởng đến các hoạt động điều trị nội trú và ngoại trú.
Trong một tuyên bố trên trang web của mình vào ngày hôm sau, Prospect Medical xác nhận rằng sự cố bảo mật dữ liệu gần đây đã gây ra thiệt hại về kinh doanh, kéo dài đến ngày 12 tháng 9, khi các hệ thống cuối cùng được khôi phục.
Nhóm ransomware Rhysida nhận trách nhiệm về vụ tấn công vào cuối tháng 8 và Prospect Medical đã ban hành thông báo vi phạm dữ liệu vào ngày 29 tháng 9. Thông báo tiết lộ rằng kẻ tấn công đã truy cập vào hệ thống của Prospect Medical từ ngày 31 tháng 7 đến ngày 3 tháng 8. Thông tin bị rò rỉ bao gồm tên, địa chỉ, ngày sinh, chẩn đoán, kết quả xét nghiệm, thuốc, thông tin điều trị khác và thông tin bảo hiểm y tế. Trong một số trường hợp, kẻ tấn công cũng có thể truy cập vào số an sinh xã hội, bằng lái xe và thông tin tài chính. Những kẻ đứng sau Rhysida đã rao bán dữ liệu bị đánh cắp trên một trang web chợ đen, mặc dù không rõ liệu có ai đã mua những dữ liệu đó hay không.
MGM Resorts
Gã khổng lồ sòng bạc Las Vegas, MGM Resorts, đã phải chịu đựng những thiệt hại kéo dài và hậu quả nặng nề từ cuộc tấn công ransomware khét tiếng vào mùa hè này. Vào ngày 12 tháng 9, MGM xác nhận rằng họ đã bị tấn công mạng buộc phải đóng cửa một số hệ thống và liên hệ với cơ quan pháp luật. Sự cố bắt đầu vào ngày 10 tháng 9 và khách hàng báo cáo sự cố với chìa khóa phòng, tiện nghi khách sạn và sòng bạc.
Sau đó, người ta tiết lộ rằng những kẻ điều hành BlackCat đã truy cập vào MGM thông qua một cuộc tấn công trước đó nhắm vào bên cung cấp dịch vụ quản lý thông tin và truy cập của công ty, Okta. Một khách hàng khác của Okta, Caesars Entertainment, cũng bị ảnh hưởng bởi một cuộc tấn công tương tự, nhưng không gặp phải thiệt hại nghiêm trọng như MGM.
Giám đốc điều hành MGM, Bill Hornbuckle, đã tiết lộ thêm thông tin trong bản cập nhật và hồ sơ 8-K vào ngày 5 tháng 10. Hornbuckle xác nhận rằng kẻ tấn công đã lấy được thông tin cá nhân thuộc về khách hàng giao dịch với sòng bạc trước tháng 3 năm 2019. MGM đã thông báo cho một số khách hàng có số an sinh xã hội và hộ chiếu bị rò rỉ trong vụ tấn công này.
Điều đáng chú ý nhất trong biểu mẫu 8-K là thiệt hại của cuộc tấn công ransomware đối với sòng bạc. MGM báo cáo khoản lỗ 100 triệu USD do gián đoạn hoạt động kinh doanh. Số tiền đó không bao gồm khoản chi phí dưới 10 triệu USD mà MGM bỏ ra cho các dịch vụ tư vấn công nghệ, phí pháp lý và chi phí của các cố vấn bên thứ ba khác. Tuy nhiên, MGM tự tin rằng khoản lỗ sẽ được chi trả theo hợp đồng bảo hiểm của họ.
Boeing
Sau khi nhóm ransomware LockBit liệt kê Boeing trên trang web rò rỉ dữ liệu công khai của họ, trang này thường được các nhóm sử dụng để buộc nạn nhân trả tiền chuộc, gã khổng lồ hàng không vũ trụ đã phối hợp với cơ quan pháp luật để bắt đầu điều tra về một cuộc tấn công mạng tiềm ẩn.
Vào ngày 27 tháng 10, LockBit đã đưa Boeing vào danh sách của chúng và đe dọa sẽ công khai dữ liệu bị đánh cắp được cho là của Boeing nếu như công ty không trả tiền chuộc trước ngày 2 tháng 11. Mặc dù Boeing đã được gỡ khỏi danh sách này vào ngày 2 tháng 11, nhưng đó chỉ là tạm thời. Vào ngày 10 tháng 11, LockBit đã đưa Boeing trở lại danh sách và công khai một số dữ liệu nhạy cảm. Động cơ của hành động này vẫn chưa rõ ràng.
Trong một tuyên bố với TechTarget Editorial vào ngày 13 tháng 11, người phát ngôn của Boeing xác nhận rằng một sự cố an ninh mạng gần đây đã ảnh hưởng đến hoạt động kinh doanh phụ tùng và phân phối của họ, nhưng khẳng định rằng mối đe dọa này không gây rủi ro cho an toàn hàng không. Người phát ngôn cũng đã nắm thông tin về tuyên bố của LockBit và cho biết công ty đã thông báo cho những người có thể bị ảnh hưởng.
Henry Schein
Công ty cung cấp vật tư nha khoa và y tế lớn Henry Schein đã phải hứng chịu 2 cuộc tấn công liên tiếp chỉ trong một tháng từ nhóm ransomware BlackCat - nhóm gây ra nhiều thiệt hại cho các tổ chức trong suốt năm 2023. Cuộc tấn công đầu tiên nhằm vào nhà cung cấp có trụ sở tại New York này xảy ra vào ngày 14 tháng 10, và cuộc tấn công thứ hai diễn ra vào ngày 22 tháng 11.
Vào ngày 15 tháng 10, trong một tuyên bố, Henry Schein xác nhận rằng "một phần hoạt động sản xuất và phân phối của họ đã gặp phải sự cố an ninh mạng." Nhà cung cấp vật tư y tế này đã chủ động ngắt kết nối hệ thống, gây ra gián đoạn kinh doanh.
Vào ngày 13 tháng 11, Henry Schein đã gửi thông báo vi phạm dữ liệu cho khách hàng và nhà cung cấp, tiết lộ rằng thông tin tài khoản ngân hàng và thẻ tín dụng có thể đã bị xâm phạm. Ngay khi công ty đang khôi phục hệ thống, BlackCat lại tấn công lần nữa. Vào ngày 22 tháng 11, Henry Schein thông báo rằng một số ứng dụng, bao gồm nền tảng thương mại điện tử của họ, không thể truy cập được.
"Henry Schein đã xác định được nguyên nhân của sự cố. Kẻ tấn công mạng từ sự cố an ninh mạng được công bố trước đó đã nhận trách nhiệm," công ty viết trong bản cập nhật.
Đến ngày 27 tháng 11, nền tảng thương mại điện tử của Henry Schein tại Mỹ đã được khôi phục và dự kiến sẽ sớm hoạt động trở lại tại Canada và châu Âu. CISA đã cảnh báo các doanh nghiệp về xu hướng tấn công ransomware kép vào tháng 9. Các chuyên gia an ninh thông tin cho rằng xu hướng này có thể là phản ứng trước các cuộc đàm phán ransomware ngày càng thành công, giúp các nạn nhân giảm thiểu số tiền phải trả.
Ardent Health Services
Ardent Health Services ở Tennessee đã bị tấn công vào đúng ngày Lễ Tạ ơn. Công ty đã chủ động ngắt kết nối hệ thống, ảnh hưởng đến quyền truy cập vào máy chủ của công ty, internet và các chương trình lâm sàng. Một tháng sau, nhiều dịch vụ vẫn chưa hoạt động trở lại.
Do sự cố mất điện, nhiều bệnh viện thuộc sở hữu của Ardent buộc phải chuyển hướng xe cứu thương, bao gồm UT Health East Texas, Lovelace Health System ở New Mexico và Hackensack Meridian Pascack Valley Medical Center ở New Jersey. Các ca phẫu thuật không cấp thiết tạm thời bị hoãn cho đến giữa tháng 12.
Trong bản cập nhật ngày 19 tháng 12, Ardent cho biết họ đang tiếp tục khôi phục nền tảng hồ sơ sức khỏe và các hệ thống lâm sàng khác. Ardent yêu cầu bệnh nhân liên hệ với các bác sĩ qua điện thoại trong thời gian khôi phục hệ thống. Cuộc điều tra vẫn đang diễn ra và chưa có nhóm ransomware nào nhận trách nhiệm về vụ tấn công nghiêm trọng này.
"Chúng tôi chân thành xin lỗi vì sự phiền toái mà sự cố này gây ra cho nhiều bệnh nhân," Ardent viết trong bản cập nhật sự cố an ninh mạng.
Quyền truy cập vào cổng bệnh nhân MyChart đã được khôi phục vào ngày 21 tháng 12, nhưng Ardent cho biết, "Hiện tại, chúng tôi chưa có mốc thời gian cụ thể để khôi phục tất cả các hệ thống."
Theo TechTarget.