Hacker thân Nga dùng mã độc xóa dữ liệu tàn phá ngành giáo dục và ngũ cốc Ukraine

Theo báo cáo công bố hôm 6.11 từ hãng an ninh mạng ESET, các cuộc tấn công này diễn ra vào tháng 6 và tháng 9, tiếp nối chuỗi hoạt động phá hoại của Sandworm (còn gọi là APT44) tại Ukraine.

Đúng như tên gọi, mã độc xóa dữ liệu được tạo ra nhằm phá hủy thông tin kỹ thuật số của mục tiêu bằng cách làm hỏng hoặc xóa các file, phân vùng ổ đĩa hoặc bản ghi khởi động chính (MBR), khiến dữ liệu không thể phục hồi. Tác động của mã độc xóa dữ liệu có thể rất tàn khốc, gây ra những gián đoạn nghiêm trọng khó khắc phục.

Khác với ransomware (mã độc tống tiền), mã độc xóa dữ liệu được sử dụng hoàn toàn cho mục đích phá hoại.

Kể từ khi bị Nga tấn công vào tháng 2.2022, Ukraine đã trở thành mục tiêu của hàng loạt chiến dịch xóa dữ liệu, phần lớn do các nhóm hacker thân Nga thực hiện, gồm PathWiper, HermeticWiper, CaddyWiper, WhisperGate và IsaacWiper.

Các cuộc tấn công phá hoại tiếp diễn

Báo cáo mới từ ESET đề cập đến hoạt động của các nhóm APT từ tháng 4 đến tháng 9 và nêu ra nhiều trường hợp triển khai mã độc xóa dữ liệu tại Ukraine, một số nhắm vào ngành sản xuất ngũ cốc nước này.

Đây là diễn biến mới, cho thấy kẻ tấn công đang tập trung vào một lĩnh vực kinh tế sống còn của Ukraine, khi xuất khẩu ngũ cốc là nguồn thu chính, đặc biệt trong thời chiến.

ESET cho biết: “Trong tháng 6 và tháng 9, Sandworm đã triển khai nhiều biến thể mã độc xóa dữ liệu nhắm vào các tổ chức Ukraine trong các lĩnh vực chính phủ, năng lượng, hậu cần và ngũ cốc. Dù cả bốn lĩnh vực này từng là mục tiêu của các cuộc tấn công xóa dữ liệu từ năm 2022, nhưng ngành ngũ cốc lại không phải mục tiêu thường xuyên. Xuất khẩu ngũ cốc vẫn là một trong những nguồn thu chủ lực của Ukraine. Hành động nhắm vào lĩnh vực đó cho thấy nỗ lực làm suy yếu nền kinh tế thời chiến của Ukraine”.

Hồi tháng 4, APT44 cũng đã triển khai các mã độc xóa dữ liệu ZeroLot và Sting nhắm vào một trường đại học tại Ukraine. Sting được kích hoạt thông qua tác vụ theo lịch trên Windows, đặt tên theo món ăn truyền thống của Hungary là goulash.

Ngoài ra, ESET lưu ý rằng trong một số vụ việc, quyền truy cập ban đầu vào hệ thống do nhóm UAC-0099 thực hiện, sau đó chuyển lại cho APT44 để triển khai mã độc xóa dữ liệu.

UAC-0099 là nhóm hacker đã hoạt động ít nhất từ năm 2023 và dường như tập trung tấn công các tổ chức tại Ukraine.

Theo các nhà nghiên cứu, gần đây Sandworm có xu hướng tăng cường hoạt động do thám, nhưng các cuộc tấn công bằng mã độc xóa dữ liệu nhắm vào Ukraine vẫn diễn ra liên tục.

Hoạt động liên quan đến Iran và biện pháp phòng thủ

ESET cũng phát hiện các hoạt động tấn công mạng nhắm vào Israel bằng kỹ thuật, chiến thuật và quy trình tương đồng với các nhóm hacker Iran.

Hồi tháng 6, các nhóm này đã sử dụng những công cụ viết bằng ngôn ngữ lập trình Go, dựa trên các mã độc xóa dữ liệu mã nguồn mở được công khai, để tấn công các lĩnh vực năng lượng và kỹ thuật của Israel.

Nhiều biện pháp phòng tránh ransomware cũng hiệu quả trong việc chống lại mã độc xóa dữ liệu. Một bước quan trọng là lưu trữ các bản sao dữ liệu quan trọng trên phương tiện ngoại tuyến (offline), tách biệt khỏi tầm với của hacker.

Việc triển khai các hệ thống hệ thống phát hiện mối đe dọa tại điểm cuối và ngăn chặn xâm nhập mạnh mẽ, đồng thời duy trì tất cả phần mềm được cập nhật, có thể ngăn chặn hàng loạt cuộc tấn công, gồm cả các sự cố xóa dữ liệu.