ANH QUỐC: Bốn người bị bắt trong các vụ tấn công bằng ransomware với quy mô lớn do bọn hackers DragonForce thực hiện

[trungthuc]

Sự gián đoạn hoạt động kinh doanh do cuộc tấn công mạng vào M&S vẫn còn tiếp diễn và dự kiến sẽ khiến hệ thống bán lẻ lớn này bị thiệt hại hàng trăm triệu bảng Anh.

Bốn người đã bị bắt giữ trong cuộc điều tra của giới cảnh sát về các cuộc tấn công mạng nhắm vào ba hệ thống bán lẻ nổi tiếng nước Anh là M&S (Marks & Spencer), Co-op (Co-operative Group) và Harrods.

Một cô gái 20 tuổi, hai nam thanh niên đều 19 tuổi và một người 17 tuổi đã bị bắt giữ tại London, và khu thành thị West Midlands trong khuôn khổ chiến dịch của Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), theo nguồn tin từ Sky News.

Họ bị bắt tại nhà riêng với nghi ngờ vi phạm Đạo luật Lạm dụng máy tính, tống tiền, rửa tiền và tham gia vào các hoạt động của một tổ chức tội phạm có tổ chức.

Các thiết bị điện tử của bốn kẻ nghi phạm này đã bị thu giữ và đang được những chuyên gia pháp y phân tích.

M&S đã phải ngừng nhận đơn đặt hàng trực tuyến và các kệ trong cửa hàng trở nên trống rỗng sau cuộc tấn công mạng vào tháng 4 vừa qua.

Cuộc tấn công ban đầu nhắm vào hệ thống của hệ thống bán lẻ này thông qua hình thức giả mạo rất tinh vi có liên quan đến một bên thứ ba. Dự kiến sự gián đoạn tại M&S sẽ tiếp diễn cho đến hết tháng 7 này.

Co-op và Harrods cũng lần lượt trở thành mục tiêu của bọn hacker sau đó.

Paul Foster, người đứng đầu đơn vị tội phạm mạng quốc gia của NCA, mô tả các vụ bắt giữ này là "bước đi quan trọng ở cuộc điều tra" mà ông cho biết vẫn là "một trong những ưu tiên hàng đầu hiện nay của cơ quan".

Ông cho biết thêm: "Chúng tôi vẫn đang tiếp tục điều tra, phối hợp với các đối tác trong và ngoài nước, để bảo đảm những kẻ chịu trách nhiệm sẽ bị xác định ra và đưa ra xét xử trước công lý".

Các vụ bắt giữ này vào sáng sớm 10.7 (giờ địa phương) nhận được sự hỗ trợ từ đơn vị tội phạm có tổ chức khu vực West Midlands và đơn vị tác chiến đặc biệt ở East Midlands.

Những kệ hàng trống rỗng tại một chi nhánh của Co-op ở thành phố Manchester (Anh) sau vụ tấn công mạng lớn (Ảnh: PA)

Hồi đầu tuần này, Archie Norman (Chủ tịch M&S) nói với các nghị sĩ Anh rằng vụ tấn công mạng đã gây ra sự "tổn thương về tinh thần nghiêm trọng và giống như một sự trải nghiệm cay đắng lớn trên cơ thể".

Tuy nhiên, ông đã từ chối trả lời câu hỏi liệu M&S đã có trả tiền chuộc hay không.

"Chúng tôi không tiết lộ bất cứ chi tiết nào về sự tương tác của M&S với kẻ đe dọa, gồm cả chủ đề này, nhưng toàn bộ các thông tin đã được chia sẻ đầy đủ cho NCA", ông này nói.

Ước tính cuộc tấn công mạng sẽ khiến cho M&S bị thiệt hại lên đến 300 triệu bảng trong năm nay.

M&S: Nhóm DragonForce thực hiện vụ tấn công bằng ransomware quy mô lớn

M&S hôm 8/7 đã xác nhận rằng hệ thống mạng của hãng bán lẻ này ban đầu đã bị xâm nhập thông qua một "cuộc tấn công mạng giả mạo tinh vi", cuối cùng đã dẫn đến cuộc tấn công bằng ransomware (mã độc tống tiền) do bọn tin tặc DragonForce thực hiện.

Chủ tịch Archie Norman đã tiết lộ thông tin này trong buổi điều trần trước Tiểu ban Kinh tế thuộc Ủy ban Kinh doanh và thương mại của Quốc hội Vương quốc Anh, liên quan đến các cuộc tấn công mạng gần đây nhằm vào ngành bán lẻ tại Anh.

Dù không đi sâu vào chi tiết, ông cho biết những kẻ tấn công đã giả mạo một trong số 50,000 người đang làm việc với M&S để lừa bên thứ ba cho đặt lại mật khẩu của một nhân viên.

"Trong trường hợp xảy ra với chúng tôi, cuộc xâm nhập ban đầu diễn ra vào ngày 17/4 thông qua cái mà giờ người ta gọi là kỹ thuật xã hội. Theo tôi hiểu, đó là một từ hoa mỹ cho việc mạo danh. Đây là một cuộc mạo danh tinh vi. Họ không đơn giản chỉ đến và nói: 'Hãy đổi mật khẩu cho tôi'. Họ xuất hiện với đầy đủ thông tin như thể là người thật. Và một phần trong quy trình xâm nhập trái phép này cũng có liên quan đến bên thứ ba", Archie Norman giải thích với các nghị sĩ.

Hồi tháng 5, Financial Times có đưa tin nói rằng, công ty phần mềm CNTT Tata Consultancy Services đã bắt đầu điều tra xem liệu họ có vô tình dính líu đến vụ tấn công M&S hay không. Tata Consultancy Services cung cấp dịch vụ hỗ trợ kỹ thuật cho M&S và có nhiều khả năng đã bị những kẻ tấn công lừa đảo để cho đổi mật khẩu của một nhân viên. Sau đó, mật khẩu này đã được sử dụng để xâm nhập trái phép vào hệ thống của M&S.

Lần đầu tiên M&S đã chính thức nhắc đến tên DragonForce là nhóm tin tặc đứng phía sau vụ tấn công và nói nhóm ransomware này được cho là hoạt động từ châu Á.

"Kẻ chủ mưu của vụ tấn công được cho là DragonForce, nhóm tin tặc ransomware mà chúng tôi tin rằng có trụ sở đặt tại châu Á", ông Archie Norman nói.

Kể từ sau vụ tấn công M&S, nhiều giới truyền thông đã lầm lẫn khi liên kết bọn tin tặc DragonForce Malaysia (nhóm hacker hoạt động vì mục tiêu chính trị, xã hội hoặc tư tưởng) với DragonForce này.

DragonForce Malaysia được cho là ủng hộ Palestine và đang hoạt động tại Malaysia.

Theo trang BleepingComputer, vụ tấn công nhắm vào M&S do bọn tin tặc co liên quan đến nhóm Scattered Spider thực hiện, với ransomware của DragonForce được cho triển khai trên hệ thống.

Scattered Spider là tên được đặt (không chính thức) cho nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Nhóm này có liên quan đến vụ tấn công hãng hàng không Qantas (Úc) gần đây.

Vụ việc buộc M&S phải chủ động tắt toàn bộ hệ thống để ngăn chặn sự lan rộng của ransomware. Tuy nhiên, đến lúc đó thì đã quá muộn vì nhiều máy chủ VMware ESXi đã bị mã hóa khóa chặt và các nguồn tin nói với BleepingComputer rằng khoảng 150GB dữ liệu đã bị tin tặc đánh cắp.

Chiến thuật của bọn tin tặc DragonForce là "tống tiền kép", tức là không chỉ cho mã hóa khóa chặt số liệu mà còn lấy đánh cắp và đe dọa sẽ cho công bố ra nếu tiền chuộc không được thanh toán.

Dù BleepingComputer được thông báo rằng số liệu đã bị đánh cắp, bọn DragonForce vẫn chưa đăng lên thông tin nào về M&S trên trang rò rỉ số liệu của họ. Điều này có thể cho thấy M&S đã đồng ý trả tiền chuộc để ngăn sự rò rỉ số liệu đã bị đánh cắp.

Khi được hỏi về yêu cầu tiền chuộc trong phiên điều trần, Archie Norman nói:"Chúng tôi sớm đưa ra quyết định rằng không ai tại M&S sẽ làm việc trực tiếp với những kẻ đe dọa. Chúng tôi cảm thấy điều đúng đắn là nên để việc đó cho các chuyên gia có kinh nghiệm phụ trách".

Có thể ông đang nói đến các công ty chuyên đứng ra làm trung gian thương lượng tiền chuộc, hỗ trợ các công ty trong việc đàm phán với kẻ đe dọa và cung cấp Bitcoin để thanh toán cho chúng.

Về câu hỏi liệu M&S có trả tiền chuộc hay không, Archie Norman nói họ sẽ không cho công khai ra các chi tiết này vì "không cho có lợi cho công chúng", nhưng khẳng định rằng mọi thông tin liên quan đã được chia sẻ đầy đủ với NCA và các cơ quan chức năng.

Các nhóm ransomware gần như không bao giờ hành động mà không ra tay để đòi tiền chuộc, thế nên nếu các số liệu đã bị đánh cắp nhưng chưa bị rò rỉ đến nay thì có khả năng M&S đã chi trả tiền chuộc hoặc các cuộc đàm phán vẫn còn đang tiếp tục.