Everis, một trong những công ty tư vấn CNTT lớn nhất ở Tây Ban Nha, đã phải chịu một cuộc tấn công ransomware vào thứ Hai, buộc công ty phải đóng cửa tất cả các hệ thống máy tính của mình cho đến khi vấn đề được giải quyết hoàn toàn.
Ransomware là một vi-rút máy tính mã hóa các tệp trên hệ thống bị nhiễm cho đến khi tiền chuộc được trả.
Theo một số phương tiện truyền thông địa phương, Everis đã thông báo cho nhân viên của mình về cuộc tấn công ransomware phá hoại lan rộng, nói rằng:
“Chúng tôi đang phải hứng chịu một cuộc tấn công virus lớn vào mạng nội bộ. Vui lòng tắt PC. Mạng đã bị ngắt kết nối với khách hàng và giữa các văn phòng. Chúng tôi sẽ cập nhật cho bạn thêm thông tin sau.”
“Xin vui lòng, khẩn trương thông báo trực tiếp đến các nhóm và đồng nghiệp của bạn.”
Theo chuyên gia tư vấn an ninh mạng Arnau Estebanell Castellví, các tệp được mã hóa bằng phần mềm độc hại trên máy tính của Everis có tên mở rộng giống với tên của công ty, tức là “.3v3r1s”, cho thấy cuộc tấn công được chuẩn bị riêng cho công ty.
Tại thời điểm này, không biết loại ransomware cụ thể nào đã được sử dụng để nhắm vào công ty, nhưng những kẻ tấn công đằng sau vụ tấn công đã yêu cầu 750.000 euro (~ 835.000 USD) tiền chuộc cho việc giải mã, một công ty nội bộ đã thông báo cho trang web bitcoin.es.
Tuy nhiên, xem xét tính chất của cuộc tấn công, người sáng lập VirusTotal trong một tweet cho thấy loại ransomware có thể là BitPaymer / IEncrypt, giống một phần mềm độc hại được phát hiện gần đây dùng để khai thác lỗ hổng zero-day trong phần mềm iTunes và iCloud của Apple.
Đây là thông báo của ransomware được hiển thị trên màn hình của các máy tính bị nhiễm trên toàn công ty:
Xin chào Everis, mạng của bạn đã bị hack và mã hóa.
Không có phần mềm giải mã miễn phí có sẵn trên web.
Gửi email cho chúng tôi tại sydney.wiley@protonmail.com hoặc evangelina.mathews@tutanota.com để nhận số tiền chuộc.
Hãy giữ bí mật chuyện này.
Làm lộ chuyện này có thể dẫn đến việc không thể giải mã các dữ liệu.
Có vẻ như Everis không phải là công ty duy nhất hứng chịu một cuộc tấn công ransomware sáng nay.
Một số công ty Tây Ban Nha và châu Âu khác cũng đã bị tấn công bởi một phần mềm độc hại ransomware tương tự trong cùng thời gian, trong đó mạng vô tuyến quốc gia La Cadena SER đã xác nhận cuộc tấn công mạng.
“SER đã phải chịu một cuộc tấn công của virus thuộc loại ransomware, mã hóa tệp, đã ảnh hưởng nghiêm trọng và lan rộng khắp đến tất cả các hệ thống máy tính của họ”, công ty cho biết.
“Theo giao thức được thiết lập trong các cuộc tấn công mạng, SER thấy cần phải ngắt kết nối tất cả các hệ thống máy tính đang hoạt động của họ.”
Công ty cũng đã thông báo rằng “các kỹ thuật viên của họ đang cố gắng phục hồi hệ thống của họ.”
Tại thời điểm hiện tại, không rõ liệu các tin tặc đứng sau các cuộc tấn công ransomware này có đồng lõa với nhau hay không, và liệu phần mềm độc hại đã xâm nhập vào các công ty có chứa các khả năng có thể bị lây lan trên mạng hay không.
Mặc dù chưa được xác nhận, một số người liên quan với vụ việc cũng nghi ngờ những kẻ tấn công có thể đã sử dụng lỗ hổng BlueKeep RDP để xâm chiếm các máy chủ của công ty, hoạt động khai thác hàng loạt đầu tiên được phát hiện vào ngày hôm qua trong một chiến dịch riêng biệt.
Trong khi đó, Bộ An ninh nội địa Tây Ban Nha cũng đưa ra cảnh báo về cuộc tấn công mạng đang diễn ra và khuyến nghị người dùng tuân theo các thủ tục bảo mật cơ bản như giữ cho hệ thống của họ được cập nhật và có bản sao lưu dữ liệu quan trọng của họ.
