ShadowByt3$ tấn công Cropwise trong vụ tấn công mã độc tống tiền nhằm vào dữ liệu nông nghiệp

ShadowByt3$ tấn công Cropwise trong vụ tấn công mã độc tống tiền nhằm vào dữ liệu nông nghiệp

Nhóm ransomware có tên ShadowByt3$ đã nhận trách nhiệm về vụ tấn công mạng vào Cropwise, nền tảng nông nghiệp chính xác thuộc Tập đoàn Syngenta, một trong những tập đoàn kinh doanh nông nghiệp lớn nhất thế giới. Vụ tấn công được cho là liên quan đến việc đánh cắp dữ liệu cùng với yêu cầu tiền chuộc, làm dấy lên lo ngại nghiêm trọng về an ninh của các hệ thống công nghệ nông nghiệp vốn nắm giữ dữ liệu khách hàng và vận hành nhạy cảm.

Sự cố này là một trong số nhiều tuyên bố tấn công ransomware liên tiếp được báo cáo gần đây, với các nhóm khác nhau nhắm vào các doanh nghiệp từ một nhà phân phối nấm lớn của Hoa Kỳ cho đến một công ty quản lý tài sản. Hình mẫu này cho thấy một hệ sinh thái ransomware ngày càng hung hăng, nơi không có lĩnh vực nào, kể cả công nghệ nông nghiệp, là bất khả xâm phạm.

Những gì chúng ta biết về vụ tấn công Cropwise

Cropwise là một nền tảng nông học kỹ thuật số thu thập và xử lý dữ liệu chi tiết cấp trang trại, bao gồm bản đồ đồng ruộng, kế hoạch cây trồng, hồ sơ năng suất và các khuyến nghị về kỹ thuật canh tác. Loại dữ liệu mà các nền tảng như vậy nắm giữ không chỉ nhạy cảm về mặt vận hành; nó có thể bao gồm thông tin cá nhân gắn liền với nông dân và các doanh nghiệp nông nghiệp phụ thuộc vào dịch vụ này.

ShadowByt3$ trước đây đã tuyên bố tấn công các tổ chức khác, bao gồm một sự cố được báo cáo tại Đại học Georgia, cho thấy nhóm này đang tích cực mở rộng phạm vi mục tiêu. Vụ tấn công Cropwise tuân theo một kịch bản quen thuộc: xâm nhập mạng lưới mục tiêu, đánh cắp dữ liệu có giá trị, mã hóa hệ thống và đưa ra yêu cầu tiền chuộc kèm theo lời đe dọa công bố dữ liệu công khai.

Ở thời điểm hiện tại, phạm vi đầy đủ của dữ liệu bị xâm phạm trong vụ tấn công Cropwise vẫn chưa được xác nhận công khai. Tập đoàn Syngenta, có trụ sở chính tại Thụy Sĩ, tính đến thời điểm viết bài chưa đưa ra tuyên bố chi tiết công khai.

Làn sóng tấn công ransomware rộng hơn

Vụ tấn công Cropwise không xảy ra đơn lẻ. Cùng khoảng thời gian đó, nhóm ransomware Akira tuyên bố tấn công Moorman Harting, một công ty quản lý tài sản có trụ sở tại Hoa Kỳ, đe dọa phơi bày hồ sơ tài chính và cá nhân nhạy cảm của khách hàng. Riêng biệt, Monterey Mushrooms, nhà tiếp thị nấm tươi lớn nhất Hoa Kỳ, được báo cáo là nạn nhân của một vụ tấn công ransomware. Một nhóm không tên khác tuyên bố đã thu thập được dữ liệu hộ chiếu của hơn 300 khách hàng trong một vụ xâm phạm không liên quan.

Cụm tấn công này nhấn mạnh một điểm mà các chuyên gia an ninh đã nêu ra trong nhiều năm: các hoạt động ransomware đã được công nghiệp hóa. Các nhóm vận hành với cấu trúc phân công lao động, đôi khi cho thuê cơ sở hạ tầng ransomware dưới dạng dịch vụ trong khi những nhóm khác xử lý đàm phán và công bố dữ liệu bị đánh cắp. Kết quả là một môi trường đe dọa đa lĩnh vực, tần suất cao.

Như đã thấy trong các sự cố như vụ xâm nhập chi nhánh IBM Italy liên quan đến chiến dịch mạng Trung Quốc, các tác nhân đe dọa tinh vi thường kết hợp đánh cắp dữ liệu với xâm phạm hệ thống, khiến việc khôi phục trở nên phức tạp hơn nhiều so với chỉ giải mã các tệp tin.

Điều này có ý nghĩa gì với bạn

Nếu bạn là một doanh nghiệp hoạt động trong lĩnh vực công nghệ nông nghiệp, hoặc bất kỳ lĩnh vực nào tổng hợp dữ liệu vận hành nhạy cảm, sự cố Cropwise là lời nhắc nhở trực tiếp về mức độ hấp dẫn của các nền tảng này đối với các mục tiêu ransomware. Giá trị của dữ liệu nông nghiệp chính xác vượt ra ngoài bản thân nền tảng; nó đại diện cho trí tuệ cạnh tranh và thông tin cá nhân của hàng ngàn người vận hành trang trại.

Đối với người dùng cá nhân của các nền tảng như Cropwise, mối quan tâm trước mắt là liệu dữ liệu cá nhân hay doanh nghiệp có nằm trong số những gì bị đánh cắp hay không. Cho đến khi Syngenta hoặc Cropwise cung cấp thông báo vi phạm chi tiết, người dùng nên giả định rằng dữ liệu của họ có thể gặp rủi ro và theo dõi bất kỳ hoạt động tài khoản bất thường nào hoặc các nỗ lực lừa đảo trực tuyến (phishing) có liên quan đến hoạt động canh tác của họ.

Các tổ chức xử lý khối lượng lớn dữ liệu khách hàng cũng nên lưu ý rằng các dịch vụ giám sát web đen (dark web) ngày càng được sử dụng để theo dõi xem các bộ dữ liệu bị đánh cắp có xuất hiện để rao bán hoặc được các nhóm ransomware công bố hay không. Đây không phải là mối lo ngại thụ động; dữ liệu bị rò rỉ từ một vụ xâm phạm thường thúc đẩy các cuộc tấn công có chủ đích ở những nơi khác.

Rủi ro không chỉ giới hạn ở các doanh nghiệp tư nhân. Như đã nhấn mạnh trong bài viết về các mối đe dọa APT liên quan đến nhà nước và phương thức của chúng, ngay cả các tổ chức có nguồn lực tốt cũng phải đối mặt với các kỹ thuật xâm nhập dai dẳng và không ngừng tiến hóa. Các nhóm ransomware đã áp dụng một số chiến thuật di chuyển ngang và tập kết dữ liệu tương tự từng được cho là gắn liền với gián điệp được nhà nước bảo trợ.

Các bước hành động sau vụ tấn công này

Dưới đây là những điều doanh nghiệp và cá nhân nên cân nhắc sau các cuộc tấn công như vậy:

• Phân đoạn mạng là quan trọng. Ransomware lây lan bằng cách di chuyển ngang qua các hệ thống được kết nối. Việc cách ly các môi trường dữ liệu nhạy cảm khỏi mạng doanh nghiệp chung sẽ giới hạn phạm vi ảnh hưởng của bất kỳ vụ xâm nhập đơn lẻ nào.
• Giám sát lộ dữ liệu. Nếu bạn hoặc doanh nghiệp của bạn đã sử dụng Cropwise, hãy theo dõi các thông báo từ Syngenta và cân nhắc sử dụng các dịch vụ giám sát vi phạm để kiểm tra xem dữ liệu của bạn có xuất hiện trực tuyến hay không.
• Xem xét rủi ro từ nền tảng bên thứ ba. Các nền tảng SaaS trong nông nghiệp, tài chính và y tế nắm giữ dữ liệu quan trọng thay mặt cho người dùng. Các doanh nghiệp nên hỏi nhà cung cấp về kế hoạch ứng phó sự cố và thực tiễn xử lý dữ liệu của họ trước khi tham gia.
• Giữ tách biệt thông tin đăng nhập. Nếu bạn sử dụng lại mật khẩu trên các nền tảng, một vụ xâm phạm tại một dịch vụ sẽ trở thành rủi ro cho tất cả những dịch vụ khác. Hãy sử dụng trình quản lý mật khẩu và bật xác thực đa yếu tố bất cứ khi nào có thể.
• Chuẩn bị sẵn kế hoạch ứng phó. Các sự cố ransomware diễn biến rất nhanh. Các tổ chức đã diễn tập quy trình ứng phó sự cố sẽ phục hồi nhanh hơn và ít bị mất dữ liệu hơn.

Vụ tấn công ShadowByt3$ vào Cropwise là một lời nhắc nhở rõ ràng rằng các nhóm ransomware không tự giới hạn mình vào các mục tiêu có giá trị cao rõ ràng như bệnh viện hay các tổ chức tài chính. Các nền tảng nông nghiệp chính xác, và dữ liệu nhạy cảm mà chúng nắm giữ thay mặt cho nông dân và các doanh nghiệp nông nghiệp, giờ đây rõ ràng đã nằm trong tầm ngắm. Cập nhật thông tin và thực hiện các bước chủ động để bảo mật dữ liệu không còn là điều tùy chọn đối với bất kỳ tổ chức nào có xử lý thông tin khách hàng.