Tập đoàn công nghệ y tế khổng lồ Stryker vừa xác nhận một cuộc tấn công mạng nhắm vào môi trường Microsoft nội bộ, dẫn đến việc hàng chục nghìn thiết bị của nhân viên bị xóa dữ liệu từ xa. Đáng chú ý, các chuyên gia khẳng định đây không phải là một vụ tấn công mã hóa dữ liệu (ransomware) truyền thống và tin tặc hoàn toàn không triển khai bất kỳ mã độc nào trên hệ thống.

Theo cập nhật mới nhất từ phía tổ chức, toàn bộ các thiết bị y tế của hãng vẫn đảm bảo an toàn để sử dụng. Tuy nhiên, hệ thống đặt hàng điện tử hiện đang ngoại tuyến, buộc khách hàng phải thực hiện các giao dịch thủ công thông qua đại diện bán hàng trong thời gian chờ khôi phục hạ tầng.

Tuần trước, nhóm tin tặc Handala (được cho là có liên hệ với Iran) đã lên tiếng nhận trách nhiệm về vụ tấn công này. Dù phía tin tặc tuyên bố đã xóa sạch hơn 200.000 hệ thống và đánh cắp 50 TB dữ liệu, các đội ngũ điều tra hiện vẫn chưa tìm thấy bất kỳ dấu hiệu nào cho thấy dữ liệu đã bị rò rỉ ra bên ngoài.

Đi sâu vào kỹ thuật: Chiếm quyền Global Admin và lạm dụng công cụ quản trị

Phân tích sâu về phương thức tấn công cho thấy tin tặc đã sử dụng kỹ thuật “Living off the Land” (LotL) – lợi dụng chính các công cụ quản trị hợp lệ để thực hiện hành vi phá hoại:

  • Lạm dụng Microsoft Intune: Thông qua dịch vụ quản lý đám mây Microsoft Intune, tin tặc đã thực hiện lệnh ‘Wipe’ đồng loạt trên gần 80.000 thiết bị chỉ trong 3 giờ đồng hồ vào sáng ngày 11/03. Đây là hành vi lạm dụng quyền quản trị để xóa dữ liệu từ xa mà không cần cài đặt mã độc.
  • Leo thang đặc quyền: Cuộc tấn công bắt nguồn từ việc một tài khoản quản trị viên bị thỏa hiệp. Từ đó, tin tặc đã tạo ra một tài khoản Global Administrator mới, cho phép chúng có toàn quyền kiểm soát tenant Microsoft 365 của doanh nghiệp và thực thi lệnh xóa hàng loạt.
  • Hệ lụy hạ tầng: Sự cố đã gây gián đoạn nghiêm trọng tại nhiều quốc gia. Đặc biệt, những nhân viên đăng ký thiết bị cá nhân vào mạng lưới công ty (BYOD) cũng bị ảnh hưởng, dẫn đến mất mát dữ liệu cá nhân trong quá trình hệ thống thực hiện lệnh xóa từ xa.

Đội ngũ Phản ứng Sự cố của Microsoft (DART) đang phối hợp cùng các chuyên gia bảo mật từ Palo Alto Unit 42 để tiến hành điều tra chi tiết và khôi phục hệ thống giao dịch cốt lõi.

Khuyến cáo từ chuyên gia của VNCS Global

Vụ tấn công vào Stryker là một ví dụ điển hình cho thấy rủi ro cực lớn khi các tài khoản đặc quyền cao bị chiếm giữ. Chuyên gia của VNCS Global khuyến nghị các doanh nghiệp cần thắt chặt quản trị hạ tầng đám mây thông qua các biện pháp sau:

  • Siết chặt quản lý tài khoản đặc quyền (IAM): Bắt buộc sử dụng xác thực đa yếu tố (MFA) dựa trên phần cứng (FIDO2) cho tất cả tài khoản Global Admin và Intune Admin. Đồng thời, triển khai chính sách Truy cập có điều kiện (Conditional Access) để hạn chế quyền quản trị theo vị trí địa lý và thiết bị tin cậy.
  • Triển khai Privileged Identity Management (PIM): Áp dụng cơ chế cấp quyền “vừa đủ” và “tức thời” (Just-In-Time). Các tài khoản quản trị không nên có quyền hạn thường trực mà chỉ được kích hoạt khi cần thiết và phải qua quy trình phê duyệt nghiêm ngặt.
  • Giám sát hành vi bất thường trên MDM: Thiết lập cảnh báo thời gian thực đối với các lệnh nhạy cảm như “Wipe” hoặc “Retire” trên Microsoft Intune. Bất kỳ hành động xóa hàng loạt nào vượt quá ngưỡng cho phép cần phải được hệ thống tự động chặn và yêu cầu xác minh danh tính bổ sung.
  • Phân tách dữ liệu cá nhân và doanh nghiệp: Trong môi trường BYOD, các tổ chức nên ưu tiên sử dụng chính sách bảo vệ ứng dụng (MAM) thay vì quản lý toàn bộ thiết bị (MDM). Điều này giúp đảm bảo khi thực hiện lệnh xóa dữ liệu công ty, dữ liệu cá nhân của người dùng vẫn được giữ an toàn.

Nguồn: Tổng hợp