Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng…. Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
Tạp chí Infosecurity đã bình chọn 10 cuộc tấn công mạng hàng đầu năm 2024, được quyết định dựa trên các yếu tố như mất dữ liệu, chi phí phục hồi, tác động trong thế giới thực và các tác động địa chính trị rộng hơn. Các cuộc tấn công mạng đã được liệt kê theo thứ tự ngày các cuộc tấn công được báo cáo lần đầu tiên.
Cuộc tấn công của LoanDepot làm gián đoạn việc thanh toán thế chấp
Ngày 8/1/2024, một trong những công ty cho vay thế chấp bán lẻ lớn nhất của Hoa Kỳ, LoanDepot đã tiết lộ rằng đã bị tấn công bằng phần mềm tống tiền buộc họ phải ngừng hoạt động một số hệ thống của mình. Điều này khiến một số khách hàng tạm thời không thể thanh toán thế chấp.
Trong bản cập nhật vào ngày 22/1, LoanDepot xác nhận rằng khoảng 16,6 triệu khách hàng của họ đã bị đánh cắp thông tin cá nhân nhạy cảm trong vụ việc, bao gồm số an sinh xã hội và số tài khoản tài chính.
Một báo cáo tài chính do công ty công bố vào tháng 8/2024 cho thấy, họ đã phải chịu 26,9 triệu USD chi phí do vụ việc này. Các chi phí phục hồi này bao gồm khắc phục, thông báo cho khách hàng, giải quyết tranh chấp và phí pháp lý.
Khai thác hàng loạt lỗ hổng Zero-Day của Ivanti
Vào đầu năm 2024, các nhà nghiên cứu phát hiện việc khai thác hàng loạt các lỗ hổng zero-day quan trọng trong các sản phẩm của Ivanti. Câu chuyện bắt đầu khi nhà cung cấp bảo mật xác nhận việc khai thác hai lỗ hổng zero-day trong các cổng Connect Secure và Policy Secure của Ivanti vào tháng 1/2024.
Các báo cáo về các lỗ hổng và khai thác ngoài thực tế nhanh chóng xuất hiện, tác động đến khách hàng của Ivanti trên nhiều lĩnh vực khác nhau bao gồm chính phủ, quân đội, viễn thông, công nghệ, tài chính, tư vấn và hàng không vũ trụ.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành chỉ thị khẩn cấp vào tháng 1/2024, yêu cầu tất cả các cơ quan liên bang dân sự của chính phủ phải khắc phục hai lỗ hổng zero-day.
Vào tháng 2, một cố vấn chung từ các quốc gia Five Eyes đã cảnh báo về mối đe dọa do hoạt động này gây ra. Các tác nhân đe dọa quốc gia từ Trung Quốc đã tích cực sử dụng các lỗ hổng này để thực hiện hoạt động gián điệp và các loại tấn công khác.
Volt Typhoon xâm nhập vào mạng lưới cơ sở hạ tầng quan trọng của Hoa Kỳ
Ngày 31/1 Bộ Tư pháp Hoa Kỳ (DoJ) đã công bố một hoạt động thực thi pháp luật đã vô hiệu hóa hàng trăm bộ định tuyến trong nỗ lực triệt phá một chiến dịch gián điệp mạng do Volt Typhoon do Trung Quốc tài trợ.
Một khuyến cáo tiếp theo vào tháng 2 của Chính phủ Hoa Kỳ và các đồng minh đã cảnh báo rằng Volt Typhoon đã sử dụng chiến dịch này để khẳng định mình trong các lĩnh vực quan trọng bao gồm truyền thông, năng lượng, giao thông vận tải và công ty cung cấp nước.
Hoa Kỳ và các đồng minh coi việc tấn công này là một động thái chiến lược của Trung Quốc có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
Các tổ chức cơ sở hạ tầng quan trọng tại Hoa Kỳ và các quốc gia đồng minh đã được kêu gọi xác định và giảm thiểu các kỹ thuật dai dẳng được Volt Typhoon và các nhóm khác do Trung Quốc tài trợ.
Change Healthcare Ransomware làm chậm đơn thuốc
Vào tháng 2/2024, nhà cung cấp dịch vụ thanh toán chăm sóc sức khỏe của Hoa Kỳ Change Healthcare đã bị tấn công bằng phần mềm tống tiền. Cuộc tấn công mạng đã gây ra sự chậm trễ trong việc kê đơn và các dịch vụ chăm sóc sức khỏe khác cho bệnh nhân trên khắp cả nước.
Công ty mẹ của Change Healthcare, UnitedHealth Group, đã trả 22 triệu USD tiền chuộc cho kẻ tấn công có tên gọi ALPHV/BlackCat, để khôi phục hệ thống của mình.
Sau đó, BlackCat sau đó dường như đã giải tán khi nhận được khoản thanh toán mà không trả tiền cho các chi nhánh của mình.
Tổng giám đốc điều hành của UnitedHealth, Andrew Witty, tiết lộ rằng những kẻ tấn công đã xâm nhập vào hệ thống của công ty thông qua thông tin đăng nhập bị đánh cắp, thừa nhận rằng không có xác thực đa yếu tố (MFA) nào được áp dụng để ngăn chặn sự xâm nhập.
Hậu quả của sự cố vẫn tiếp diễn, với Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) báo cáo vào tháng 10/2024 cho biết khoảng 100 triệu thông báo vi phạm dữ liệu cá nhân đã được gửi liên quan đến cuộc tấn công, khiến đây trở thành vụ vi phạm dữ liệu lớn nhất được biết đến đối với hồ sơ chăm sóc sức khỏe của Hoa Kỳ.
Chính phủ Hoa Kỳ hiện đang điều tra xem Change Healthcare có tuân thủ các nghĩa vụ theo quy định liên quan đến việc bảo vệ dữ liệu cá nhân hay không.
Vi phạm dữ liệu MediSecure làm lộ hồ sơ sức khỏe của 13 triệu người Úc
Một cuộc tấn công ransomware vào nhà cung cấp đơn thuốc y tế MediSecure của Úc vào tháng 5 đã khiến dữ liệu cá nhân và sức khỏe của 12,9 triệu cá nhân bị xâm phạm. Các dữ liệu bị ảnh hưởng liên quan đến đơn thuốc của bệnh nhân như tên thuốc, nồng độ, số lượng, lần lặp lại và lý do kê đơn.
Báo cáo này theo sau một phân tích về một tập dữ liệu mẫu chứa dữ liệu cá nhân và sức khỏe của khách hàng MediSecure được rao bán trên một diễn đàn web đen bởi một nhóm tội phạm mạng không xác định.
NHS hủy bỏ hoạt động sau sự cố Ransomware
Một cuộc tấn công bằng phần mềm tống tiền vào nhà cung cấp dịch vụ bệnh lý quan trọng cho các bệnh viện NHS của Anh, Synnovis đã khiến hàng nghìn ca phẫu thuật và cuộc hẹn bị hủy.
Sự cố xảy ra vào ngày 3/6 đã ảnh hưởng đáng kể đến việc cung cấp các dịch vụ chăm sóc sức khỏe quan trọng tại King’s College Hospital NHS Foundation Trust và Guy’s and St Thomas’ NHS Foundation Trust như truyền máu và kết quả xét nghiệm trong nhiều tháng.
NHS England xác nhận rằng, tính đến ngày 11/10/2024, tất cả các hệ thống NHS đều hoạt động bình thường mà không có thêm gián đoạn nào đối với các dịch vụ bệnh lý và xét nghiệm máu.
Cuộc tấn công được thực hiện bởi nhóm tin tặc Qilin, được cho là đã công bố 400GB dữ liệu bị đánh cắp từ Synnovis vào ngày 20/6. Dữ liệu bị kẻ tấn công đánh cắp bao gồm tên bệnh nhân, số NHS và mô tả về xét nghiệm máu. Một cuộc điều tra đang được tiến hành để xác định mức độ dữ liệu của bất kỳ bệnh nhân hoặc nhân viên nào bị ảnh hưởng.
Cuộc tấn công Snowflake dẫn đến nhiều vụ vi phạm dữ liệu
Vào tháng 6/2024, các nhà nghiên cứu của Mandiant đã cảnh báo rằng một tác nhân đe dọa đã đánh cắp một lượng lớn dữ liệu khách hàng từ nền tảng kho dữ liệu đa đám mây Snowflake.
Dữ liệu được rao bán trên các diễn đàn về tội phạm mạng cũng như tác nhân đe dọa sử dụng dữ liệu để tống tiền nhiều nạn nhân.
Mandiant cho biết tác nhân đe dọa là UNC5537 đã xâm phạm một cách hệ thống các phiên bản khách hàng của Snowflake bằng thông tin đăng nhập khách hàng bị đánh cắp.
Các nhà nghiên cứu cho biết thêm 165 tổ chức sử dụng Snowflake đã được thông báo rằng họ có khả năng bị lộ thông tin.
Một số vụ vi phạm dữ liệu cấp cao vào năm 2024 được cho là do sự xâm phạm của Snowflake, bắt đầu vào tháng 4. Trong đó có vụ vi phạm dữ liệu của công ty mẹ của Ticketmaster là Live Nation, ảnh hưởng đến 560 triệu khách hàng của công ty.
Một vụ vi phạm dữ liệu khách hàng và nhân viên của gã khổng lồ ngân hàng Santander vào tháng 5 cũng có liên quan đến vụ tấn công vào Snowflake.
Ngoài ra, dữ liệu người dùng từ gã khổng lồ viễn thông AT&T được cho là đã được truy cập từ không gian làm việc của công ty trên Snowflake.
Thành phố Columbus bị tấn công bởi Ransomware
Thành phố Columbus (Mỹ) cho biết, họ đã bị tấn công bằng phần mềm tống tiền vào tháng 7/2024, dẫn đến tình trạng mất điện đối với một số dịch vụ công nghệ thông tin dành cho cư dân.
Sau khi đàm phán không thành công với thành phố, nhóm tin tặc Rhysida, bị cáo buộc đã đăng 3,1 TB dữ liệu cá nhân và dữ liệu nhạy cảm khác do những kẻ tấn công đánh cắp.
Ban đầu, các quan chức tuyên bố rằng chỉ có dữ liệu bị hỏng không sử dụng được mới bị những kẻ tấn công lấy đi. Tuy nhiên, nhà nghiên cứu bảo mật David Leroy Ross đã phản bác lại lời khẳng định này và thông báo với phương tiện truyền thông địa phương rằng thông tin cá nhân của cư dân đã được tải lên dark web.
Đầu tháng 8, Thành phố Columbus đã đệ đơn kiện Ross vì đưa ra tuyên bố này. Sau tiết lộ của Ross, các nhà phân tích mạng đã xem xét các mẫu dữ liệu bị đánh cắp và phát hiện ra một lượng lớn các tệp nhạy cảm, bao gồm cơ sở dữ liệu, nhật ký mật khẩu, tệp quản lý đám mây, hồ sơ bảng lương của nhân viên và thậm chí cả cảnh quay từ camera giao thông của thành phố.
Vào tháng 11, các quan chức Thành phố đã thông báo cho 500.000 cư dân rằng dữ liệu cá nhân của họ có thể đã bị những kẻ tấn công xâm phạm. Với dân số 915.000 người của Columbus, vụ vi phạm có thể ảnh hưởng đến khoảng 55% cư dân.
Những kẻ tấn công được cho là đã truy cập vào dữ liệu cực kỳ nhạy cảm như số An sinh xã hội, thông tin chi tiết về tài khoản ngân hàng và thông tin giấy phép lái xe. Vụ việc này được cho là một trong những vụ vi phạm dữ liệu khu vực công quan trọng nhất trong lịch sử gần đây.
Tấn công mạng gây hỗn loạn tại Sân bay Seattle
Tháng 8/2024, một cuộc tấn công mạng vào Cảng Seattle, một cơ quan chính quyền địa phương giám sát cảng biển Seattle và Sân bay quốc tế Seattle – Tacoma (SEA), đã làm gián đoạn nghiêm trọng việc đi lại từ tiểu bang trước kỳ nghỉ Lễ Lao động của Hoa Kỳ.
Sự cố mất điện bắt đầu vào ngày 24/8 đã dẫn đến sự chậm trễ đáng kể trong quá trình làm thủ tục tại SEA, do WiFi không khả dụng và màn hình hiển thị không hoạt động.
Trong bản cập nhật vào ngày 13/9, Cảng Seattle đã xác nhận sự cố là do nhóm Rhysida tấn công bằng phần mềm tống tiền. Những kẻ tấn công đã có thể truy cập vào một số phần của hệ thống máy tính của cảng và mã hóa quyền truy cập vào một số dữ liệu.
Phần lớn các hệ thống đã được đưa trở lại trực tuyến trong vòng một tuần, cho phép hành khách tiếp tục đi lại bình thường. Trang web của Cảng Seattle và SEA đã được khôi phục hoàn toàn vào tháng 11/2024.
Các cuộc điều tra về cuộc tấn công vẫn đang được tiến hành và Cảng cho biết sẽ thông báo cho bất kỳ nhân viên hoặc hành khách nào nếu phát hiện bất kỳ thông tin cá nhân nào của họ bị xâm phạm.
Dữ liệu của các quan chức Hoa Kỳ bị xâm phạm trong chiến dịch gián điệp của Trung Quốc
Một chiến dịch gián điệp có liên quan tới Trung Quốc đã xâm phạm dữ liệu của các quan chức Chính phủ Hoa Kỳ thông qua một vụ tấn công mạng quy mô lớn vào các nhà cung cấp dịch vụ viễn thông.
Chiến dịch này đã được các cơ quan Chính phủ Hoa Kỳ xác nhận vào tháng 11, tiết lộ rằng tác nhân đe dọa Salt Typhoon đã đánh cắp dữ liệu hồ sơ cuộc gọi của khách hàng, xâm phạm các thông tin liên lạc riêng tư của những người tham gia vào hoạt động chính phủ hoặc chính trị và sao chép thông tin theo yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án.
Vào tháng 10, chiến dịch tranh cử tổng thống của Donald Trump đã được thông báo rằng điện thoại của cả Trump và Phó Tổng thống đắc cử JD Vance, cùng với điện thoại của các nhân viên trong chiến dịch tranh cử tổng thống năm 2024 của Kamala Harris, có thể đã bị xâm phạm trong vụ tấn công mạng.
Các công ty viễn thông bị Salt Typhoon nhắm tới bao gồm Verizon, AT&T, Lumen Technologies và T-Mobile.
Theo antoanthongtin.vn
