Hàng chục tổ chức trở thành nạn nhân của tin tặc sau khi không thực thi xác thực đa yếu tố (MFA).

(Nguồn ảnh: Shutterstock)

Ai đó đang rao bán một lượng lớn dữ liệu nhạy cảm, được thu thập từ 50 doanh nghiệp toàn cầu, trên mạng tối (dark web). Trong số các nạn nhân có một vài tập đoàn lớn như Pickett & Associates, Deloitte, KPMG và Samsung .

Thông tin này đến từ Hudson Rock, một công ty khởi nghiệp về an ninh mạng của Israel, gần đây đã công bố một báo cáo chuyên sâu về một chiến dịch tấn công mạng do một hacker có biệt danh Zestix (hay còn gọi là Sentap) thực hiện.

Theo báo cáo, tất cả các nạn nhân đều có một điểm chung - họ không thực thi xác thực đa yếu tố ( MFA ) và cho phép truy cập vào các phiên bản đám mây doanh nghiệp của ShareFile, OwnCloud và Nextcloud chỉ bằng mật khẩu .

Mật khẩu cũ bị đánh cắp

Một điểm chung khác của tất cả các nạn nhân là ít nhất một trong số các thiết bị của họ đã bị nhiễm phần mềm độc hại đánh cắp thông tin - có thể là RedLine, Lumma hoặc Vidar.

Hiện chưa rõ làm thế nào các thiết bị bị xâm nhập, nhưng điều quan trọng là Zestix đã có thể sử dụng thông tin đăng nhập để truy cập vào các máy chủ đám mây và đánh cắp dữ liệu. Trong một số trường hợp, mật khẩu đã cũ nhiều năm, điều này cũng có nghĩa là các tổ chức nạn nhân có thói quen sử dụng mật khẩu kém và hiếm khi thay đổi thông tin đăng nhập của họ.

“Khi một nhân viên đăng nhập vào cổng thông tin của công ty, họ cho rằng mật khẩu của mình là đủ. Tuy nhiên, Zestix dựa vào việc phát tán rộng rãi phần mềm độc hại đánh cắp thông tin để lây nhiễm vào các thiết bị cá nhân hoặc chuyên nghiệp,” Hudson Rock giải thích.

“Một phát hiện quan trọng trong cuộc điều tra này là độ trễ của mối đe dọa. Trong khi một số thông tin đăng nhập được thu thập từ các máy bị nhiễm gần đây, thì một số khác đã nằm trong nhật ký hệ thống nhiều năm, chờ đợi một kẻ tấn công như Zestix khai thác chúng. Điều này cho thấy sự thất bại nghiêm trọng trong việc bảo mật thông tin đăng nhập; mật khẩu không được thay đổi thường xuyên và các phiên đăng nhập không bao giờ bị vô hiệu hóa, biến một vụ nhiễm trùng nhiều năm tuổi thành một thảm họa hiện tại.”

Báo cáo không đề cập đến con số cụ thể, nhưng với việc nhiều doanh nghiệp lớn bị ảnh hưởng, có thể an toàn khi cho rằng đây là một vụ xâm phạm quy mô lớn. Riêng công ty Pickett & Associates , nơi thông tin về vụ vi phạm được tiết lộ hồi đầu tuần này, được cho là đã mất khoảng 139 GB dữ liệu nhạy cảm.