Gã khổng lồ bảo mật kỹ thuật số Entrust đã xác nhận rằng họ đã phải chịu một cuộc tấn công mạng khi các tác nhân đe dọa xâm phạm mạng của họ và đánh cắp dữ liệu từ các hệ thống nội bộ.

Entrust là một công ty bảo mật tập trung vào quản lý danh tính và niềm tin trực tuyến, cung cấp nhiều loại dịch vụ, bao gồm liên lạc được mã hóa, thanh toán kỹ thuật số an toàn và giải pháp cấp ID.

Tùy thuộc vào dữ liệu nào bị đánh cắp, cuộc tấn công này có thể ảnh hưởng đến một số lượng lớn các tổ chức quan trọng và nhạy cảm sử dụng Entrust để quản lý và xác thực danh tính.

Điều này bao gồm các cơ quan chính phủ Hoa Kỳ, chẳng hạn như Bộ Năng lượng, Bộ An ninh Nội địa, Bộ Tài chính, Bộ Y tế & Dịch vụ Nhân sinh, Bộ Cựu chiến binh, Bộ Nông nghiệp, v.v.

Tin tặc xâm phạm mạng của Entrust vào tháng 6

Khoảng hai tuần trước, một nguồn tin nói với BleepingComputer rằng Entrust đã bị xâm phạm vào ngày 18 tháng 6 và tin tặc đã đánh cắp dữ liệu của công ty trong cuộc tấn công mạng.

Tuy nhiên, phải đến ngày hôm qua, vi phạm mới được xác nhận công khai khi nhà nghiên cứu bảo mật Dominic Alvieri đã tweet một ảnh chụp màn hình thông báo bảo mật được gửi tới khách hàng của Entrust vào ngày 6 tháng 7.

"Tôi viết thư này để thông báo cho bạn biết rằng vào ngày 18 tháng 6, chúng tôi biết rằng một bên đã truy cập trái phép vào một số hệ thống được sử dụng cho các hoạt động nội bộ của chúng tôi. Chúng tôi đã làm việc không mệt mỏi để khắc phục tình trạng này kể từ thời điểm đó", thông báo bảo mật từ Giám đốc điều hành Entrust viết. Todd Wilkinson.

"Điều đầu tiên tôi muốn nói với bạn là, mặc dù cuộc điều tra của chúng tôi đang diễn ra, nhưng cho đến nay chúng tôi không tìm thấy dấu hiệu nào cho thấy vấn đề đã ảnh hưởng đến hoạt động hoặc tính bảo mật của các sản phẩm và dịch vụ của chúng tôi."

Thông báo bảo mật xác nhận rằng dữ liệu đã bị đánh cắp từ các hệ thống nội bộ của Entrust. Tuy nhiên, hiện tại vẫn chưa biết liệu đây hoàn toàn là dữ liệu của công ty hay của khách hàng và nhà cung cấp.

"Chúng tôi đã xác định rằng một số tệp đã bị lấy từ hệ thống nội bộ của chúng tôi. Khi chúng tôi tiếp tục điều tra sự cố, chúng tôi sẽ liên hệ trực tiếp với bạn nếu chúng tôi biết được thông tin mà chúng tôi tin rằng sẽ ảnh hưởng đến tính bảo mật của các sản phẩm và dịch vụ mà chúng tôi cung cấp cho tổ chức của bạn." - Entrust

Hôm nay, Entrust nói với BleepingComputer rằng họ đang hợp tác với một công ty an ninh mạng hàng đầu và cơ quan thực thi pháp luật để điều tra vụ tấn công nhưng nó không ảnh hưởng đến hoạt động của họ.

"Mặc dù cuộc điều tra của chúng tôi đang diễn ra, nhưng cho đến nay, chúng tôi không tìm thấy dấu hiệu nào cho thấy sự cố đã ảnh hưởng đến hoạt động hoặc tính bảo mật của các sản phẩm và dịch vụ của chúng tôi, những sản phẩm và dịch vụ này được chạy trong các môi trường tách biệt, tách biệt với các hệ thống nội bộ của chúng tôi và đang hoạt động đầy đủ," Entrust nói với BleepingComputer.

Thông báo sự cố bảo mật được gửi tới khách hàng của Entrust
Nguồn: Dominic Alvieri

Bị tấn công bởi một băng đảng ransomware

Mặc dù các thông báo bảo mật và tuyên bố của Entrust cho BleepingComputer không chia sẻ thêm thông tin chi tiết về vụ tấn công, nhưng BleepingComputer đã biết được rằng một nhóm ransomware nổi tiếng đứng đằng sau vụ tấn công.

Mặc dù không rõ liệu các thiết bị có được mã hóa trong cuộc tấn công hay không, nhưng các nhóm ransomware thường đánh cắp dữ liệu trước khi khởi chạy bộ mã hóa của chúng để sử dụng trong các kế hoạch tống tiền kép.

Theo Giám đốc điều hành AdvIntel Vitali Kremez, một hoạt động ransomware đã mua thông tin đăng nhập Entrust bị xâm phạm và sử dụng chúng để xâm phạm mạng nội bộ của họ.

Kremez nói với BleepingComputer trong một cuộc trò chuyện về cuộc tấn công: “Hoạt động của nhóm chịu trách nhiệm dựa vào mạng đáng tin cậy của những người bán quyền truy cập mạng để có được quyền truy cập ban đầu vào môi trường Entrust, dẫn đến việc mã hóa và đánh cắp sau đó thông qua một nhóm ransomware đã biết.

Trừ khi Entrust trả yêu cầu tiền chuộc, chúng ta có thể sẽ biết được hoạt động của ransomware đằng sau cuộc tấn công khi chúng công khai dữ liệu bị đánh cắp.

Khi chúng tôi liên hệ với Entrust để đặt câu hỏi về cuộc tấn công ransomware, họ nói với chúng tôi rằng họ không thể chia sẻ thêm bất kỳ chi tiết nào về cuộc tấn công.