Trung tâm điều phối an ninh mạng ngành y tế (HC3) cho biết, các chiến thuật này đã cho phép tin tặc truy cập vào hệ thống của các tổ chức bằng cách lừa đối tượng đăng ký xác thực đa yếu tố (MFA) của riêng chúng. Trong các cuộc tấn công này, tin tặc sử dụng mã vùng địa phương để gọi cho các tổ chức và giả danh là nhân viên trong bộ phận tài chính thông báo thông tin của họ gặp sự cố và cần cung cấp chi tiết xác minh ID bị đánh cắp, bao gồm ID công ty và số an sinh xã hội. Tin tặc sẽ báo rằng điện thoại bị hỏng và thuyết phục bộ phận trợ giúp công nghệ thông tin đăng ký một thiết bị mới và cần sử dụng MFA. Thông qua đó chúng sẽ hướng dẫn họ đăng ký vào một thiết bị nằm dưới sự kiểm soát của chúng. Điều này cho phép chúng có quyền truy cập vào tài nguyên của công ty và cho phép chuyển hướng các giao dịch ngân hàng.
HC3 cho biết, tin tặc nhắm mục tiêu vào thông tin đăng nhập website, sau đó chúng gửi biểu mẫu để thực hiện các thay đổi trong Hệ thống thanh toán bù trừ tự động (ACH) cho tài khoản của người trả tiền. Sau khi có được quyền truy cập vào tài khoản, chúng sẽ gửi hướng dẫn đến bộ xử lý thanh toán để chuyển các khoản thanh toán hợp pháp sang tài khoản ngân hàng do tin tặc kiểm soát. Số tiền sau đó được chuyển đến các tài khoản ở nước ngoài. Trong chiến dịch này, tin tặc sẽ đăng ký một tên miền gần giống với tên miền của tổ chức chúng nhắm đến và tạo một tài khoản mạo danh Giám đốc tài chính (CFO) của tổ chức đó.
Trong những chiến dịch như vậy, tin tặc cũng có thể sử dụng các công cụ giọng nói AI để đánh lừa mục tiêu, khiến việc xác minh danh tính từ xa trở nên khó khăn hơn. Theo một nghiên cứu toàn cầu gần đây thì cách thức này hiện là một chiến thuật rất phổ biến.
Các chuyên gia cho rằng, chiến thuật được mô tả trong cảnh báo của Bộ Y tế Hoa Kỳ rất giống với các chiến thuật được sử dụng bởi nhóm tin tặc Scattered Spider (còn gọi là UNC3944 và 0ktapus). Nhóm này cũng sử dụng các chiến thuật lừa đảo như tấn công MFA và hoán đổi SIM để có được quyền truy cập mạng ban đầu. Nhóm tội phạm mạng này thường mạo danh nhân viên CNTT để đánh lừa nhân viên dịch vụ khách hàng cung cấp cho họ thông tin xác thực hoặc sử dụng các công cụ truy cập từ xa để xâm phạm mạng của mục tiêu.
Tin tặc Scattered Spider gần đây đã mã hóa hệ thống của MGM Resorts bằng cách sử dụng mã độc tống tiền BlackCat/ALPHV. Chúng cũng nổi tiếng với chiến dịch 0ktapus, nhắm mục tiêu vào hơn 130 tổ chức, bao gồm Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games và Best Buy.
FBI và CISA đã đưa ra lời khuyên vào tháng 11 năm ngoái để nêu bật các chiến thuật, kỹ thuật và quy trình của Scattered Spider nhằm đối phó với hành vi trộm cắp dữ liệu và các cuộc tấn công bằng mã độc tống tiền nhằm vào một chuỗi dài các công ty nổi tiếng.
Tuy nhiên, HC3 cho biết các sự cố tương tự trong ngành y tế được báo cáo cho đến nay vẫn chưa được xác định cho một nhóm tội phạm mạng cụ thể nào.
Để chặn các cuộc tấn công nhắm vào bộ phận trợ giúp CNTT của mình, các tổ chức trong ngành y tế nên thực hiện các nội dung sau:
- Yêu cầu gọi lại để xác minh khi nhân viên yêu cầu đặt lại mật khẩu và MFA mới.
- Theo dõi những thay đổi ACH đáng ngờ.
- Xác nhận lại tất cả người dùng có quyền truy cập vào trang web của người trả tiền.
- Xem xét các yêu cầu trực tiếp liên quan đến các vấn đề nhạy cảm.
- Yêu cầu người giám sát xác minh các yêu cầu.
- Đào tạo nhân viên về cách xác định và báo cáo khi gặp dấu hiệu lừa đảo qua mạng cũng như xác minh danh tính của người gọi.