Tấn công mạng: Mã độc Ransomware gây tê liệt hệ thống London

Ba hội đồng khu vực Tây London đang đối mặt với sự gián đoạn nghiêm trọng đối với hệ thống CNTT và đường dây điện thoại, xuất phát từ một cuộc tấn công mạng nhắm vào nhà cung cấp dịch vụ chia sẻ của họ. Mặc dù ban đầu các quan chức chỉ mô tả đây là “sự cố CNTT”, các dấu hiệu chuyên môn cho thấy đây có thể là một hình thức mã độc ransomware.

Phân Tích Cuộc Tấn Công Mạng và Phạm Vi Ảnh Hưởng

Bản chất sự cố và các bên liên quan

Các hội đồng bị ảnh hưởng bao gồm Royal Borough of Kensington and Chelsea (RBKC), Westminster City Council (WCC) và Hammersmith and Fulham Council.

Vấn đề này lần đầu tiên được ghi nhận vào tối Thứ Ba, ngày 25 tháng 11, theo thông báo chính thức từ RBKC.

Sự cố bắt nguồn từ việc nhà cung cấp dịch vụ chia sẻ, một đơn vị cung cấp hạ tầng và ứng dụng CNTT chung cho nhiều tổ chức, bị xâm nhập.

Đây là một kịch bản rủi ro bảo mật cao vì sự cố tại một điểm có thể ảnh hưởng đồng thời đến nhiều thực thể phụ thuộc.

Gián đoạn Dịch vụ và Tác động đến Cư dân

Cuộc tấn công đã gây gián đoạn đáng kể đối với các hệ thống back-office chính.

Các hệ thống này là xương sống cho nhiều dịch vụ trực tuyến của các hội đồng, khiến việc tiếp cận các dịch vụ công trở nên khó khăn.

Các báo cáo địa phương cho thấy nhiều đường dây điện thoại và dịch vụ khách hàng trực tiếp đã ngừng hoạt động hoặc bị chậm trễ nghiêm trọng.

Tình trạng này buộc cư dân phải tìm kiếm các phương án thay thế hạn chế hoặc trực tiếp đến văn phòng hội đồng để giải quyết các nhu cầu cấp bách.

Trong bối cảnh này, các dịch vụ thiết yếu như chăm sóc xã hội và hỗ trợ khẩn cấp được ưu tiên hàng đầu.

Các hội đồng đã nhanh chóng triển khai các giải pháp thủ công nhằm duy trì hoạt động trong khi hệ thống kỹ thuật số không khả dụng.

Nhận Diện Mối Đe Dọa: Từ “Sự Cố IT” Đến Mã Độc Ransomware

Dấu hiệu kỹ thuật của Mã độc Ransomware

Mặc dù các hội đồng chưa chính thức xác nhận đây là một cuộc tấn công ransomware, các chuyên gia an ninh mạng đã chỉ ra nhiều dấu hiệu cho thấy khả năng cao về một vụ mã độc tống tiền.

Việc mô tả sự việc là “sự cố CNTT” là một chiến thuật giao tiếp phổ biến trong giai đoạn đầu của các sự kiện an ninh mạng nghiêm trọng.

Điều này cho phép các tổ chức có thời gian điều tra, khoanh vùng và lập kế hoạch ứng phó mà không gây hoang mang dư luận sớm.

Các dấu hiệu thường gặp của mã độc ransomware bao gồm mã hóa dữ liệu hàng loạt, yêu cầu tiền chuộc và gây gián đoạn hoạt động hệ thống một cách có chủ đích.

Một cuộc tấn công mạng như vậy có thể gây ra thiệt hại tài chính và uy tín nghiêm trọng, cùng với việc mất quyền truy cập vào dữ liệu quan trọng.

Rủi Ro từ Nhà Cung Cấp Dịch Vụ Chia Sẻ

Sự phụ thuộc vào nhà cung cấp dịch vụ chia sẻ tạo ra một điểm yếu tiềm tàng trong chuỗi cung ứng bảo mật.

Việc một nhà cung cấp bị xâm nhập có thể dẫn đến việc nhiều khách hàng của họ, trong trường hợp này là các hội đồng địa phương, cùng bị ảnh hưởng.

Kiểu xâm nhập mạng này nhấn mạnh tầm quan trọng của việc đánh giá và quản lý rủi ro bảo mật của bên thứ ba.

Các tổ chức cần có các thỏa thuận dịch vụ (SLA) và kiểm toán bảo mật chặt chẽ với các nhà cung cấp bên ngoài.

Phòng ngừa tấn công mạng thông qua các đối tác cung cấp dịch vụ yêu cầu một chiến lược toàn diện, bao gồm cả việc giám sát và ứng phó liên tục.

Chiến Lược Ứng Phó và Khôi Phục Hệ Thống Sau Xâm Nhập Mạng

Phối hợp Chuyên môn và Điều tra Toàn diện

Để đối phó với mối đe dọa mạng này, các hội đồng đang tích cực hợp tác với các chuyên gia an ninh mạng bên ngoài và các cơ quan quốc gia có thẩm quyền.

Mục tiêu chính là xác định rõ phạm vi chính xác của vi phạm dữ liệu, nếu có, và đảm bảo an toàn cho mọi thông tin nhạy cảm.

Quá trình điều tra đang diễn ra liên tục, tập trung vào việc khôi phục các hệ thống về trạng thái hoạt động an toàn và ổn định nhất có thể.

Đồng thời, nỗ lực cũng hướng đến việc củng cố hệ thống để ngăn chặn các cuộc tấn công mạng tương tự trong tương lai.

Cho đến nay, mức độ đầy đủ của tác động, bao gồm bất kỳ sự thỏa hiệp dữ liệu tiềm ẩn nào, vẫn chưa được xác nhận hoàn toàn.

Biện pháp Khắc Phục và Khuyến nghị Người Dùng

Trong thời gian khắc phục sự cố, các hội đồng đã đưa ra một số khuyến nghị cho cư dân.

• Kiểm tra trang web chính thức của hội đồng và các kênh truyền thông xã hội để nhận cập nhật thông tin mới nhất.
• Chuẩn bị tinh thần cho sự chậm trễ trên các đường dây điện thoại do lưu lượng cuộc gọi tăng cao và khả năng vận hành hạn chế.
• Sử dụng các biểu mẫu trực tuyến hoặc gửi email khi có thể để liên hệ, giúp giảm tải cho đường dây điện thoại.

Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc có một kế hoạch ứng phó sự cố (IRP) vững chắc và khả năng chuyển đổi sang quy trình làm việc thủ công khi cần thiết.

Việc chuẩn bị cho các kịch bản xâm nhập mạng là tối cần thiết để duy trì hoạt động liên tục của các dịch vụ công cộng.

Để tìm hiểu thêm về các biện pháp phòng chống mã độc tống tiền và các rủi ro bảo mật khác, hãy tham khảo hướng dẫn từ CISA (Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ): Hướng dẫn StopRansomware của CISA.

Sự kiện này là lời nhắc nhở rõ ràng về các mối đe dọa mạng ngày càng gia tăng và tầm quan trọng của việc tăng cường an ninh mạng trong mọi cấp độ tổ chức.

Các tổ chức công và tư cần liên tục đánh giá lại chiến lược bảo mật của mình để chống lại các cuộc tấn công mạng phức tạp.