Theo một báo cáo của TechCrunch, một nhóm ransomware có tên là Clop, được cho là có liên quan đến Nga, gần đây đã tiết lộ danh sách nạn nhân bị nhắm mục tiêu trong một loạt vụ hack lớn.

Nhóm đã lợi dụng một lỗ hổng bảo mật nghiêm trọng được tìm thấy trong MOVEit Transfer, một công cụ truyền tệp công ty được sử dụng rộng rãi, bắt đầu từ cuối tháng Năm. Progress Software, nhà phát triển của MOVEit, đã cố gắng khắc phục lỗ hổng, nhưng không phải trước khi một số khách hàng của họ trở thành nạn nhân của cuộc tấn công.

Mặc dù vẫn chưa chắc chắn về số lượng nạn nhân chính xác, Clop đã công bố danh sách sơ bộ các tổ chức bị cáo buộc đã bị tấn công bằng cách khai thác lỗ hổng MOVEit.

(Ảnh: Werner Moser từ Pixabay)

Trang web rò rỉ Dark Web

Danh sách được công bố trên trang web rò rỉ dark web Clop và bao gồm các tổ chức tài chính nổi tiếng như 1st Source và First National Bankers Bank, công ty quản lý đầu tư Putnam Investments có trụ sở tại Boston, Landal Greenparks của Hà Lan và công ty năng lượng khổng lồ Shell của Anh.

GreenShield Canada, một tổ chức phi lợi nhuận cung cấp lợi ích, ban đầu được liệt kê trong số các nạn nhân của vụ rò rỉ nhưng sau đó đã bị xóa.

Các thực thể khác bị ảnh hưởng bởi cuộc tấn công bao gồm Datasite, nhà cung cấp phần mềm tài chính; National Student Clearinghouse, một tổ chức giáo dục phi lợi nhuận; United Healthcare Student Resources, nhà cung cấp bảo hiểm sức khỏe cho sinh viên; Leggett & Platt, nhà sản xuất Mỹ; ÖKK, một công ty bảo hiểm của Thụy Sĩ và Hệ thống Đại học Georgia (USG).

Người phát ngôn của USG, người không muốn nêu tên, nói với TechCrunch rằng trường đại học đang đánh giá quy mô và mức độ nghiêm trọng của vi phạm dữ liệu tiềm ẩn. Nếu cần thiết, trường đại học sẽ tuân thủ các quy định của liên bang và tiểu bang và đưa ra các thông báo thích hợp.

Florian Pitzinger, phát ngôn viên của hãng kỹ thuật Đức Heidelberg thừa nhận vụ việc liên quan đến phần mềm của nhà cung cấp của họ được đề cập trên trang web Clop’s Tor. Pitzinger lưu ý rằng sự cố đã xảy ra vài tuần trước và đã được giải quyết kịp thời nên không có vi phạm dữ liệu nào.

Clop đã khác với cách tiếp cận thông thường bằng cách đăng các thông báo tống tiền trên trang web rò rỉ dark web của mình thay vì liên hệ trực tiếp với các tổ chức bị tấn công để đòi tiền chuộc. Các nạn nhân được hướng dẫn thiết lập quan hệ trước hạn chót ngày 14/6.

Đọc thêm: DOJ săn lùng tin tặc ransomware Nga bị cáo buộc với ưu đãi thưởng 10 triệu đô la

Lượng dữ liệu đáng kể bị đánh cắp

Mặc dù không có dữ liệu bị đánh cắp nào được tiết lộ công khai, nhưng Clop đã thông báo cho các nạn nhân rằng một lượng lớn dữ liệu của họ đã bị lấy cắp.

Nhiều nạn nhân hơn đã xuất hiện, bao gồm các tổ chức như BBC, Aer Lingus và British Airways, những tổ chức đã tiết lộ những thỏa hiệp trước đó do họ phụ thuộc vào hệ thống MOVEit của Zellis đối với nhân sự và bảng lương.

Chính phủ Nova Scotia, sử dụng MOVEit để chia sẻ tệp giữa các bộ, đã xác nhận khả năng thông tin cá nhân của công dân bị xâm phạm. Clop tuyên bố đã xóa tất cả dữ liệu cho các dịch vụ của chính phủ, thành phố và cảnh sát.

Sự cố an ninh mạng gần đây của Đại học Johns Hopkins được cho là có liên quan đến vụ hack lớn MOVEit, có khả năng làm lộ thông tin tài chính và cá nhân nhạy cảm.

Ofcom, cơ quan quản lý thông tin liên lạc ở Vương quốc Anh, đã xác nhận thông tin bí mật bị xâm phạm trong vụ hack MOVEit quy mô lớn. Điều này bao gồm dữ liệu từ các công ty dưới sự giám sát của nó và thông tin cá nhân của 412 nhân viên Ofcom.

Có thể tìm thấy hàng nghìn máy chủ MOVEit, chủ yếu ở Hoa Kỳ, cho thấy rằng sẽ sớm có thêm nhiều nạn nhân bị lộ diện. Các nhà nghiên cứu đã tìm thấy bằng chứng về việc Clop khai thác lỗ hổng MOVEit từ năm 2021, thử nghiệm các phương pháp khai thác lỗ hổng này trong gần hai năm.

Những bài viết liên quan: Phần mềm tống tiền nhanh nhất được xác định bởi Điểm kiểm tra; Đây là cách Rorschach hoạt động

gạch tên