Adaptavist Group bị tấn công, nhóm ransomware khẳng định đánh cắp lượng dữ liệu khổng lồ

Adaptavist Group, công ty tư vấn phần mềm doanh nghiệp có trụ sở tại Anh, đang điều tra một vụ việc bảo mật nghiêm trọng sau khi tin tặc đã sử dụng thông tin đăng nhập bị đánh cắp để xâm nhập vào hệ thống. Trong khi đó, một nhóm ransomware đã nhận trách nhiệm và khoe khoang về số lượng dữ liệu mà họ tuyên bố đã đánh cắp, vượt xa mức mà công ty này thừa nhận.

Trong bức thư gửi khách hàng, CEO của Adaptavist, ông Simon Haighton-Williams, cho biết công ty đã phát hiện ra "sự cố an ninh IT" vào cuối tháng 3 vừa qua. Kẻ tấn công đã sử dụng thông tin đăng nhập bị xâm phạm để truy cập trái phép vào một số hệ thống nội bộ. Adaptavist, chuyên xây dựng và bán các công cụ, dịch vụ xung quanh các nền tảng như Jira và Confluence của Atlassian, đã gọi các chuyên gia bảo mật bên ngoài và đang tiến hành điều tra pháp y để xác định chính xác dữ liệu nào đã bị truy cập hoặc lấy đi.

Dòng thông tin chính thức hiện tại cho rằng các hệ thống bị xâm nhập chỉ chứa "dữ liệu kinh doanh điển hình", bao gồm thông tin liên hệ, hợp đồng và các thỏa thuận bảo mật (NDA) liên quan đến công việc của khách hàng.

"Xin hãy yên tâm rằng dữ liệu chúng tôi lưu trữ về các liên hệ khách hàng cá nhân là những thông tin bạn mong đợi thấy trên một danh thiếp: tên, địa chỉ email công việc, chức vụ, số liên lạc, tổ chức, v.v.", bài đăng nhấn mạnh.

Tuy nhiên, một nhóm tội phạm mạng tự xưng là "The Gentlemen" đã nhận trách nhiệm trong một bài đăng trên trang web rò rỉ dữ liệu của dark web. Nhóm này tự hào về việc "thỏa hiệp hoàn toàn cơ sở hạ tầng" và khẳng định nắm trong tay một kho dữ liệu bị đánh cắp khổng lồ. Theo Trend Micro, đây là một nhóm tân binh相对 trong làng ransomware với quy trình hoạt động khá tiêu chuẩn: xâm nhập bằng quyền truy cập hợp lệ, di chuyển âm thầm, lấy cắp dữ liệu và sau đó dùng dữ liệu đó làm đòn bẩy.

Bài đăng trên dark web, được The Register kiểm chứng, tuyên bố chiến lợi phẩm bao gồm hàng trăm nghìn hồ sơ khách hàng, mã nguồn của các sản phẩm như ScriptRunner, tài liệu nội bộ, thông tin xác thực và hệ thống sản xuất – cùng với một số tham chiếu đáng chú ý đến môi trường khách hàng bên ngoài.

Đương nhiên, những tuyên bố này cần được xem xét với thái độ cảnh giác. Các nhóm ransomware thường có thói quen phóng đại quyền truy cập của mình để tăng áp lực lên nạn nhân. Adaptavist Group cũng khẳng quyết rằng không có bằng chứng nào chứng minh dữ liệu liên quan đến khách hàng đã bị truy cập.

"Mặc dù có những tuyên bố trái chiều từ một bên thứ ba không rõ danh tính, hiện không có bằng chứng nào cho thấy bất kỳ dữ liệu cá nhân nào khác của khách hàng hoặc đối tác bị truy cập, xuất khẩu hoặc xâm phạm trong sự cố này có thể gây rủi ro cho các cá nhân liên quan", ông Williams viết.

"Mặc dù tôi nhận ra rằng các sự cố không bao giờ được chào đón và việc nhận được tin tức này không bao giờ thú vị, tôi muốn trấn an bạn rằng không có dấu hiệu, cũng không có lý do để tin rằng có bất kỳ sự truy cập nào vào hệ thống khách hàng, dữ liệu chúng tôi xử lý thay mặt khách hàng, hoặc hệ thống sản xuất của chúng tôi."

Tuy nhiên, Adaptavist Group cũng cảnh báo rằng một bên thứ ba không rõ danh tính đang gửi "thư tín sai lệch" tới khách hàng và đối tác dưới danh nghĩa của công ty liên quan đến sự cố này. Điều này cho thấy kẻ tấn công đang cố gắng biến tình huống này thành cơ hội để thực hiện các cuộc tấn công phishing (giả mạo).

Sự việc tại Adaptavist once again nhấn mạnh thực trạng đáng báo động trong an ninh mạng hiện nay, nơi mà thông tin đăng nhập bị lộ có thể dẫn đến những hậu quả dây chuyền, từ việc đánh cắp dữ liệu đến tận dụng danh tiếng công ty để lừa đảo người dùng cuối.