Chính phủ Thụy Sĩ đã xác nhận rằng dữ liệu liên bang nhạy cảm đã bị rò rỉ lên dark web sau một cuộc tấn công ransomware nhằm vào Radix, một tổ chức phi lợi nhuận chuyên về nâng cao sức khỏe, đang phục vụ nhiều văn phòng liên bang. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh của các nhà thầu chính phủ và những tác động dây chuyền của các cuộc tấn công mạng đối với dữ liệu khu vực công.
Phân Tích Vụ Tấn Công Ransomware Radix
Radix, có trụ sở tại Zurich, đã tiết lộ rằng họ bị tấn công vào ngày 16 tháng 6. Trong vụ việc này, các tác nhân đe dọa đã đồng thời đánh cắp và mã hóa dữ liệu. Vụ tấn công này được cho là do nhóm ransomware Sarcoma thực hiện. Khi các yêu cầu tiền chuộc không được đáp ứng, nhóm Sarcoma đã công bố khoảng 1.3 terabyte tài liệu lên cổng rò rỉ của chúng vào ngày 29 tháng 6. Các tài liệu bị rò rỉ bao gồm các hồ sơ tài chính, hợp đồng và thư tín riêng tư.
Ngày 30 tháng 6, chính phủ Thụy Sĩ đã xác nhận rằng dữ liệu liên bang đã bị lộ do vụ việc này. Tuy nhiên, họ nhấn mạnh rằng những kẻ tấn công không giành được quyền truy cập trực tiếp vào các hệ thống IT cốt lõi của chính phủ, vì Radix hoạt động độc lập và không có liên kết hệ thống trực tiếp nào với các hệ thống này.
Phạm Vi Ảnh Hưởng và Phản Ứng Chính Quyền
Hiện tại, các cơ quan chức năng đang phối hợp chặt chẽ với Trung tâm An ninh Mạng Quốc gia (NCSC) để xác định chính xác những văn phòng liên bang và tập dữ liệu nào bị ảnh hưởng. NCSC đang điều phối các cuộc điều tra, hợp tác với Radix, các cơ quan thực thi pháp luật và các đơn vị liên bang bị ảnh hưởng để đánh giá toàn diện phạm vi và mức độ thiệt hại tiềm tàng. Radix đã thông báo cho các cá nhân có dữ liệu cá nhân đặc biệt nhạy cảm có thể đã bị lộ. Đồng thời, họ cũng đưa ra khuyến nghị về việc tăng cường cảnh giác trước các nỗ lực lừa đảo (phishing), cảnh báo rằng những kẻ tấn công có thể lợi dụng tình hình để mạo danh các liên hệ đáng tin cậy nhằm chiếm đoạt mật khẩu hoặc thông tin tài chính. Văn phòng Liên bang về An ninh Mạng của Thụy Sĩ và các cơ quan liên quan khác đang tiếp tục phân tích dữ liệu bị rò rỉ và sẽ cung cấp thông tin cập nhật khi có thêm chi tiết.
Chiến Thuật và Hành Vi của Nhóm Ransomware Sarcoma
Nhóm ransomware Sarcoma, hoạt động từ cuối năm 2024, được biết đến với các chiến thuật tấn công hung hãn. Chúng thường xuyên khai thác các email lừa đảo (phishing), phần mềm lỗi thời và lỗ hổng trong chuỗi cung ứng để giành quyền truy cập vào các mục tiêu. Các cuộc tấn công của chúng thường tuân theo một mô hình nhất định: sau khi xâm nhập vào một hệ thống, chúng sẽ đánh cắp và mã hóa dữ liệu, sau đó yêu cầu tiền chuộc với lời đe dọa công khai dữ liệu. Nếu tiền chuộc không được thanh toán, dữ liệu sẽ được phát tán theo từng giai đoạn để tăng áp lực lên nạn nhân.
Rủi Ro từ Chuỗi Cung Ứng và Bài Học Thực Tiễn
Vụ việc này đánh dấu lần thứ hai trong những tháng gần đây, thông tin của chính phủ Thụy Sĩ bị lộ thông qua các nhà cung cấp bên thứ ba. Điều này làm nổi bật những rủi ro dai dẳng do các cuộc tấn công mạng vào chuỗi cung ứng gây ra. Trong bối cảnh hiện nay, việc các tổ chức, đặc biệt là những đơn vị xử lý dữ liệu chính phủ, phải phụ thuộc vào các nhà cung cấp dịch vụ bên ngoài làm tăng bề mặt tấn công tiềm năng. Một lỗ hổng duy nhất trong chuỗi cung ứng có thể trở thành điểm yếu nghiêm trọng, cho phép các tác nhân độc hại xâm nhập vào các hệ thống nhạy cảm mà không cần phải tấn công trực tiếp vào cơ sở hạ tầng chính phủ.
Các cuộc tấn công chuỗi cung ứng đặc biệt nguy hiểm vì chúng khai thác niềm tin giữa các thực thể kinh doanh. Khi một nhà cung cấp bên thứ ba bị xâm phạm, dữ liệu hoặc quyền truy cập của các khách hàng của họ cũng có nguy cơ bị lộ. Đây là một thách thức lớn đối với an ninh mạng quốc gia, đòi hỏi các chính phủ phải xem xét lại các quy trình thẩm định, đánh giá rủi ro và quản lý nhà cung cấp của mình. Việc phân loại dữ liệu, áp dụng các biện pháp kiểm soát truy cập nghiêm ngặt và thực hiện các cuộc kiểm tra an ninh định kỳ đối với các đối tác là những bước đi cần thiết để giảm thiểu rủi ro này.
Biện Pháp Phòng Ngừa và Khuyến Nghị An Ninh Mạng
Để đối phó với các mối đe dọa ngày càng tinh vi, các nhà chức trách Thụy Sĩ đang kêu gọi tất cả các tổ chức, đặc biệt là những tổ chức xử lý dữ liệu chính phủ, cần khẩn trương tăng cường các biện pháp an ninh mạng của mình. Điều này bao gồm việc triển khai các giải pháp bảo mật mạnh mẽ hơn, cập nhật thường xuyên các hệ thống và phần mềm để vá các lỗ hổng đã biết, và nâng cao nhận thức của nhân viên về các mối đe dọa như phishing và kỹ thuật xã hội.
Các khuyến nghị cụ thể bao gồm:
- Thực hiện xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các tài khoản truy cập hệ thống và dữ liệu nhạy cảm để tăng cường lớp bảo vệ.
- Sao lưu dữ liệu định kỳ và ngoại tuyến: Đảm bảo có các bản sao lưu dữ liệu quan trọng, được lưu trữ ngoại tuyến và kiểm tra khả năng khôi phục thường xuyên để giảm thiểu tác động của các cuộc tấn công mã hóa.
- Đào tạo nhận thức về bảo mật: Tổ chức các chương trình đào tạo thường xuyên cho nhân viên về các mối đe dọa mới nhất, cách nhận biết email lừa đảo và các hành vi đáng ngờ.
- Quản lý lỗ hổng và vá lỗi: Thiết lập quy trình quản lý lỗ hổng chặt chẽ, đảm bảo tất cả phần mềm và hệ thống được vá lỗi kịp thời.
- Giám sát mạng liên tục: Triển khai các công cụ giám sát và phân tích mạng để phát hiện sớm các hoạt động bất thường hoặc dấu hiệu của cuộc tấn công.
- Đánh giá rủi ro chuỗi cung ứng: Thực hiện các đánh giá bảo mật định kỳ đối với các nhà cung cấp bên thứ ba để đảm bảo họ tuân thủ các tiêu chuẩn an ninh mạng nghiêm ngặt.
Vụ việc Radix là một lời nhắc nhở rõ ràng rằng không có tổ chức nào là miễn nhiễm với các cuộc tấn công mạng, đặc biệt là khi các tác nhân đe dọa ngày càng nhắm mục tiêu vào chuỗi cung ứng. Việc duy trì cảnh giác liên tục và chủ động tăng cường khả năng phòng thủ là điều tối quan trọng để bảo vệ dữ liệu nhạy cảm và duy trì hoạt động an toàn trong môi trường kỹ thuật số hiện nay.
