Nhóm Ransomware Unsafe Tuyên Bố Xâm Phạm Dữ Liệu Deutsche Bank

Một nhóm ransomware tự xưng là Unsafe đã tuyên bố chịu trách nhiệm về vụ xâm phạm Deutsche Bank, một trong những tổ chức tài chính lớn nhất thế giới, và đã công bố thứ mà nhóm này nói là bằng chứng cơ sở dữ liệu để chứng minh. Vụ xâm phạm dữ liệu Deutsche Bank bị cáo buộc này đã làm lộ thông tin đăng nhập của nhân viên và dữ liệu nội bộ, ngay lập tức dấy lên lo ngại về cách thông tin đó có thể bị vũ khí hóa trong các cuộc tấn công tiếp theo nhắm vào ngân hàng lẫn khách hàng của họ.

Tại thời điểm viết bài, Deutsche Bank chưa công khai xác nhận vụ xâm phạm, và phạm vi đầy đủ của sự việc vẫn đang được điều tra. Nhưng chính lời tuyên bố, được củng cố bởi những mẫu dữ liệu có vẻ bị rò rỉ, cũng đủ để thu hút sự chú ý nghiêm túc từ các chuyên gia bảo mật lẫn người dùng thông thường.

Nhóm Ransomware Unsafe Tuyên Bố Đã Đánh Cắp Những Gì

Theo các báo cáo trích dẫn dữ liệu bị rò rỉ, vụ xâm phạm liên quan đến thông tin đăng nhập của nhân viên, với ít nhất 353 bộ thông tin đăng nhập bị xâm phạm. Dữ liệu được cho là bao gồm các hồ sơ nội bộ, thứ sẽ cung cấp cho kẻ tấn công một bản đồ chi tiết về cấu trúc nhân sự của Deutsche Bank.

Đối với các nhóm ransomware, loại dữ liệu này phục vụ hai mục đích. Thứ nhất, nó có thể được sử dụng trực tiếp, để cố gắng chiếm đoạt tài khoản hoặc giành quyền truy cập sâu hơn vào hệ thống công ty. Thứ hai, nó có thể được bán hoặc công khai như một đòn bẩy, gây áp lực buộc tổ chức mục tiêu phải trả tiền chuộc để ngăn chặn việc bị lộ thêm. Nhóm Unsafe dường như đang sử dụng chiến lược thứ hai, tung ra các mẫu cơ sở dữ liệu được cho là để chứng minh khả năng và tạo ra sự cấp bách.

Cần lưu ý rằng các nhóm ransomware thường xuyên phóng đại quy mô của các vụ xâm phạm để tối đa hóa áp lực. Tuy nhiên, ngay cả việc rò rỉ dữ liệu nhân viên một phần cũng mang theo rủi ro lan truyền đáng kể, và điều này dẫn chúng ta đến mối lo ngại thực tế hơn.

Cách Dữ Liệu Nhân Viên Bị Rò Rỉ Tiếp Thêm Nhiên Liệu Cho Các Cuộc Tấn Công Lừa Đảo và Kỹ Thuật Xã Hội

Khi một cơ sở dữ liệu chứa tên nhân viên, địa chỉ email, chức danh công việc và thông tin đăng nhập xuất hiện trên web mở, nó không chỉ đe dọa tổ chức bị xâm phạm. Nó tạo ra một bộ công cụ cho những kẻ tấn công nhắm vào tất cả những ai có liên kết với tổ chức đó, bao gồm khách hàng, đối tác và nhà cung cấp.

Các chiến dịch lừa đảo phishing được xây dựng dựa trên dữ liệu nhân viên thực tế thuyết phục hơn nhiều so với các trò lừa đảo chung chung. Một kẻ tấn công biết tên, phòng ban và định dạng email nội bộ của một nhân viên Deutsche Bank cụ thể có thể tạo ra một thông điệp trông hoàn toàn hợp pháp đối với người nhận. Loại spear-phishing này, có chủ đích thay vì phân phối hàng loạt, chịu trách nhiệm cho một tỷ lệ lớn các cuộc tấn công mạng doanh nghiệp thành công.

Kỹ thuật xã hội còn tiến xa hơn. Kẻ tấn công có thể mạo danh nhân viên khi gọi cho bộ phận hỗ trợ IT, nhà cung cấp, hoặc thậm chí khách hàng, sử dụng các chi tiết nội bộ thực tế để vượt qua các bước xác minh. Đây chính là lý do vụ xâm phạm Cơ quan ID Pháp làm lộ 12 triệu tài khoản từng gây lo ngại vượt ra ngoài phạm vi chính cơ quan đó. Rò rỉ dữ liệu tổ chức lan tỏa ra bên ngoài, và những cá nhân ở cuối chuỗi đó hiếm khi nhận ra điều gì đang đến.

Vụ Xâm Phạm Của Deutsche Bank Tiết Lộ Gì Về Những Thất Bại Trong Vệ Sinh Dữ Liệu Doanh Nghiệp

Các tổ chức tài chính nằm trong số những thực thể bị quản lý chặt chẽ nhất về bảo mật dữ liệu. Họ đầu tư đáng kể vào hạ tầng an ninh mạng, điều này khiến một vụ xâm phạm bị cáo buộc ở quy mô này trở nên đáng chú ý thay vì là chuyện thường nhật.

Thứ có xu hướng thất bại không phải là vòng ngoài mà là bên trong. Thông tin đăng nhập của nhân viên được lưu trữ trong các cơ sở dữ liệu có thể truy cập, kiểm soát truy cập không đầy đủ để phân đoạn các hệ thống nội bộ, và việc phát hiện chậm trễ đều góp phần vào các vụ xâm phạm mà các nhóm ransomware tinh vi có thể khai thác. Một khi đã vào được mạng lưới, kẻ tấn công thường có thể di chuyển ngang trong nhiều tuần hoặc nhiều tháng trước khi kích hoạt bất kỳ cảnh báo rõ ràng nào.

Sự lộ lọt thông tin đăng nhập được báo cáo ở đây cũng chỉ ra một vấn đề rộng lớn hơn: các tổ chức thường xuyên nắm giữ nhiều dữ liệu nhân viên hơn mức cần thiết trong các định dạng tập trung, dễ truy cập. Giảm thiểu những gì được lưu trữ, nơi lưu trữ và ai có thể truy cập sẽ giảm thiệt hại mà bất kỳ vụ xâm phạm đơn lẻ nào có thể gây ra. Đây là một nguyên tắc áp dụng trực tiếp cho một ngân hàng đa quốc gia cũng như cho một doanh nghiệp nhỏ hay thậm chí một cá nhân đang quản lý tài khoản của chính mình.

Các sự cố dữ liệu quy mô lớn, như vụ xâm phạm Novo Nordisk liên quan đến 1,3TB dữ liệu thử nghiệm lâm sàng bị đánh cắp, càng củng cố rằng không lĩnh vực nào miễn nhiễm và rằng khối lượng dữ liệu nhạy cảm mà các tổ chức tích lũy tạo ra rủi ro chồng chất theo thời gian.

Các Bước Thực Tế Người Dùng và Doanh Nghiệp Có Thể Thực Hiện Để Hạn Chế Rủi Ro

Cho dù bạn làm việc tại một tổ chức lớn hay chỉ đơn giản là có tài khoản ở đó, vẫn có những hành động cụ thể đáng thực hiện trước những tin tức như thế này.

Kiểm tra mức độ rủi ro do xâm phạm của bạn. Các dịch vụ theo dõi xem địa chỉ email của bạn có xuất hiện trong các đống dữ liệu bị rò rỉ đã biết hay không có thể cảnh báo bạn khi thông tin đăng nhập gắn với tài khoản của bạn đang bị phát tán trực tuyến. Nếu bạn có bất kỳ mối quan hệ nào với Deutsche Bank, hãy coi đây là lời nhắc nhở để rà soát lại bảo mật tài khoản của mình.

Đổi mật khẩu và bật xác thực đa yếu tố. Nếu mật khẩu bạn dùng cho công việc hoặc ngân hàng xuất hiện ở bất kỳ đâu khác, hãy đổi nó ngay bây giờ. Xác thực đa yếu tố làm giảm đáng kể giá trị của thông tin đăng nhập bị đánh cắp đối với kẻ tấn công.

Hãy hoài nghi với những liên hệ bất ngờ. Trong những tuần sau một vụ xâm phạm lớn, các nỗ lực lừa đảo phishing liên quan đến tổ chức đó thường gia tăng. Hãy đối xử với bất kỳ email, cuộc gọi hoặc tin nhắn không được yêu cầu nào đề cập đến tài khoản của bạn, một yêu cầu khẩn cấp hoặc thông tin nội bộ với sự nghi ngờ cao độ, ngay cả khi các chi tiết có vẻ chính xác.

Đối với doanh nghiệp, hãy kiểm tra những gì bạn đang lưu trữ. Nếu tổ chức của bạn nắm giữ dữ liệu nhân viên hoặc khách hàng trong các cơ sở dữ liệu tập trung, đây là thời điểm thực tế để tự hỏi liệu tất cả chúng có cần thiết phải ở đó không, ai có quyền truy cập và liệu nhật ký truy cập có đang được giám sát hay không.

Vụ xâm phạm dữ liệu Deutsche Bank bị cáo buộc bởi ransomware là một lời nhắc nhở rằng bảo mật dữ liệu tổ chức và an toàn kỹ thuật số cá nhân không phải là những mối quan tâm tách biệt. Khi các tổ chức lớn bị xâm phạm, sự lộ lọt lan xa hơn khỏi bức tường của họ. Việc xem xét lại mức độ rủi ro do xâm phạm của chính bạn và thắt chặt các thực hành bảo mật cá nhân không phải là phản ứng thái quá; đó là một phản ứng tương xứng với cách những sự cố này thực sự diễn ra.