Băng đảng ransomware đánh cắp 1,5 TB dữ liệu từ một công ty hàng không vũ trụ

Băng đảng chuyên về ransomware Maze được cho là đã đánh cắp dữ liệu nhạy cảm từ một chi nhánh công ty của một tập đoàn kỹ thuật tích hợp tại Mỹ - nơi làm việc với nhiều chính phủ khác nhau.

Một công ty con chuyên về hàng không vũ trụ tại Hoa Kỳ, ST Engineering Aerospace, đã chịu một cuộc tấn công ransomware - tìm cách trích xuất khoảng 1,5 TB dữ liệu nhạy cảm từ công ty và các đối tác.

Theo một bài báo được xuất bản bởi The Straits Times vào ngày 6 tháng 6, công ty có trụ sở tại Singapore đã bị tấn công bởi băng đảng ransomware nổi tiếng có tên gọi là Maze vào tháng 3, trích dẫn một phân tích của công ty an ninh mạng, Cyfirma.

Báo cáo chi tiết rằng dữ liệu bị đánh cắp bởi bọn tội phạm có liên quan đến chi tiết hợp đồng với nhiều chính phủ, tổ chức và hãng hàng không khác nhau trên toàn cầu.

Không thể phát hiện đối với phần mềm chống vi-rút thông thường

Cointelegraph đã truy cập vào một bản ghi nhớ nội bộ được phát hành vào ngày 3 tháng 3 bởi ST Engineering Aerospace, nêu chi tiết về VT San Antonio Aerospace là nơi "truyền nhiễm ransomware".

Bản ghi nhớ chi tiết rằng McAfee và Windows Defender ban đầu không thể xác định được cuộc tấn công ransomware. Cả hai được quản lý để phát hiện vấn đề bằng cách đọc các tệp được đổi tên và liên kết với "DECRYPT-FILES.txt" nằm trong cùng thư mục với các tệp được mã hóa.

Ed Onwe, Phó chủ tịch và tổng giám đốc của VT San Antonio Aerospace, đã nói như sau với The Straits Times:

Cuộc điều tra đang diễn ra của chúng tôi chỉ ra rằng mối đe dọa đã được ngăn chặn và chúng tôi tin rằng nó sẽ bị cô lập với một số lượng hạn chế các hoạt động thương mại của ST Engineering tại Mỹ. Hiện tại, hoạt động kinh doanh của chúng tôi vẫn tiếp tục hoạt động.

Cyfirma cũng đảm bảo rằng một số dữ liệu bị đánh cắp có chứa thông tin về hợp đồng với chính phủ của các quốc gia như Peru và Argentina và với các cơ quan như NASA.

Các công ty cần xây dựng lại hệ thống của họ

Trò chuyện với Cointelegraph, Brett Callow, nhà phân tích mối đe dọa tại phòng thí nghiệm phần mềm độc hại Emsisoft, đã nhận xét như sau sau vụ tấn công vào công ty có trụ sở tại Singapore:

Các băng đảng ransomware thường bỏ lại các cổng backdoor, nếu không được khắc phục, có thể cung cấp quyền truy cập liên tục vào mạng và cho phép tấn công lần thứ hai. Đây là một trong những lý do chúng tôi luôn khuyến nghị các công ty xây dựng lại mạng của họ sau một sự cố thay vì chỉ đơn giản là mã hoá dữ liệu của họ.

Backdoor là gì? Backdoor (cửa hậu) trong phần mềm hay hệ thống máy tính thường là một cổng không được thông báo rộng rãi, cho phép người quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng. Ngoài ra nó cũng dùng để chỉ cổng bí mật mà hacker và gián điệp dùng để truy cập bất hợp pháp.

Chú thích - Nguồn: Quantrimang

Cointelegraph đã báo cáo vào ngày 6 tháng 6 về một cuộc tấn công ransomware có tên DopplePaymer đã xâm phạm hệ thống của công ty Digital Management Inc có trụ sở tại Maryland, hay còn gọi là DMI - một công ty cung cấp dịch vụ CNTT và an ninh mạng cho một số công ty Fortune 100 và các cơ quan chính phủ như NASA.

Một băng đảng ransomware khác, NetWalker, tuyên bố đã đánh cắp dữ liệu nhạy cảm, bao gồm tên sinh viên, số an sinh xã hội và thông tin tài chính từ ba trường đại học Mỹ.

Nguồn: Cointelegraph

Biên dịch bởi VIC News

Disclaimer: Bài viết chỉ nhằm mục đích cung cấp thông tin và không được coi là lời khuyên đầu tư. Đầu tư Crypto là một hình thức đầu tư mạo hiểm và người tham gia phải chịu hoàn toàn trách nhiệm với khoản đầu tư của mình. 

Follow us: Fanpage | Group FB | Group chat | Channel Analytics | Channel NFT Youtube