GoDaddy bị tin tặc đột nhập vào máy chủ cPanel

phần mềm độc hại hack GoDaddy mới
Các vấn đề của GoDaddy và một danh sách vi phạm dài…

Tin tặc đã tấn công thành công các máy chủ lưu trữ cPanel của GoDaddy bằng phần mềm độc hại “liên tục chuyển hướng các trang web của khách hàng đến các trang web độc hại một cách ngẫu nhiên”, công ty lưu trữ web đã thừa nhận – vụ vi phạm mới nhất trong chuỗi vi phạm tại công ty, công ty gần đây đã đưa ra kế hoạch cắt giảm opex và nhân viên vào năm 2023 để tiết kiệm chi phí 100 triệu USD. 

Vụ hack GoDaddy: Hacker lấy được mật khẩu rất “tinh vi”

(“Là nhà điều hành cơ sở hạ tầng Internet lớn, công ty thường xuyên trở thành mục tiêu và hứng chịu tỷ lệ tấn công cao. Chúng bao gồm các hình thức tấn công tinh vi nhất, chẳng hạn như tấn công đe dọa liên tục nâng cao và đe dọa 0 giờ zero-hour” . Tại sao không thiết lập MFA ở mức tối thiểu, các nhà phê bình sẽ tự hỏi; chỉ riêng một mật khẩu bị xâm nhập không đủ để vi phạm một công ty có doanh thu hơn 1 tỷ đô la một năm trong lĩnh vực này .)

Vụ hack GoDaddy vào tháng 12 năm 2022 là một phần của “chiến dịch kéo dài nhiều năm của một nhóm tác nhân đe dọa tinh vi, cùng với những thứ khác, đã cài đặt phần mềm độc hại vào hệ thống của chúng tôi và lấy được các đoạn mã liên quan đến một số dịch vụ trong GoDaddy”, công ty đã tuyên bố trong SEC vào ngày 16 tháng 2, mà không chia sẻ bằng chứng. 

“Sau khi xác nhận sự xâm nhập, chúng tôi đã khắc phục tình hình và thực hiện các biện pháp bảo mật nhằm nỗ lực ngăn chặn sự lây nhiễm trong tương lai,” GoDaddy nói một cách nhạt nhẽo trên trang web của mình , đồng thời cho biết thêm “chúng tôi đang làm việc với nhiều cơ quan thực thi pháp luật trên khắp thế giới, bên cạnh các chuyên gia pháp y số, để điều tra thêm vấn đề. Chúng tôi có bằng chứng và cơ quan thực thi pháp luật đã xác nhận rằng sự cố này được thực hiện bởi một nhóm tinh vi và có tổ chức nhắm mục tiêu vào các dịch vụ lưu trữ… mục tiêu rõ ràng của chúng là lây nhiễm phần mềm độc hại vào các trang web và máy chủ cho các chiến dịch lừa đảo, phân phối phần mềm độc hại và các hoạt động độc hại khác.”

Vào tháng 3 năm 2020, một kẻ đe dọa đã đánh cắp thông tin đăng nhập của 28.000 khách hàng GoDaddy. Sau đó, vào tháng 11 năm 2021 “bằng cách sử dụng một mật khẩu bị xâm phạm, một bên thứ ba trái phép đã truy cập vào hệ thống cung cấp trong cơ sở mã cũ của chúng tôi cho Managed WordPress (MWP), điều này đã ảnh hưởng đến 1,2 triệu… khách hàng trên nhiều thương hiệu của GoDaddy” GoDaddy thừa nhận – ám chỉ trong hồ sơ của mình rằng các cuộc tấn công là của cùng một nhóm đe dọa. 

Điều đáng chú ý là GoDaddy đã nói rằng “Cho đến nay, những sự cố này cũng như các mối đe dọa và tấn công mạng khác không dẫn đến bất kỳ tác động bất lợi nghiêm trọng nào đối với hoạt động kinh doanh hoặc hoạt động của chúng tôi” – điều đó có thể sắp thay đổi. 

GoDaddy bị tấn công: Chưa có thông tin chuyên sâu về mối đe dọa

Như Muhammad Yahya Patel, Kỹ sư bảo mật tại Check Point Software đã lưu ý: “Rõ ràng là các tổ chức vẫn đang gặp khó khăn trong việc triển khai đủ các giao thức bảo vệ để ngăn chặn các cuộc tấn công mạng. Điều này có thể ảnh hưởng đến mức độ thoải mái mà khách hàng của họ cảm thấy khi tương tác với GoDaddy , đặc biệt là khi hậu quả có thể đang tiếp diễn và đó sẽ là bài học cho các tổ chức khác. Chỉ cần một lần vi phạm là có thể làm mất lòng tin đã được xây dựng trong nhiều năm và điều này có thể có tác động thực sự đến danh tiếng của doanh nghiệp về lâu dài. Tuy nhiên, có nhiều cách để giảm thiểu mối đe dọa do những rủi ro này gây ra. Để tự bảo vệ mình, các doanh nghiệp cần triển khai phân đoạn và mã hóa bằng cách xoay vòng khóa để bảo vệ đầy đủ trước các mối đe dọa trên mạng. Bên cạnh đó, chúng ta không thể quên tầm quan trọng của xác thực đa yếu tố, một giao thức nên được áp dụng ở mọi nơi nhưng nhiều tổ chức vẫn tiếp tục bỏ qua. Các nhà cung cấp dịch vụ nên bắt buộc thực hiện điều này vì việc sử dụng kết hợp đúng các kỹ thuật sẽ khiến các tác nhân đe dọa khó làm gián đoạn hoạt động hơn.”

Nick France , CTO của SSL tại Sectigo  đã lưu ý rằng “việc xâm phạm bất kỳ cơ sở hạ tầng lưu trữ hoặc DNS nào có thể liên quan hoặc dẫn đến việc xâm phạm khóa riêng cho chứng chỉ kỹ thuật số cho các trang web đó. 

“Điều quan trọng là phải nhanh chóng khắc phục những sự xâm phạm này – trong trường hợp chứng chỉ, chúng có thể cần phải được thu hồi trong một khoảng thời gian ngắn,” ông nói thêm: “Nếu cơ sở hạ tầng lưu trữ thực sự bị xâm phạm, gần như chắc chắn rằng các khóa để các chứng chỉ cũng đã bị xâm phạm. Vì điều này có thể có tác động đáng kể đến doanh nghiệp nên điều quan trọng là các chứng chỉ này phải được quản lý đúng cách để không chỉ doanh nghiệp biết được chúng mà còn có thể được phát hành lại và cài đặt lại rất nhanh khi những vi phạm bảo mật này xảy ra. Có thể duy trì sự linh hoạt với các chứng chỉ của bạn, bất kể chúng ở đâu hoặc ai đã cấp chúng – sẽ giảm thiểu tác động đối với doanh nghiệp trong các loại sự kiện này,” ông nói thêm trong một nhận xét qua email.

TheStack – An Toàn Thông Tin (Security365)

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s