DarkSide Ransomware Tấn Công Colonial Pipeline—Và Gây Ra Một Tình Hình Hỗn Loạn Không Tưởng

Sau cuộc tấn công ransomware vào cuối tuần trước, Colonial Pipeline và chính phủ Hoa Kỳ đã phải rối loạn để khôi phục dịch vụ cho một đường ống dẫn gần một nửa nhiên liệu của Bờ Đông. Kẻ phạm tội, theo FBI, là băng nhóm ransomware đáng sợ và táo bạo được biết đến với tên DarkSide. Và hậu quả của cuộc tấn công của họ có thể lan rộng xa hơn ngoài những gì họ dự định.

Colonial Pipeline cho biết họ hy vọng sẽ khôi phục dịch vụ đầy đủ vào cuối tuần; trong khi đó, Bộ Giao thông vận tải đã phát điều lệnh khẩn cấp vào Chủ Nhật để cho phép phân phối dầu mở rộng bằng xe tải. Nhưng tác động thực sự của cuộc tấn công có thể được cảm nhận trong thế giới của ransomware. Trong khi một số hacker đã lâu đã tham gia vào việc tấn công, bao gồm một loạt các cuộc tấn công đáng sợ vào các bệnh viện cuối năm ngoái, các nhà quan sát gần như cho rằng sự việc về đường ống có thể đánh dấu một điểm quay cuối cùng.

DarkSide xuất hiện vào tháng Tám và tự tuyên bố với lớp vỏ của sự chuyên nghiệp và hiệu suất. Khi đó, họ tuyên bố sẽ không nhắm vào nhà cung cấp dịch vụ chăm sóc sức khỏe, các trường học, hoặc doanh nghiệp không đủ khả năng thanh toán. Một vài tháng sau, nhóm này thực hiện một loạt đóng góp từ thiện, một phần của nỗ lực lâu dài để quản lý danh tiếng của họ. Nhưng như một hoạt động ransomware dưới dạng dịch vụ, DarkSide chủ yếu hoạt động theo mô hình liên kết, cho mượn ransomware và cơ sở hạ tầng của mình cho khách hàng tội phạm và lấy phần trăm từ những gì khách hàng kiếm được trong các cuộc tấn công của họ. Vào Thứ Hai, khi áp lực từ cơ quan thực thi pháp luật Hoa Kỳ và chính Nhà Trắng, DarkSide dường như đổ lỗi cho cuộc tấn công vào Colonial Pipeline vào các đối tác của mình và hứa sẽ kiểm tra kỹ hơn những tên tội phạm mà họ hợp tác. 

“Chúng tôi là độc lập chính trị, chúng tôi không tham gia vào địa chính trị," DarkSide đăng vào Thứ Hai. “Mục tiêu của chúng tôi là kiếm tiền, không gây ra vấn đề cho xã hội. Từ hôm nay, chúng tôi giới thiệu sự điều tiết và kiểm tra từng công ty mà đối tác của chúng tôi muốn mã hóa để tránh hậu quả xã hội trong tương lai.” 

Tuyên bố này gợi nhớ đến bất kỳ ngành công nghiệp nào hứa hẹn tự kiểm duyệt như một phương án thay thế cho quy định của chính phủ. Nhưng ngay cả khi bạn có thể tin DarkSide lời hứa của họ, điều ngụ ý là việc mục tiêu vào một số tổ chức cụ thể với ransomware là chấp nhận được một cách nào đó nếu chúng được lựa chọn cẩn thận.

“Ý tưởng rằng các nhà điều hành ransomware nên quyết định ai xứng đáng bị chiếm đóng là cực kỳ gây vấn đề, để nói ít nhất,” Katie Nickels, giám đốc tình báo tại công ty an ninh Red Canary, nói. “Nó là điều ngớ ngẩn.”

Lời cam kết không rõ ràng của DarkSide tự kiểm duyệt có thể xuất phát từ lo ngại rằng việc hack một công ty cơ sở hạ tầng quan trọng và cuối cùng gây ra một sự cố dịch vụ hàng loạt đã vượt qua ranh giới—dù DarkSide hoặc một trong các khách hàng của họ thực sự thực hiện cuộc tấn công.

“Tôi không ngạc nhiên khi điều này xảy ra. Thực tế chỉ là vấn đề thời gian trước khi có một sự cố ransomware quan trọng đối với cơ sở hạ tầng chính,” Brett Callow, một nhà phân tích mối đe dọa tại công ty phần mềm diệt virus Emsisoft, cho biết. “DarkSide dường như đã nhận ra rằng mức độ chú ý này không phải là điều tốt và có thể khiến các chính phủ phải hành động. Họ có thể tiếp tục với các cuộc tấn công nhỏ hơn bây giờ với hy vọng họ sẽ có thể tiếp tục kiếm tiền lâu hơn.”

Callow và các nhà nghiên cứu khác nhấn mạnh rằng, tuy nhiên, việc tạo ra sự ngăn chặn có ý nghĩa trong việc chống lại ransomware và các cuộc tấn công mạng nói chung là khó khăn. Ngay cả sau những cuộc đánh thức và thảm họa liên quan đến ransomware, các chính phủ vẫn chưa thể hiện đủ sự cấp bách trong việc cố gắng giải quyết vấn đề.

“Một trong những thách thức lớn nhất trong việc ngăn chặn mạng là việc xác định nguồn gốc, và bạn có thể thấy điều đó trong tình hình này,” Katie Nickels của Red Canary nói. “Có những nhà phát triển ransomware, các đối tác và khách hàng của họ, và các quốc gia chủ nhà bỏ qua hành vi của họ. Ai là người có lỗi? Ai là người bạn cần ngăn chặn?”

DarkSide là minh chứng cho vấn đề thực thi ngay trước cuộc tấn công vào Colonial Pipeline. Nó gần như chủ yếu nhắm vào tổ chức nói tiếng Anh và được cho là một nhóm tội phạm đặt tại Nga hoặc Đông Âu rộng rãi. Phần mềm độc hại DarkSide thậm chí được xây dựng để tiến hành kiểm tra ngôn ngữ trên mục tiêu và tắt nếu phát hiện ngôn ngữ Nga, Ukraina, Belarus, Armenia, Georgia, Kazakhstan, Turkmenistan, Romania và các ngôn ngữ khác liên quan đến lợi ích địa lý của Nga. Kremlin lịch sử đã để cho các tội phạm mạng hoạt động tự do trong biên giới của họ miễn là họ không tấn công người dân của họ.

Mô hình kinh doanh thuê ransomware của DarkSide làm cho việc xác định ai, cụ thể là ai đứng sau bất kỳ cuộc tấn công DarkSide nào, trở nên khó khăn, là lớp bảo vệ thuận tiện cho tất cả mọi người liên quan. Và sự tồn tại của các dịch vụ ransomware cho thuê chỉ ra rằng những cuộc tấn công này đã trở nên phổ biến và có lợi nhuận đến mức nào. Các thành viên của DarkSide tập trung vào việc đánh cắp dữ liệu thẻ tín dụng ở điểm bán hàng và các cuộc tấn công rút tiền ATM trong nhiều năm, theo Adam Meyers, phó chủ tịch tình báo tại công ty an ninh CrowdStrike, theo dõi hoạt động của DarkSide dưới tên Carbon Spider. “Họ đã chuyển sang trò chơi ransomware vì có rất nhiều tiền trong đó,” Meyers nói.

Quản trị Biden đã biểu hiện trong vài tuần gần đây rằng họ dự định tập trung chú ý thực sự vào việc đối phó với mối đe dọa của ransomware. Nhà Trắng đã tuyển dụng cho các vai trò chính sách và phản ứng an ninh mạng quan trọng và tham gia vào một nhóm nhiệm vụ ransomware công tư nhằm tạo ra các đề xuất toàn diện để kiềm chế vấn đề. Sự cố với Colonial Pipeline bây giờ đưa Nhà Trắng có động lực mới để biến các đề xuất chính sách thành hành động.

“Chúng tôi đang tiến hành phản ứng đa mặt và toàn diện của cả chính phủ đối với sự kiện này và ransomware nói chung,” Phó cố vấn an ninh quốc gia Anne Neuberger nói trong cuộc họp báo tại Nhà Trắng vào Thứ Hai. “Chúng tôi đang điều tra một cách quyết liệt về sự kiện và những kẻ phạm tội của nó."

Neuberger nói rằng chính phủ tin rằng DarkSide chỉ là một nhân vật tội phạm nhưng cộng đồng tình báo đang xem xét khả năng liên quan đến chính phủ. Vào Thứ Hai, Tổng thống Biden kêu gọi chính phủ Nga ngừng ẩn náu các tội phạm mạng.

“Tôi sẽ có cuộc họp với Tổng thống Putin,” Biden nói. “Đến nay không có bằng chứng nào ... từ những người tình báo của chúng ta cho thấy Nga liên quan, mặc dù có bằng chứng rằng nhóm tội phạm ransomware ở Nga. Họ có trách nhiệm xử lý vấn đề này.”

Một câu hỏi mà làm khó khăn cho phản ứng trước ransomware là liệu các chính phủ có nên làm cho việc thanh toán tiền chuộc trái pháp luật đối với nạn nhân. Lý thuyết, không còn việc thanh toán chuộc nữa sẽ có nghĩa là không còn động cơ cho tội phạm tiếp tục. Nhưng các thành viên của nhóm nhiệm vụ ransomware công tư nói rằng nhóm không thể đạt được một sự đồng thuận vững chắc về các đề xuất cụ thể; việc cân nhắc không dễ dàng.

Những bước có thể hoạt động trong tương lai gần? Yêu cầu nạn nhân phải tiết lộ các vụ tấn công ransomware và tạo ra một hội đồng xem xét sự cố mạng ở Mỹ, theo Rob Knake, một cựu chiến binh cấp cao tại Hội đồng Quan hệ Ngoại giao và một người từng là giám đốc chính sách an ninh mạng tại Hội đồng An ninh Quốc gia. Hiện nay, hầu hết nạn nhân giữ im lặng về các cuộc tấn công ransomware khi có thể; việc báo cáo đầy đủ về những cuộc khủng hoảng này có thể thúc đẩy một phản ứng. “Thông báo là cần thiết, vì các sự cố mạng không giống như tai nạn máy bay - cơ quan điều tra có thể không bao giờ biết rằng chúng đã xảy ra,” Knake nói. “Vì vậy, để hội đồng xem xét sự cố mạng có thể thành công, nó sẽ cần được thông báo về các sự cố và sau đó có quyền lực để điều tra. Tự nguyện sẽ không hoạt động.”

Trong khi đó, các chuyên gia an ninh mạng cho biết họ hy vọng vụ việc của Colonial Pipeline sẽ cuối cùng thực sự khơi dậy hành động trong cuộc chiến chống lại ransomware. Tuy nhiên, với số lượng cuộc tấn công đáng sợ khác đã không thành công như một yếu tố kích thích này, họ cũng cảnh giác với việc quá hy vọng.

“Chúng ta đang ở vào một điểm mà chỉ có cải thiện hệ thống mới có thể có bất kỳ tác động có ý nghĩa nào,” Meyers của Crowdstrike nói. “Và các tổ chức không nhất thiết có băng thông, nguồn lực tài chính và nhân sự để làm điều đó. Nhưng điều này phải là một lời cảnh tỉnh cho mọi tổ chức: Bạn cần phải làm tốt hơn hoặc bạn sẽ gặp phải cùng số phận.”

Các tin Mytour tuyệt vời hơn

• 📩 Tin tức mới nhất về công nghệ, khoa học và hơn thế nữa: Nhận bản tin của chúng tôi!
• Cách Pixar sử dụng màu sắc siêu vi để hack não bạn
• Những công cụ học tập này đang hình thành ngôi trường trực tuyến
• Anh ấy là một ngôi sao WWE và Vtuber. Những thế giới này không khác nhau
• Signal cung cấp tính năng thanh toán - với tiền điện tử
• Sức mạnh và nhược điểm của việc gamification
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ được với cơ sở dữ liệu mới của chúng tôi
• 🎮 Trò chơi Mytour: Nhận các mẹo mới nhất, đánh giá và hơn thế nữa
• ✨ Tối ưu hóa cuộc sống tại nhà của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến đệm giá cả phải chăng và loa thông minh