Chưa đầy một tuần trước kỳ nghỉ lễ Giáng sinh, công ty dịch vụ CNTT của Pháp Inetum Group đã bị tấn công bởi ransomware có tác động hạn chế đến hoạt động kinh doanh và khách hàng của họ.
Inetum đang hoạt động tại hơn 26 quốc gia, cung cấp dịch vụ kỹ thuật số cho các công ty trong nhiều lĩnh vực khác nhau: hàng không vũ trụ và quốc phòng, ngân hàng, ô tô, năng lượng và tiện ích, chăm sóc sức khỏe, bảo hiểm, bán lẻ, khu vực công, giao thông vận tải, viễn thông và truyền thông.
Tác động hạn chế
Là nhà cung cấp dịch vụ cho một số lượng lớn các công ty và với doanh thu gần 2 tỷ USD, tập đoàn này là mục tiêu hấp dẫn của các băng đảng ransomware.
Vào Chủ nhật, ngày 19 tháng 12, Inetum đã trở thành mục tiêu của một cuộc tấn công bằng ransomware ảnh hưởng đến một số hoạt động của nó ở Pháp và không lây lan sang các cơ sở hạ tầng lớn hơn mà khách hàng sử dụng.
“Không có cơ sở hạ tầng chính, giao tiếp, công cụ cộng tác hoặc hoạt động phân phối nào cho khách hàng Inetum bị ảnh hưởng,” công ty đảm bảo trong một thông cáo báo chí vào thứ Năm.
Bộ phận xử lý khủng hoảng của Tập đoàn đã nhanh chóng hành động để bảo vệ các kết nối nhạy cảm có thể khiến khách hàng gặp rủi ro nếu bị xâm phạm. Vì vậy, các nhóm vận hành đã cô lập tất cả các máy chủ trên mạng bị ảnh hưởng và chấm dứt các kết nối VPN máy khách.
Một cuộc điều tra ban đầu đã xác định chủng loại ransomware được sử dụng trong cuộc tấn công và lỗ hổng Log4j quan trọng gần đây đã không được khai thác trong sự cố.
Inetum Group không tiết lộ tên của phần mềm độc hại được sử dụng nhưng theo Valéry Marchive , tổng biên tập tại ấn phẩm LeMagIt của Pháp, những kẻ tấn công đã sử dụng BlackCat ransomware , còn được gọi là ALPHV và Noberus.
Phần mềm độc hại mã hóa tệp được viết bằng Rust, không điển hình cho các hoạt động của ransomware và đã được sử dụng trong các cuộc tấn công ít nhất là vào ngày 18 tháng 11, như được phát hiện bởi các nhà nghiên cứu tại Symantec , một công ty Broadcom.
BlackCat có nhiều tính năng nâng cao và đi kèm với một cấu hình rất linh hoạt cho phép nó lây lan sang các máy tính khác, chấm dứt các máy ảo và siêu giám sát ESXi, cũng như xóa sạch chúng.
Inetum Group đã thông báo cho nhà chức trách về vụ tấn công và đang hợp tác với các đơn vị chuyên trách về tội phạm mạng. Một bên thứ ba cũng đã được gọi đến cho các dịch vụ ứng phó sự cố.
Hiện tại, các hoạt động giao hàng cho khách hàng vẫn an toàn và các hệ thống nhắn tin và cộng tác vẫn không bị ảnh hưởng, công ty lưu ý.
