Băng đảng ransomware khét tiếng REvil vừa gây chấn động giới bảo mật khi thêm vào danh sách nạn nhân của mình một trong những tập đoàn máy tính lớn nhất thế giới: Acer.
Điều đáng nói hơn nằm ở chỗ chúng yêu cầu phía Acer phải trả đủ 50.000.000 USD (50 triệu USD) - không bớt một xu - nếu muốn lấy lại dữ liệu đã bị mã hóa. Nếu Acer chấp thuận, đây sẽ là khoản tiền chuộc dữ liệu lớn nhất được biết đến trong một cuộc tấn công ransomware cho đến nay.
Nếu bạn chưa biết thì Acer là một nhà sản xuất máy tính và linh kiện điện tử nổi tiếng thế giới. Có trụ sở tại Đài Loan, Acer được biết đến nhiều nhất trong các mảng máy tính xách tay, máy tính để bàn và màn hình. Công ty hiện có khoảng 7.000 nhân viên và sở hữu doanh thu 7,8 tỷ USD trong năm 2019.
Ngày 19/3 vừa qua, băng đảng đứng sau mã độc REvil đã đưa ra thông báo chính thức trên trang web rò rỉ dữ liệu của mình rằng chúng đã xâm nhập thành công vào hệ thống mạng nội bộ của Acer để đánh cắp (mã hóa) một lượng lớn dữ liệu. Để tăng thêm tính thuyết phục, những kẻ tấn công đã chia sẻ công khai một số hình ảnh về các tệp bị đánh cắp được cho là từ hệ thống của Acer để làm bằng chứng.
Thông qua những hình ảnh bị rò rỉ, có thể thấy hacker đang nắm trong tay một lượng hơn tài liệu nội bộ quan trọng của Acer, bao gồm bảng kê khai tài chính, số dư ngân hàng và thông tin liên lạc ngân hàng.... Đây chỉ là những “ví dụ” được hacker công khai, con số thực tế chắc chắn sẽ còn lớn hơn nhiều.
Phía Acer hiện chưa đưa ra bất kỳ câu trả lời rõ ràng nào về việc liệu họ có thực sự bị tấn công bởi ransomware REvil hay không. Thay vào đó, phía nhà sản xuất Đài Loan chỉ nói rằng họ "đã báo cáo các tình huống bất thường gần đây" cho các đối tác bảo mật cũng như cơ quan thực thi pháp luật liên quan.
"Acer thường xuyên giám sát các hệ thống CNTT của mình và hầu hết các cuộc tấn công mạng đều được ngăn chặn hiệu quả. Các công ty như chúng tôi thường xuyên bị tấn công, và chúng tôi cũng đã báo cáo các tình huống bất thường, được quan sát kỹ gần đây cho các cơ quan thực thi pháp luật và bảo vệ dữ liệu có liên quan trên toàn thế giới.
Chúng tôi đã liên tục củng cố cơ sở hạ tầng an ninh mạng của mình để bảo vệ chặt chẽ các hoạt động kinh doanh cũng như bảo đảm tính toàn vẹn dữ liệu nội bộ. Chúng tôi kêu gọi tất cả các công ty và tổ chức hãy tuân thủ những nguyên tắc về an ninh mạng, cũng như đề cao cảnh giác với bất kỳ hoạt động bất thường nào trên hệ thống".
Trước yêu cầu cung cấp thêm thông tin chi tiết từ báo chí, Acer chỉ cho biết "có một cuộc điều tra đang diễn ra và vì lý do bảo mật, chúng tôi không thể bình luận về chi tiết".
Yêu cầu tiền chuộc cao kỷ lục
Tuy phía Acer không đưa ra thông tin chi tiết, nhưng một tổ chức bảo mật độc lập có tên LegMagIT đã phát hiện ra mẫu ransomware REvil được sử dụng trong cuộc tấn công này. Điều đáng nói là những kẻ tấn công đang yêu cầu khoản tiền chuộc khổng lồ, có lẽ là lớn nhất từ trước đến nay: 50 triệu USD.
Ngay sau đó, trang tin BleepingComputer cũng đã tìm thấy mẫu ransomware. Sau khi phân tích ghi chú tiền chuộc và cuộc trò chuyện của nạn nhân với những kẻ tấn công, có thể xác nhận rằng mẫu này bắt nguồn từ cuộc tấn công nhằm vào Acer.
Trong cuộc đối thoại giữa nạn nhân và REvil, bắt đầu vào ngày 14 tháng 3, đại diện của Acer đã không giấu nổi sự sửng sốt trước yêu cầu tiền chuộc mà kẻ tấn công đưa ra.
Ở cuộc trò chuyện sau đó, đại diện của REvil đã chia sẻ một liên kết đến trang rò rỉ dữ liệu của Acer, trang này là bí mật vào thời điểm đó.
Những kẻ tấn công cũng đưa ra mức “chiết khấu” 20% nếu Acer thực hiện khoản thanh toán trước ngày 17/3. Đổi lại, băng đảng ransomware sẽ cung cấp trình giải mã, báo cáo lỗ hổng và xóa các tệp bị đánh cắp. Có vẻ như Acer đã không chấp nhận yêu sách này.
Con số 50 triệu USD mà REvil đưa ra là khoản tiền chuộc dữ liệu lớn nhất được biết đến cho đến nay. Kỷ lục trước đó là khoản tiền chuộc 30 triệu USD từ cuộc tấn công mạng nhắm vào tập đoàn bán lẻ Dairy Farm. Đặc biệt, tác nhân độc hại trong vụ tấn công khét tiếng này cũng chính là REvil.