Cuộc tấn công ransomware Tietoevry dẫn đến sự cố mất điện cho các công ty tại thành phố Thụy Điển

Tietoevry là một công ty dịch vụ CNTT của Phần Lan cung cấp các dịch vụ được quản lý và lưu trữ đám mây cho doanh nghiệp. Công ty có khoảng 24.000 người trên toàn thế giới và có doanh thu năm 2023 là 3,1 tỷ USD.

Ngày 22 tháng 1, Tietoevry xác nhận rằng cuộc tấn công ransomware xảy ra từ tối thứ Sáu, ngày 19 tháng 6 đến sáng thứ Bảy, ngày 20 tháng 1, và chỉ ảnh hưởng đến một trong các trung tâm dữ liệu của họ ở Thụy Điển.

Thông cáo báo chí Tietoevry giải thích: “Cuộc tấn công được giới hạn ở một phần của một trong những trung tâm dữ liệu ở Thụy Điển của chúng tôi, ảnh hưởng đến các dịch vụ của Tietoevry đối với một số khách hàng của chúng tôi ở Thụy Điển”.

“Tietoevry ngay lập tức cô lập nền tảng bị ảnh hưởng và cuộc tấn công bằng ransomware không ảnh hưởng đến các bộ phận khác trong cơ sở hạ tầng của công ty.”

BleepingComputer được biết rằng trung tâm dữ liệu này được sử dụng cho dịch vụ lưu trữ đám mây do doanh nghiệp quản lý, dẫn đến tình trạng ngừng hoạt động đối với nhiều khách hàng ở Thụy Điển.

Tietoevry cho biết họ đang trong quá trình khôi phục cơ sở hạ tầng và dịch vụ nhưng khách hàng vẫn bị ảnh hưởng khi họ đưa máy chủ trực tuyến trở lại.

Thông cáo báo chí cho biết thêm: “Tietoevry đang tuân theo một phương pháp đã được thử nghiệm kỹ lưỡng để khôi phục cơ sở hạ tầng và dịch vụ. Công việc được tiến hành theo trình tự đã lên kế hoạch để đảm bảo xử lý chính xác dữ liệu khách hàng”.

“Lịch trình thời gian cũng sẽ thay đổi đôi chút tùy thuộc vào khách hàng, các giải pháp được đề cập và nhu cầu khôi phục dữ liệu liên quan.”

BleepingComputer đã liên hệ với Tietoevry để biết thêm thông tin về cuộc tấn công nhưng chỉ được thông báo rằng cuộc tấn công “đã ảnh hưởng đến một phần cụ thể của một trong những trung tâm dữ liệu của Tietoevry đặt tại Thụy Điển”.

Tietoevry trước đó đã phải hứng chịu một cuộc tấn công bằng ransomware vào năm 2021 khiến họ phải ngắt kết nối dịch vụ của khách hàng.

Nếu bạn có bất kỳ thông tin nào về cuộc tấn công này hoặc các cuộc tấn công mạng khác, bạn có thể liên hệ với Tietoevry theo cách an toàn trên Signal theo số +1 (646) 961-3731, qua email tại Tips@bleepingcomputer.com hoặc bằng cách sử dụng mẫu mẹo của Tietoevry.

Cuộc tấn công gây mất điện trên diện rộng

BleepingComputer đã biết rằng cuộc tấn công ransomware Akira đã mã hóa các máy chủ quản lý và ảo hóa của Tietoevry được sử dụng để lưu trữ các trang web hoặc ứng dụng cho nhiều doanh nghiệp ở Thụy Điển.

Chuỗi rạp chiếu phim lớn nhất Thụy Điển, Filmstaden, đã xác nhận rằng họ nằm trong số những người bị ảnh hưởng bởi cuộc tấn công, ngăn chặn việc mua vé xem phim trực tuyến thông qua trang web hoặc ứng dụng di động.

Các công ty khác bị ảnh hưởng bởi cuộc tấn công bao gồm chuỗi bán lẻ giảm giá Rusta, nhà cung cấp vật liệu xây dựng thô Moelven và nhà cung cấp nông sản Grangnården, đã buộc phải đóng cửa các cửa hàng của mình trong khi dịch vụ CNTT được khôi phục.

Việc ngừng hoạt động cũng ảnh hưởng đến hệ thống nhân sự và tính lương do Tietoevry quản lý, Primula, được chính phủ, các trường đại học và cao đẳng ở Thụy Điển sử dụng.

Các trường đại học và cao đẳng bị ảnh hưởng trong nước bao gồm Viện Karolinska, SLU, Đại học West, Đại học Stockholm, Đại học Lunds và Đại học Malmö.

Sự cố ngừng hoạt động của Primula cũng đã ảnh hưởng đến nhiều cơ quan chính phủ và thành phố ở Thụy Điển, bao gồm trung tâm dịch vụ Statens, khu đô thị Vellinge và Quận Uppsala.

Đối với Uppsala, tình trạng mất điện còn nghiêm trọng hơn vì nó cũng ảnh hưởng đến hệ thống hồ sơ chăm sóc sức khỏe của khu vực.

Akira ransomware đằng sau cuộc tấn công

Vào Chủ nhật, ngày 21 tháng 1, BleepingComputer lần đầu tiên đưa tin rằng nhóm ransomware Akira đứng sau vụ tấn công vào Tietoevry. Tietoevry đã xác nhận báo cáo của chúng tôi vào thứ Hai, ngày 22 tháng 1 trong một thông cáo báo chí mới về vụ tấn công.

Tuyên bố mới cho biết: “Cuộc tấn công độc hại dựa trên ransomware Akira vào một trong những trung tâm dữ liệu của chúng tôi ở Thụy Điển đã diễn ra vào đêm 19-20 tháng 1”.

“Tietoevry rất coi trọng tình hình và có một đội ngũ chuyên gia và kỹ thuật viên đông đảo làm việc suốt ngày đêm để giảm thiểu tác động và khôi phục dịch vụ.”

Hoạt động ransomware Akira bắt đầu vào tháng 3 năm 2023 và nhanh chóng bắt đầu xâm nhập vào các mạng công ty trên toàn thế giới trong các cuộc tấn công tống tiền kép.

Trung tâm An ninh mạng Quốc gia Phần Lan (NCSC) đã cảnh báo trong tháng này rằng hoạt động ransomware Akira đang nhắm mục tiêu vào các tổ chức trong nước.

NCSC cho biết đã có 12 vụ tấn công ransomware Akira được báo cáo vào năm 2023 nhắm vào các doanh nghiệp ở Phần Lan, phần lớn xảy ra vào cuối năm.

NCSC Phần Lan cảnh báo: “Các sự cố đặc biệt liên quan đến việc triển khai Cisco VPN được bảo mật yếu hoặc các lỗ hổng chưa được vá của chúng. Việc khôi phục thường khó khăn”.

Vào tháng 8, BleepingComputer đã báo cáo về việc nhóm ransomware Akira xâm phạm các tài khoản Cisco VPN không được bảo vệ bằng xác thực đa yếu tố để có quyền truy cập vào mạng nội bộ của công ty.

Khi các tác nhân đe dọa xâm nhập mạng, chúng sẽ lây lan sang các thiết bị khác đồng thời đánh cắp dữ liệu của công ty. Sau khi tất cả dữ liệu đã bị đánh cắp và giành được đặc quyền quản trị, kẻ tấn công sẽ mã hóa các tệp trên mạng.

Vào thời điểm đó, Cisco đã nói với BleepingComputer rằng khách hàng nên định cấu hình MFA trên tất cả các tài khoản VPN và gửi dữ liệu ghi nhật ký đến máy chủ nhật ký hệ thống từ xa.

Bằng cách sử dụng máy chủ nhật ký hệ thống từ xa, ngay cả khi kẻ đe dọa xóa nhật ký trên bộ định tuyến của Cisco, chúng vẫn có thể truy cập được để phân tích sau khi vi phạm.

Nguồn: bleepingcomputer.com