Canon vừa phải gánh chịu cuộc tấn công ransomware ảnh hưởng đến nhiều dịch vụ, trong đó có email, Microsoft Teams, trang web tại Mỹ cùng một số ứng dụng nội bộ khác.
Khoảng một tuần sau khi tung ra bộ công cụ bảo mật không gian mạng cho các doanh nghiệp nhỏ trên khắp nước Mỹ, Canon tiết lộ hãng đã bị hai cuộc tấn công ransomware khá nghiêm trọng. Tin tặc khóa ít nhất 10TB dữ liệu cùng một số dịch vụ khác của công ty để đòi tiền chuộc.
Nhà sản xuất máy ảnh Nhật Bản chia sẻ khá ít thông tin về dữ liệu bị khóa. Theo BleepingComputer, sự cố ảnh hưởng đến các hệ thống nội bộ của công ty như: dịch vụ email, Microsoft Teams cùng một số ứng dụng khác. Khoản tiền cụ thể, thông tin về dữ liệu bị đánh cắp và số lượng thiết bị bị khóa trong vụ tấn công ransomware không được tiết lộ.
Theo thống kê của BleepingComputer, có hơn 20 tên miền của Canon gặp sự cố tạm dừng hoạt động. Một trong những địa chỉ đó là trang web đám mây mà khách hàng thường sử dụng để lưu trữ hình ảnh công khai hoặc riêng tư. Trang web này đã trong trạng thái bảo trì suốt 6 ngày và chỉ vừa hoạt động bình thường trở lại từ hôm qua. Đi kèm theo đó là thông báo:
“Vào 30/7/2020, Canon phát hiện vấn đề liên quan đến dung lượng lưu trữ dài hạn 10 GB trên image.canon. Để tiến hành điều tra thêm, chúng tôi tạm thời đình chỉ cả ứng dụng di động và dịch vụ trình duyệt web của image.canon.
Sau khi tìm hiểu, chúng tôi nhận thấy một số tập tin hình ảnh và video được lưu trong bộ nhớ dài hạn 10 GB trước 9 giờ sáng ngày 16/6/2020 đã biến mất. Toàn bộ hình thu nhỏ (image thumbnail) của những tập tin có liên quan không bị ảnh hưởng và hiện chưa rò rỉ bất kỳ dữ liệu hình ảnh nào”.
BleepingComputer đã xác định nhà khai thác mã độc tống tiền Maze chính là tổ chức đứng sau vụ tấn công Canon. Maze là một loại phần mềm ransomware chuyên nhắm vào các doanh nghiệp, chúng âm thầm xâm nhập và lén lút lây lan cho đến khi chiếm được quyền truy cập vào tài khoản quản trị và điều khiển toàn bộ miền Windows của hệ thống.
Trong quá trình phát tán, Maze sẽ đánh cắp tập tin không được mã hóa từ máy chủ và các bản sao lưu rồi tải lên máy chủ của thủ phạm. Sau khi thu thập những dữ liệu có giá trị và nắm quyền truy cập vào bộ điều khiển miền Windows, Maze triển khai phần mềm ransomware mã hóa toàn bộ thiết bị. Nếu nạn nhân không trả tiền chuộc, tin tặc sẽ công bố toàn bộ dữ liệu thu thập được lên một trang web rò rỉ dữ liệu riêng.