Mã độc tống tiền Conti nhắm mục tiêu vào tổ chức y tế Mỹ
FBI cho biết: “Đã xác định được ít nhất 16 cuộc tấn công ransomware Conti nhắm vào các mạng lưới chăm sóc sức khỏe và ứng cứu khẩn cấp của Mỹ, bao gồm các cơ quan thực thi pháp luật, dịch vụ y tế khẩn cấp, trung tâm điều phối 911 và các thành phố tự trị trong năm 2020”.
Các cuộc tấn công bằng mã độc tống tiền đã trở nên tồi tệ hơn trong những năm qua, với các mục tiêu ngày càng đa dạng như chính quyền tiểu bang và địa phương, bệnh viện, sở cảnh sát và cơ sở hạ tầng quan trọng. Ransomware Conti bắt đầu hoạt động vào tháng 7/2020 với tư cách là một Ransomware-as-a-Service (RaaS) riêng.
Dựa trên một phân tích được công bố bởi công ty khôi phục ransomware Coveware vào tháng 4/2021, Conti là chủng phổ biến thứ hai được triển khai, chiếm 10,2% trong tổng số các cuộc tấn công ransomware trong quý đầu tiên của năm 2021.
Các trường hợp lây nhiễm liên quan đến Conti cũng đã xâm nhập mạng của Cơ quan Điều hành dịch vụ y tế Ireland và Bộ Y tế, khiến Trung tâm An ninh mạng Quốc gia (NCSC) nước này phải đưa ra cảnh báo vào ngày 16/5/2021 rằng, có sự tác động đến các hoạt động y tế và một số thủ tục khẩn cấp đã bị bệnh viện hoãn lại.
Tin tặc đứng sau Conti được biết đến với việc xâm nhập vào mạng doanh nghiệp và phát tán mã độc theo chiều ngang trước khi khai thác thông tin đăng nhập của nạn nhân để triển khai và thực thi payload ransomware, với các tệp được mã hóa được đổi tên bằng phần mở rộng ".FEEDC".
FBI cho biết thêm, nhóm tin tặc sử dụng các liên kết email độc hại hoặc đánh cắp thông tin đăng nhập giao thức điều khiển máy tính từ xa (RDP) là một số chiến thuật xâm nhập ban đầu với mạng mục tiêu. Sau đó, chúng sẽ quan sát bên trong mạng nạn nhân trung bình từ 04 ngày đến 03 tuần trước khi triển khai ransomware Conti. Đáng lưu ý, nhóm tin tặc khá linh động trong việc điều chỉnh tiền chuộc cho phù hợp với từng nạn nhân, có đối tượng lên tới 25 triệu USD.
Cảnh báo này được đưa ra trong bối cảnh các sự cố ransomware liên tục gia tăng của trong thời gian gần đây. Công ty bảo hiểm CNA Financial được cho là đã phải chi trả 40 triệu USD cho vụ tấn công vào hệ thống của họ, trong khi Colonial Pipeline và Brenntag mỗi bên đã chi gần 5 triệu USD để có thể lấy lại được quyền truy cập vào hệ thống.
Nguyễn Chân