Làn sóng Ransomware tấn công SMB và thành phố

Các doanh nghiệp và thậm chí cả các tổ chức chính phủ từng cho rằng họ quá nhỏ để nhắm tới. Bây giờ họ phải đối mặt với những nỗ lực không ngừng nghỉ từ các nhóm tội phạm ngày càng tinh vi.

Số lượng các cuộc tấn công mạng hàng tuần vào các doanh nghiệp nhỏ tăng gần gấp đôi trong nửa đầu năm 2025 so với cùng kỳ năm ngoái. Theo một báo cáo mới từ công ty an ninh mạng, hơn 80% các cuộc tấn công nhắm vào thông tin xác thực Guardz. Tốc độ của các cuộc tấn công này nhằm vào SMB đang tăng tốc với tốc độ chưa từng có.

Đừng loại trừ việc trở thành nạn nhân của mối đe dọa mạng ngày càng tăng của ransomware. Guardz lưu ý rằng các dịch vụ tấn công dưới dạng dịch vụ có thể truy cập dễ dàng trên web đen đã hạ thấp rào cản gia nhập, cho phép ngay cả những tác nhân đe dọa thiếu kinh nghiệm cũng có thể khởi động các chiến dịch hiệu quả cao.

Nửa đầu năm 2025 là một lời nhắc nhở rõ ràng về bối cảnh mối đe dọa mạng đang phát triển nhanh như thế nào. Thông điệp rất rõ ràng, Dor Eisner, Giám đốc điều hành và đồng sáng lập của Guardz cảnh báo. Không có doanh nghiệp nào quá nhỏ để trở thành mục tiêu.

“Hacker đang truy lùng SMB có cùng lực lượng với các doanh nghiệp lớn, nhưng những doanh nghiệp này thường thiếu khả năng phòng thủ ở cấp doanh nghiệp. Đó là lý do tại sao điều quan trọng đối với SMB là áp dụng các giải pháp giúp quản lý, phát hiện và ứng phó với các mối đe dọa trở nên đơn giản, trong đó MSP cung cấp kiến thức chuyên môn và hỗ trợ chủ động cần thiết để giữ an toàn và kiên cường, ông kêu gọi.

Các quan chức thành phố và người điều hành các cơ sở khu vực cũng phải đối mặt với những rủi ro tương tự. Hãy xem xét một cuộc tấn công mạng gần đây vào Thành phố St. Paul, Minn., và những nỗ lực của Học viện Chính sách Aspen gần đó để nhặt các mảnh sau một cuộc tấn công như vậy. Các quan chức ở đó mô tả cuộc tấn công là một cuộc tấn công kỹ thuật số “có chủ ý, phối hợp, làm gián đoạn nghiêm trọng các dịch vụ công cộng, dẫn đến việc hệ thống thông tin thành phố phải đóng cửa hoàn toàn.

Cuộc tấn công Minnesota không phải là ngoại lệ

Thống đốc bang Minnesota Tim Walz đã kích hoạt Lực lượng Vệ binh Quốc gia, bao gồm cả thành phần bảo vệ mạng, để hỗ trợ phản ứng của thành phố, vì cuộc tấn công “vượt quá khả năng phản ứng của thành phố.” Thị trưởng Melvin Carter báo cáo rằng các quan chức đã phát hiện hoạt động đáng ngờ vào ngày 25 tháng 7 và liên hệ với hai công ty quốc gia để hỗ trợ phục hồi, cùng với FBI.

Mặc dù các quan chức chưa tiết lộ bản chất chính xác của cuộc tấn công nhưng nó có những điểm tương đồng với hoạt động của ransomware. Mặc dù những bình luận của Eisner không phản ứng với các sự cố của Học viện Chính sách và St. Paul, nhưng chúng phản ánh mối lo ngại ngày càng tăng về việc củng cố phòng thủ mạng, vì những kẻ xấu có thể dễ dàng nhắm mục tiêu vào bất kỳ tổ chức nào.

Theo công ty an ninh mạng, số vụ hack và rò rỉ ransomware đang ở mức cao nhất mọi thời đại trong quý 1 năm nay, tăng 28% so với quý trước Tập đoàn NCC. Báo cáo của nó đã được công bố vào mùa xuân này.

Thánh. Hậu quả tấn công mạng của Paul

Các tài khoản tin tức được công bố trích dẫn nhóm ransomware Interlock mới thành lập gần đây là tác nhân đe dọa tuyên bố công nhận vụ tấn công, làm rò rỉ 43 gigabyte dữ liệu bị đánh cắp từ nhiều tệp và thư mục.

Để ngăn chặn cuộc tấn công, thành phố đã đóng cửa hệ thống thông tin của mình. Sự gián đoạn bao gồm mất Wi-Fi trong các tòa nhà công cộng, gián đoạn dịch vụ thư viện và đóng cửa nhiều mạng nội bộ. Tuy nhiên, các dịch vụ khẩn cấp như 911 vẫn hoạt động. Khoảng 3.500 nhân viên thành phố đã phải trực tiếp đặt lại thông tin đăng nhập của họ tại một địa điểm trung tâm.

Tính đến cuối tháng 8, các đội sửa chữa đang dần khôi phục các dịch vụ của thành phố theo thứ tự ưu tiên. Việc khôi phục ưu tiên an toàn công cộng trước tiên, tiếp theo là ổn định tài chính, sau đó là hoạt động hàng ngày.

Theo báo cáo, thành phố đã từ chối trả tiền chuộc, thay vào đó chọn khôi phục dữ liệu từ các bản sao lưu được thực hiện vào ngày 25 tháng 7 mà không bị xâm phạm. Quá trình khôi phục chỉ mang lại các hệ thống sau khi thử nghiệm và xác nhận.

Hơn 90% hệ thống của thành phố đã được cài đặt các công cụ bảo mật tiên tiến sau vụ việc.

Cuộc điều tra của Học viện Aspen vẫn tiếp tục

Betsy Cooper, giám đốc sáng lập của Học viện chính sách Aspen, nói với TechNewsWorld rằng cuộc điều tra ở đó vẫn đang tiếp diễn.

Học viện Chính sách Aspen là một sáng kiến của Viện Aspen có trụ sở tại Washington, DC và cung cấp các chương trình phát triển khả năng lãnh đạo trong Học viện Lãnh đạo Lực lượng lao động của mình.

Cuộc tấn công mạng dường như có liên quan đến một vụ lừa đảo lừa đảo nhắm vào tài khoản doanh nghiệp. Theo như thành phố biết, chỉ có một tài khoản bị ảnh hưởng, theo Cooper.

Cô xác định một số yếu tố khiến chính quyền thành phố dễ bị tấn công hơn, bao gồm nguồn lực hạn chế cho cơ sở hạ tầng CNTT và an ninh mạng so với các chính phủ phức tạp hơn hoặc các chủ thể thuộc khu vực tư nhân. Một yếu tố khác là kho lưu trữ lớn dữ liệu nhạy cảm về công dân.

“Trong nhiều trường hợp, việc thiếu đầu tư lâu dài vào cơ sở hạ tầng an ninh mạng, bao gồm nguồn vốn hạn chế và thiếu nhân sự, [tạo ra] một vectơ tấn công hấp dẫn, bà nói thêm.

Phòng thủ mạng thành phố rơi vào tình trạng thiếu hụt

Các cơ quan chính quyền địa phương và SMB có rất ít lựa chọn để bảo vệ các hệ thống cũ lỗi thời và không đủ nguồn lực CNTT, đặc biệt là khi phải đối mặt với những hạn chế về ngân sách và khó khăn trong việc thu hút nhân tài an ninh mạng hàng đầu. Nhưng có một số cơ hội để cải thiện.

“Không có thuốc chữa bách bệnh để giúp các thành phố nâng cấp cơ sở hạ tầng an ninh mạng,” Cooper cho biết.

Bốn lựa chọn được đề xuất:

• Xem xét quan hệ đối tác công tư sẽ nâng cao năng lực của thành phố thông qua khu vực tư nhân
• Đánh giá lại hoạt động mua sắm để có thể tiếp cận nhanh nhẹn hơn
• Ví dụ, ưu tiên nhân tài thông qua các chương trình học bổng đưa nhân tài công nghệ vào chính phủ
• Làm việc với các cộng đồng thực hành như Trung tâm Phân tích và Chia sẻ Thông tin (ISAC)

Các bước ngay lập tức để các thành phố thực hiện

Cooper cũng gợi ý rằng các bước ngay lập tức của cities’ bao gồm nâng cao nhận thức về các điểm tấn công tiềm ẩn.

Bắt đầu bằng cách kiểm tra cơ sở hạ tầng hiện có để giúp chính quyền thành phố xác định những điểm yếu và xác định nơi ưu tiên các phương án. Đảm bảo tất cả các hệ thống được vá và cập nhật. Sau đó, chia ngăn nếu có thể để sự cố không thể lan truyền giữa các hệ thống.

Là một lớp phục hồi, có một kế hoạch ứng phó sự cố rõ ràng tại chỗ, bao gồm khi nào cần tham gia tư vấn pháp lý và các bước cụ thể để ngăn chặn vấn đề, chẳng hạn như tắt hệ thống CNTT nếu cần thiết.