Tin tặc khai thác lỗ hổng SharePoint của Microsoft để triển khai mã độc tống tiền

Microsoft cho biết chiến dịch gián điệp mạng nhằm vào các phiên bản SharePoint chưa được vá lỗi đang có dấu hiệu leo thang khi nhóm tấn công bắt đầu triển khai mã độc tống tiền (ransomware) vào hệ thống nạn nhân.

Microsoft, SharePoint, lỗ hổng bảo mật, tin tặc, mã độc tống tiền, ransomware, Storm-2603, Eye Security, an ninh mạng

Microsoft vừa công bố thông tin mới cho thấy một chiến dịch tấn công mạng quy mô lớn đang tận dụng lỗ hổng chưa được khắc phục trong phần mềm máy chủ SharePoint để phát tán mã độc tống tiền. Theo bài viết trên blog chính thức được đăng tải cuối ngày 23/7, nhóm tin tặc mang tên Storm-2603 hiện không chỉ khai thác lỗ hổng để gián điệp mà còn bắt đầu mã hóa hệ thống của nạn nhân nhằm đòi tiền chuộc.

Mã độc ransomware thường hoạt động bằng cách khóa toàn bộ dữ liệu hoặc hệ thống mạng, yêu cầu nạn nhân trả một khoản tiền dưới dạng tiền kỹ thuật số để được phục hồi quyền truy cập.

Chiến dịch này đã ảnh hưởng đến ít nhất 400 tổ chức, theo báo cáo từ công ty an ninh mạng Eye Security có trụ sở tại Hà Lan. Con số này tăng mạnh so với chỉ khoảng 100 nạn nhân được ghi nhận vào cuối tuần trước, và các chuyên gia cho rằng thực tế có thể cao hơn đáng kể do nhiều hệ thống bị tấn công không để lại dấu vết rõ ràng.

Theo bà Vaisha Bernard – chuyên gia an ninh mạng cấp cao tại Eye Security, không phải mọi phương thức tấn công đều để lại các chỉ dấu có thể dò tìm được, vì vậy số nạn nhân thực tế có thể vượt xa thống kê hiện tại.

Một số cơ quan chính phủ của Mỹ đã xác nhận bị ảnh hưởng. Đại diện Viện Y tế Quốc gia Hoa Kỳ (NIH) cho biết một máy chủ của đơn vị này đã bị xâm nhập và một số máy chủ khác đã được cô lập để phòng ngừa. Washington Post là đơn vị đầu tiên đưa tin về sự cố này.

Một số nguồn tin khác như NextGov và Politico tiết lộ rằng Bộ An ninh Nội địa Mỹ (DHS) cùng nhiều cơ quan liên bang khác cũng là mục tiêu tấn công. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) chưa đưa ra bình luận chính thức.

Microsoft, SharePoint, lỗ hổng bảo mật, tin tặc, mã độc tống tiền, ransomware, Storm-2603, Eye Security, an ninh mạng

Lỗ hổng trên phần mềm SharePoint được phát hiện sau khi Microsoft triển khai bản vá không hoàn chỉnh, dẫn đến việc các nhóm tin tặc tận dụng sơ hở để xâm nhập hàng loạt hệ thống. Microsoft và Alphabet – công ty mẹ của Google – đều cho biết một số nhóm tin tặc Trung Quốc có liên quan đến chiến dịch này. Tuy nhiên, chính phủ Trung Quốc đã bác bỏ cáo buộc.

Việc nhóm tin tặc chuyển từ mục tiêu gián điệp sang phát tán ransomware cho thấy nguy cơ gián đoạn trên diện rộng, đặc biệt nếu các hệ thống quan trọng như cơ sở hạ tầng, y tế hoặc quốc phòng bị ảnh hưởng. Đây là một lời cảnh báo mới cho các tổ chức trên toàn thế giới về sự cần thiết của việc vá lỗi kịp thời và tăng cường phòng vệ mạng.