Bốn người bị bắt vì các vụ tấn công bằng ransomware quy mô lớn do DragonForce thực hiện
Sự gián đoạn do cuộc tấn công vào M&S vẫn tiếp diễn và dự kiến sẽ khiến nhà bán lẻ lớn này thiệt hại hàng trăm triệu bảng Anh.
Bốn người đã bị bắt giữ trong cuộc điều tra của cảnh sát về các cuộc tấn công mạng nhắm vào ba nhà bán lẻ nổi tiếng nước Anh là M&S (Marks & Spencer), Co-op (Co-operative Group) và Harrods.
Một cô gái 20 tuổi, hai nam thanh niên đều 19 tuổi và một người 17 tuổi đã bị bắt giữ tại London (thủ đô Anh) và khu thành thị West Midlands trong khuôn khổ chiến dịch của Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), theo trang Sky News.
Họ bị bắt tại nhà riêng với nghi ngờ vi phạm Đạo luật Lạm dụng máy tính, tống tiền, rửa tiền và tham gia vào các hoạt động của một tổ chức tội phạm có tổ chức.
Các thiết bị điện tử của bốn nghi phạm này đã bị thu giữ và đang được những chuyên gia pháp y phân tích.
M&S đã phải ngừng nhận đơn đặt hàng trực tuyến và các kệ trong cửa hàng trở nên trống rỗng sau cuộc tấn công mạng vào tháng 4.
Cuộc tấn công ban đầu vào hệ thống của nhà bán lẻ này thông qua hình thức “giả mạo tinh vi” liên quan đến một bên thứ ba. Dự kiến sự gián đoạn tại M&S sẽ tiếp diễn đến hết tháng 7 này.
Co-op và Harrods cũng lần lượt trở thành mục tiêu của hacker sau đó.
Paul Foster, người đứng đầu đơn vị tội phạm mạng quốc gia của NCA, mô tả các vụ bắt giữ này là “bước tiến quan trọng” ở cuộc điều tra mà ông cho biết vẫn là “một trong những ưu tiên hàng đầu của cơ quan”.
Ông nói thêm: “Chúng tôi vẫn đang tiếp tục điều tra, phối hợp với các đối tác trong và ngoài nước, để đảm bảo những người chịu trách nhiệm sẽ bị xác định và đưa ra trước công lý”.
Các vụ bắt giữ vào sáng sớm 10.7 (giờ địa phương) nhận được sự hỗ trợ từ đơn vị tội phạm có tổ chức khu vực West Midlands và đơn vị tác chiến đặc biệt East Midlands.
Những kệ hàng trống rỗng tại một chi nhánh của Co-op ở thành phố Manchester (Anh) sau vụ tấn công mạng lớn - Ảnh: PA
Đầu tuần này, Archie Norman (Chủ tịch M&S) nói với các nghị sĩ Anh rằng vụ tấn công mạng gây ra “tổn thương tinh thần nghiêm trọng” và giống như một "trải nghiệm trên cơ thể".
Tuy nhiên, ông đã từ chối trả lời câu hỏi liệu M&S có trả tiền chuộc hay không.
“Chúng tôi không tiết lộ bất kỳ chi tiết nào về tương tác của M&S với kẻ đe dọa, gồm cả chủ đề này, nhưng toàn bộ thông tin đã được chia sẻ đầy đủ cho NCA”, ông nói.
Ước tính cuộc tấn công mạng sẽ khiến M&S thiệt hại lên tới 300 triệu bảng trong năm nay.
M&S: Nhóm DragonForce thực hiện vụ tấn công bằng ransomware quy mô lớn
M&S hôm 8.7 xác nhận rằng hệ thống mạng của hãng bán lẻ này ban đầu đã bị xâm nhập thông qua một “cuộc tấn công giả mạo tinh vi”, cuối cùng dẫn đến cuộc tấn công bằng ransomware (mã độc tống tiền) do nhóm DragonForce thực hiện.
Chủ tịch Archie Norman đã tiết lộ thông tin này trong buổi điều trần trước Tiểu ban Kinh tế thuộc Ủy ban Kinh doanh và thương mại của Quốc hội Vương quốc Anh, liên quan đến các cuộc tấn công mạng gần đây nhằm vào ngành bán lẻ tại Anh.
Dù không đi sâu vào chi tiết, ông cho biết những kẻ tấn công đã giả mạo một trong số 50.000 người đang làm việc với M&S để lừa bên thứ ba đặt lại mật khẩu của một nhân viên.
“Trong trường hợp của chúng tôi, cuộc xâm nhập ban đầu diễn ra vào ngày 17.4 thông qua cái mà giờ người ta gọi là kỹ thuật xã hội. Theo tôi hiểu, đó là một từ hoa mỹ cho việc mạo danh. Đây là một cuộc mạo danh tinh vi. Họ không đơn giản chỉ đến và nói: ‘Hãy đổi mật khẩu cho tôi’. Họ xuất hiện với đầy đủ thông tin như thể là người thật. Và một phần trong quy trình xâm nhập cũng có liên quan đến bên thứ ba”, Archie Norman giải thích với các nghị sĩ.
Hồi tháng 5, trang Financial Times đưa tin rằng công ty gia công phần mềm CNTT Tata Consultancy Services đã bắt đầu điều tra xem liệu họ có vô tình liên quan đến vụ tấn công M&S hay không. Tata Consultancy Services cung cấp dịch vụ hỗ trợ kỹ thuật cho M&S và nhiều khả năng đã bị những kẻ tấn công lừa đổi mật khẩu của một nhân viên. Sau đó, mật khẩu này được sử dụng để xâm nhập vào hệ thống của M&S.
Lần đầu tiên M&S đã chính thức nhắc đến DragonForce là tác nhân đứng sau vụ tấn công và nói nhóm ransomware này được cho là hoạt động từ châu Á.
“Kẻ chủ mưu của vụ tấn công được cho là DragonForce - nhóm ransomware mà chúng tôi tin rằng có trụ sở tại châu Á”, Archie Norman nói.
Nhóm ransomware là tổ chức hoặc mạng lưới tội phạm mạng chuyên phát triển, phát tán và sử dụng ransomware để thực hiện các cuộc tấn công nhằm thu lợi bất chính. Thay vì một cá nhân riêng lẻ, các cuộc tấn công ransomware ngày nay thường được thực hiện bởi các nhóm có cấu trúc và hoạt động chuyên nghiệp.
Cách thức hoạt động của các nhóm ransomware
Các nhóm ransomware không chỉ đơn thuần là những kẻ tấn công đơn lẻ, mà hoạt động với một mô hình phức tạp và có tổ chức:
Phân công vai trò: Trong một nhóm ransomware, có các thành viên chuyên về nghiên cứu và phát triển mã độc, những người khác tập trung vào việc tìm kiếm và khai thác lỗ hổng bảo mật, kẻ chuyên thâm nhập mạng lưới và chuyên đàm phán tiền chuộc.
Mô hình ransomware-as-a-service (RaaS): Nhiều nhóm hoạt động theo mô hình RaaS. Theo đó, những kẻ phát triển ransomware sẽ tạo ra các công cụ và hạ tầng cần thiết, sau đó cho thuê hoặc bán chúng cho những kẻ tấn công khác (thường được gọi là đối tác liên kết). Các đối tác liên kết này sẽ trực tiếp thực hiện cuộc tấn công và chia sẻ lợi nhuận với nhà phát triển ransomware. Điều này giúp mở rộng quy mô và tần suất các cuộc tấn công.
Gây áp lực tống tiền: Đây là chiến thuật phổ biến mà các nhóm ransomware sử dụng. Ngoài việc mã hóa dữ liệu, chúng còn đánh cắp dữ liệu nhạy cảm của nạn nhân. Nếu nạn nhân không trả tiền chuộc, các nhóm ransomware sẽ đe dọa công khai hoặc bán dữ liệu đó trên dark web (web tối), tạo thêm áp lực để nạn nhân phải trả tiền.
Chiến thuật tinh vi: Các nhóm này thường sử dụng các kỹ thuật tấn công phi kỹ thuật như gửi email lừa đảo (phishing), khai thác lỗ hổng trong phần mềm và hệ điều hành, hoặc mua lại thông tin đăng nhập đã bị đánh cắp để giành quyền truy cập vào mạng lưới của nạn nhân.
Cơ sở hạ tầng dark web: Chúng thường quảng bá dịch vụ, liên lạc với các đối tác liên kết và thực hiện giao dịch trên dark web để duy trì tính ẩn danh.
Kể từ sau vụ tấn công M&S, nhiều phương tiện truyền thông đã nhầm lẫn khi liên kết DragonForce Malaysia (nhóm hacker hoạt động vì mục tiêu chính trị, xã hội hoặc tư tưởng) với DragonForce.
DragonForce Malaysia được cho là ủng hộ Palestine và đang hoạt động tại Malaysia.
Theo trang BleepingComputer, vụ tấn công nhắm vào M&S do các tác nhân liên quan đến nhóm Scattered Spider thực hiện, với ransomware của DragonForce được triển khai trên hệ thống.
Scattered Spider là tên được đặt (không chính thức) cho nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Nhóm này có liên quan đến vụ tấn công hãng hàng không Qantas (Úc) gần đây.
Vụ việc buộc M&S phải chủ động tắt toàn bộ hệ thống để ngăn chặn sự lan rộng của ransomware. Tuy nhiên, đến lúc đó thì đã quá muộn vì nhiều máy chủ VMware ESXi đã bị mã hóa và các nguồn tin nói với BleepingComputer rằng khoảng 150GB dữ liệu bị đánh cắp.
VMware ESXi là sản phẩm của hãng VMware và là một trong những nền tảng ảo hóa phổ biến nhất thế giới. Nó thuộc loại bare-metal hypervisor, tức là cài đặt trực tiếp lên phần cứng vật lý, không cần hệ điều hành trung gian như Windows hay Linux.
Chiến thuật của nhóm DragonForce là “tống tiền kép”, tức là không chỉ mã hóa dữ liệu mà còn đánh cắp và đe dọa công bố chúng nếu tiền chuộc không được thanh toán.
Dù BleepingComputer được thông báo rằng dữ liệu đã bị đánh cắp, DragonForce vẫn chưa đăng thông tin nào về M&S trên trang rò rỉ dữ liệu của họ. Điều này có thể cho thấy M&S đã trả tiền chuộc để ngăn rò rỉ dữ liệu bị đánh cắp.
Khi được hỏi về yêu cầu tiền chuộc trong phiên điều trần, Archie Norman nói: “Chúng tôi sớm đưa ra quyết định rằng không ai tại M&S sẽ làm việc trực tiếp với những kẻ đe dọa. Chúng tôi cảm thấy điều đúng đắn là để việc đó cho các chuyên gia có kinh nghiệm”.
Có thể ông đang nói đến các công ty chuyên thương lượng tiền chuộc, hỗ trợ doanh nghiệp trong việc đàm phán với kẻ đe dọa và cung cấp Bitcoin để thanh toán.
Về câu hỏi liệu M&S có trả tiền chuộc hay không, Archie Norman nói họ không công khai các chi tiết này vì “không cho rằng điều đó có lợi cho công chúng”, nhưng khẳng định rằng mọi thông tin liên quan đã được chia sẻ đầy đủ với NCA và các cơ quan chức năng.
Các nhóm ransomware gần như không bao giờ hành động mà không tống tiền, thế nên nếu dữ liệu đã bị đánh cắp nhưng chưa bị rò rỉ đến nay thì có khả năng M&S đã trả tiền chuộc hoặc các cuộc đàm phán vẫn đang diễn ra.
