FBI cảnh báo tấn công mã độc, tống tiền bệnh viện

Theo GIZMODO, báo cáo của tờ Tuscaloosa cho biết, Alabama – nơi đặt trụ sở của Hệ thống Y tế DCH đã bị ép đưa tiền chuộc cho tin tặc sau cuộc tấn công làm gián đoạn nghiêm trọng hoạt động tại ba bệnh viện bằng mã độc tống tiền (ransomware). Theo tin cảnh báo mới nhất của FBI, số vụ tấn công tinh vi nhằm vào các doanh nghiệp, chính quyền địa phương và các bang vẫn còn đang tiếp tục gia tăng.

Các cuộc tấn công bằng mã độc tống tiền hoạt động bằng cách mã hóa toàn bộ hệ thống các tệp tin, sau đó những kẻ tấn công sẽ yêu cầu một khoản tiền chuộc (thường là tiền điện tử) để được cung cấp mã giải khóa chính xác. Trong vài năm trở lại đây, những cuộc tấn công bằng mã độc tống tiền với mục tiêu là các doanh nghiệp để đòi hỏi các khoản thanh toán lớn đã trở thành vấn đề cấp thiết nhất nước này.

Trong vụ việc ở Alabama, các nhân viên y tế tại các bệnh viện ở Tuscaloosa, Northport, và Fayette đã bị buộc phải đổi sang hệ thống giấy tờ thủ công để theo dõi dữ liệu bệnh nhân khi hệ thống bị sập. Cả ba bệnh viện cho biết rằng, họ sẽ chuyển “tất cả bệnh nhân trừ những người mới đang cực kì nguy kịch” đến các trung tâm chăm sóc sức khỏe ở những khu vực khác trong suốt thời gian ngừng hoạt động.

FBI cảnh báo tấn công mã độc, tống tiền bệnh viện.

Các quan chức của DCH không tiết lộ số tiền phải chi trả, nhưng Brad Fisher – người phát ngôn của hệ thống trên cho biết, các nhân viên đang làm việc liên tục để khắc phục thiệt hại và không có thông tin bệnh nhân nào bị xâm phạm. Trước đó, cũng đã có một vụ vi phạm dữ liệu khác nhắm vào Công ty dược phẩm UAB ở Birmingham, tuy nhiên tin tặc đã không thành công trong việc đánh cắp tiền gửi tự động.

“Chúng tôi đã làm việc với các chuyên gia thực thi pháp luật và bảo mật công nghệ thông tin để đánh giá tất cả những phương án có thể trong việc thực hiện giải pháp mà chúng tôi cảm thấy là tốt nhất cho lợi ích bệnh nhân và phù hợp với nhiệm vụ của hệ thống y tế”.

Keith Fisher chia sẻ: “ Điều này bao gồm việc mua khóa giải mã từ hacker để đẩy nhanh quá trình phục hồi hệ thống và giúp đảm bảo an toàn cho bệnh nhân. Vì lý do bảo mật, chúng tôi sẽ giữ bí mật những chi tiết cụ thể về cuộc điều tra và sự phối hợp của chúng tôi với kẻ tấn công.”

Trong một báo cáo trên trang web DCH, công ty cho biết họ đang làm việc với các cơ quan thực thi pháp luật và các đội công nghệ thông tin bắt đầu “sử dụng các tệp tin sao lưu DCH của chúng tôi để xây dựng lại một số thành phần hệ thống và chúng tôi đã lấy được khóa giải mã từ kẻ tấn công để khôi phục quyền truy cập vào hệ thống đang bị khóa”. 

Trong khi đó, DCH vẫn tiếp tục chuyển bệnh nhân đến các tổ chức khác, vì sự phục hồi sẽ “đòi hỏi một quá trình tốn nhiều thời gian để hoàn thành, và chúng tôi sẽ phải tiếp tục thử nghiệm và xác nhận các hoạt động bảo đảm ngay cả khi chúng tôi đã hoạt động trở lại.”

Biến thể cụ thể của mã độc tống tiền liên quan đến vụ việc này đã được báo cáo là Ryuk. Theo công ty bảo mật Crowdstrike, có bằng chứng quan trọng cho thấy các cuộc tấn công của Ryuk có thể được điều phối bởi một nhóm tội phạm mạng duy nhất có trụ sở ở Nga có tên là GRIM SPIDER (xuất hiện trên danh nghĩa là một phần “trò chơi săn mồi” của một tổ chức lớn hơn, WIZARD SPIDER).

“Thanh toán trên mạng là nhiên liệu thúc đẩy các cuộc tấn công của mã độc tống tiền”, Brett Callow, một phát ngôn viên của công ty an ninh mạng Emsisoft, cho biết “Cách duy nhất để ngăn chặn các cuộc tấn công là làm cho chúng không còn có lợi. Tuy vậy không có nghĩa là các tổ chức bị ảnh hưởng không bao giờ chi trả nữa – vì một tổ chức như bệnh viện có thể có ít sự lựa chọn trong vấn đề này – mà thay vào đó họ nên tăng cường bảo mật để tránh bị ảnh hưởng ngay từ đầu.”

Emsisoft đã công bố một báo cáo chỉ ra rằng, trong chín tháng đầu năm 2019, ít nhất 621 “tổ chức chính phủ, nhà cung cấp dịch vụ chăm sóc sức khỏe và trường cao đẳng, đại học” đã phải chịu sự tấn công của mã độc tống tiền. Emsisoft cho biết, chi phí cho các cuộc tấn công là “không thể ước tính được” do thiếu dữ liệu công khai, nhưng tổng con số được ước tính có thể lên tới hàng trăm triệu.

Emsisoft cũng phát hiện ra rằng có 491 vụ tấn công nhằm vào các nhà cung cấp dịch vụ chăm sóc sức khỏe, bao gồm: một trung tâm y tế cộng đồng ở Louisville, Kentucky; một cuộc tấn công vào dịch vụ quản lý đám mây PerCSoft đã ảnh hưởng đến hàng trăm văn phòng nha khoa; và một cuộc tấn công vào một bệnh viện ở Wyoming.

Công ty bảo mật cảnh báo rằng các cuộc tấn công nhằm vào các nhà cung cấp dịch vụ quản lý (MSPs), các công ty cung cấp hỗ trợ công nghệ bên ngoài cho khách hàng đang gia tăng và khoản tiền chuộc trung bình cũng tăng lên vì được khuyến khích bởi các khoản thanh toán từ nạn nhân và các công ty bảo hiểm.

Callow lưu ý rằng Ryuk “có lẽ là mã độc tống tiền có vấn đề nhất hiện nay”, vì nó chứa các lỗi không thể phục hồi được một tỷ lệ lớn các tệp bị mã hóa. “Mã này chứa các lỗi khiến nó bị hỏng khoảng 1 trong mỗi 8 tệp mà nó mã hóa, do đó hầu như luôn mất dữ liệu trong các trường hợp này ngay cả khi tiền chuộc được trả (giải pháp của chúng tôi không có khả năng phục hồi các tệp bị hỏng đó)”, Call Callow nói.

“Đây là do vấn đề xử lý lỗi.Nói một cách đơn giản, việc xử lý lỗi của Ryuk là: ‘Nếu có lỗi xảy ra, nó hủy bỏ mà không viết khóa mã hóa.’ Điều này có nghĩa là nếu có vấn đề với việc đọc hoặc ghi tệp qua mạng (thứ chúng ta đang làm rất nhiều) thì tệp đó sẽ bị hỏng”.

“Kết quả là, một số dữ liệu được mã hóa, nhưng khóa mã hóa không bao giờ được lưu và vì Ryuk không mã hóa các tệp thành bản sao trước mà ghi trực tiếp luôn vào bản gốc nên các tệp đó không thể phục hồi được”, Call Callow cho biết thêm.

FBI đã đưa ra cảnh báo rằng cuộc tấn công của các phần mềm gián điệp “đang trở nên nhiều hơn, tinh vi và tốn kém hơn, ngay cả khi tần suất các cuộc tấn công vẫn ổn định”, với số lượng “các vụ tấn công bằng phần mềm gián điệp ngẫu nhiên và có quy mô” giảm mạnh nhưng những thiệt hại của các đối tượng bị nhắm tới tăng đáng kể. FBI cho biết thêm rằng, trong một số trường hợp, nạn nhân đã trả tiền chuộc không bao giờ được cung cấp khóa mã hóa.