Công ty chế biến thịt JBS hôm thứ Tư xác nhận họ đã trả cho những kẻ tống tiền 11 triệu đô la bitcoin để lấy lại quyền truy cập vào hệ thống của mình sau một cuộc tấn công bằng ransomware hủy diệt vào cuối tháng trước.
“Với sự tham vấn của các chuyên gia CNTT nội bộ và các chuyên gia an ninh mạng của bên thứ ba, công ty đã đưa ra quyết định giảm thiểu mọi vấn đề không lường trước được liên quan đến cuộc tấn công và đảm bảo không có dữ liệu nào bị tuồn ra ngoài”, JBS USA nói trong một tuyên bố, với Giám đốc điều hành Andre Nogueira nói thêm rằng công ty đã đưa ra “quyết định rất khó khăn” để ngăn chặn bất kỳ rủi ro tiềm ẩn nào cho khách hàng của mình.
Tuyên bố rằng các cuộc điều tra pháp y của bên thứ ba về vụ việc vẫn đang diễn ra, công ty lưu ý rằng không có công ty, khách hàng hoặc dữ liệu nhân viên nào bị xâm phạm do hậu quả của vi phạm. FBI chính thức không khuyến khích các nạn nhân trả tiền chuộc vì làm như vậy có thể thiết lập một thị trường tội phạm có lợi nhuận.
JBS, công ty thịt lớn nhất thế giới theo doanh số, vào ngày 30 tháng 5 tiết lộ nó đã trở thành con mồi của một “cuộc tấn công an ninh mạng có tổ chức” nhắm vào mạng CNTT của nó, tạm thời đánh sập các hoạt động của nó ở Úc, Canada và Hoa Kỳ. Sự xâm nhập đã quy kết REvil (hay còn gọi là Sodinokibi), một nhóm tội phạm mạng có liên kết với Nga, đã nổi lên như một trong những băng đảng ransomware kiếm được nhiều tiền nhất tính theo doanh thu.
Hoạt động như một doanh nghiệp ransomware-as-a-service, REvil cũng là một trong những người đầu tiên chấp nhận cái gọi là “tống tiền gấp đôi“mô hình mà từ đó đã được các nhóm khác mô phỏng để gây áp lực hơn nữa đối với công ty nạn nhân để đáp ứng nhu cầu tiền chuộc trong khung thời gian đã định và tối đa hóa cơ hội kiếm lợi nhuận của họ.
Kỹ thuật này liên quan đến việc đánh cắp dữ liệu nhạy cảm trước khi mã hóa chúng, do đó mở ra cánh cửa cho các mối đe dọa mới trong đó việc từ chối tham gia có thể dẫn đến việc dữ liệu bị đánh cắp được xuất bản trên trang web của nó trên dark web.
REvil và các chi nhánh của nó chiếm khoảng 4,6% các cuộc tấn công trên khu vực công và tư nhân trong quý đầu tiên của năm 2021, theo thống kê được công bố bởi Emsisoft vào tháng trước, khiến nó trở thành chủng ransomware được báo cáo phổ biến thứ năm sau STOP (51,4%), Phobos (6,6%), Dharma (5,1%), và Makop (4,7%).
Các tổ chức hợp vốn được biết là rửa tiền thu được tài chính của họ thông qua Trộn bitcoin các dịch vụ để che khuất dấu vết, sau đó được gửi đến cả các cổng trao đổi tiền điện tử hợp pháp và rủi ro cao để chuyển đổi bitcoin thành tiền tệ fiat, tiền tệ trong thế giới thực.
Cuộc tấn công vào JBS xảy ra trong bối cảnh một loạt các cuộc xâm nhập của ransomware gần đây, trong đó các công ty đang phải đối mặt với yêu cầu thanh toán hàng triệu đô la để đổi lấy chìa khóa để mở khóa hệ thống. Tháng trước, Colonial Pipeline đã trích ra số tiền chuộc khoảng 75 bitcoin (4,4 triệu USD tính đến ngày 8 tháng 5) để khôi phục các dịch vụ, mặc dù chính phủ Mỹ hồi đầu tuần. quản lý để thu hồi hầu hết số tiền bằng cách theo dõi các đường mòn của bitcoin.
“Bị bọn tội phạm tống tiền không phải là vị trí mà bất kỳ công ty nào cũng muốn có”, Giám đốc điều hành của Colonial Pipeline Joseph Blount nói trong một cuộc điều trần trước Ủy ban Thượng viện Hoa Kỳ vào ngày 8 tháng 6. “Như tôi đã tuyên bố công khai, tôi đã đưa ra quyết định rằng Colonial Pipeline sẽ trả tiền chuộc để có sẵn mọi công cụ cho chúng tôi để nhanh chóng khôi phục và vận hành đường ống. Đó là một về những quyết định khó khăn nhất mà tôi phải thực hiện trong đời. “
Trong một diễn biến tương tự, công ty bảo hiểm CNA của Mỹ được cho là đã trả hết 40 triệu đô la cho những kẻ tấn công để khôi phục quyền truy cập vào hệ thống của nó trong những gì được cho là một trong những khoản tiền chuộc đắt nhất được giải quyết cho đến nay. Trong một tuyên bố được chia sẻ vào ngày 12 tháng 5, công ty cho biết họ “không có bằng chứng nào để chỉ ra rằng khách hàng bên ngoài có nguy cơ bị lây nhiễm do vụ việc.”
Các cuộc tấn công không ngừng vào cơ sở hạ tầng quan trọng và tác động của chúng đối với chuỗi cung ứng đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) xuất bản một tờ thông tin nêu chi tiết về mối đe dọa ngày càng tăng của ransomware đối với tài sản công nghệ hoạt động và hệ thống kiểm soát, đồng thời giúp các tổ chức xây dựng khả năng phục hồi hiệu quả.
