Nhà sản xuất xe hơi Hàn Quốc nổi tiếng Kia Motors vừa có màn chào đón năm mới 2021 cực kỳ đáng quên, khi công ty con của hãng tại thị trường Hoa Kỳ vừa trở thành nạn nhân của một cuộc tấn công ransomware quy mô lớn.
Cụ thể, Kia Motors America đã phải hứng chịu một cuộc tấn công bằng mã độc tống tiền do băng đảng DoppelPaymer thực hiện. Nhóm này yêu cầu 20 triệu USD để đổi lấy một bộ giải mã dữ liệu, và đồng thời cam kết không tiết lộ công khai bất cứ thông tin nào nếu khoản tiền chuộc được thanh toán đầy đủ.
Kia Motors America (KMA) có trụ sở chính tại Irvine, California, Hoa Kỳ, và là công ty con của Kia Motors Corporation. KMA hiện sở hữu gần 800 đại lý ở Mỹ, với nhà máy sản xuất nằm tại West Point, Georgia.
Đáng chú ý, thông tin KMA bị tấn công ransomware được đưa ra chỉ một ngày sau khi dịch vụ CNTT của nhà sản xuất xe hơi này gặp lỗi gián đoạn hoạt động trên toàn lãnh thổ Hoa Kỳ. Vụ việc đã gây ảnh hưởng nghiêm trọng đến các ứng dụng UVO Link trên điện thoại di động, dịch vụ điện thoại, hệ thống thanh toán, cổng thông tin của chủ sở hữu xe Kia và hàng loạt trang web nội bộ mà các đại lý sử dụng.
Băng đảng DoppelPaymer
Liên quan đến vụ việc nghiêm trọng trên, trang tin BleepingComputer đã thu được một thông báo đòi tiền chuộc được đưa ra bởi kẻ đứng sau vụ tấn công nghiêm trọng này. Trong đó, những kẻ tấn công nói rằng chúng đã mã hóa thành công một lượng lớn dữ liệu quan trọng của Hyundai Motor America, công ty mẹ của Kia. Tuy nhiên trên thực tế, Hyundai dường như không bị ảnh hưởng bởi cuộc tấn công này.
Thông báo đòi tiền chuộc có chứa một liên kết đến trang thanh toán tiền chuộc của mã độc DoppelPaymer - một lần nữa cho biết mục tiêu là “Hyundai Motor America”.
Trang web này tiếp tục nói rằng một lượng dữ liệu "khổng lồ" đã bị đánh cắp, hoặc bị đào thải, từ Kia Motors America, và tất cả sẽ được phát hành công khai sau khoảng 2-3 tuần nếu các khoản tiền chuộc đưa ra không được đáp ứng đầy đủ.
DoppelPaymer là một băng đảng tội phạm mạng khét tiếng. Chúng được biết đến với hàng loạt các chiến dịch tấn công tống tiền nhắm vào những doanh nghiệp lớn trên toàn thế giới. Phương thức tấn công của nhóm này là đánh cắp các tệp tin không được bảo vệ trước khi mã hóa thiết bị. Sau đó một phần dữ liệu sẽ được đăng tải công khai lên trang web rò rỉ do chính chúng nắm giữ nhằm gây áp lực hơn nữa, buộc nạn nhân phải trả tiền chuộc.
Nhìn chung, đánh cắp các tệp không được mã hóa đã trở thành một chiến thuật được sử dụng rộng rãi bởi các hoạt động ransomware để ép nạn nhân buộc phải trả tiền. Thống kê của Emsisoft cho biết nó đã ảnh hưởng đến hơn 1.300 công ty trên toàn cầu.
Trong vụ việc lần này, DoppelPaymer đang yêu cầu số tiền chuộc trị giá 404 bitcoin, tương đương khoảng 20 triệu đô la theo tỷ giá hiện tại. Nếu khoản tiền chuộc không được trả trong một khung thời gian cụ thể, số tiền sẽ tăng lên 600 bitcoin, tương đương 30 triệu đô la.
Nhóm DoppelPaymer không cho biết loại dữ liệu nào đã bị đánh cắp. Tuy nhiên trước sự việc dịch vụ của Kia ngừng hoạt động trên quy mô lớn, việc một loạt các máy chủ của công ty bị ảnh hưởng là điều khó tránh khỏi.