Một vụ tấn công tống tiền nhắm vào cổng thông tin y tế lớn nhất New Zealand đang được xem là một trong những sự cố an ninh mạng nghiêm trọng nhất của quốc gia này, nhưng mức độ của nó so với các vụ khác ra sao?
Tin tặc đã đe dọa sẽ công bố hơn 400.000 tài liệu bị đánh cắp từ khoảng 126.000 bệnh nhân của Manage My Health nếu công ty tư nhân này không trả 60.000 USD trước 5 giờ sáng thứ Ba.
Vụ xâm nhập đã khiến chính phủ tiến hành rà soát những gì đã xảy ra, bao gồm việc xem xét các biện pháp bảo mật có đầy đủ hay không, cũng như những cải thiện cần được thực hiện.
Manage My Health đang tìm cách xin lệnh cấm việc sử dụng công khai thông tin bệnh nhân, đồng thời nỗ lực thông báo cho những người bị ảnh hưởng.
Công ty cũng đang phối hợp với Health NZ, Bộ Y tế, Ủy viên Quyền riêng tư và các phòng khám đa khoa nhằm giảm thiểu rủi ro tiếp diễn.
Báo cáo Mối đe dọa Không gian mạng mới nhất của Trung tâm An ninh Mạng Quốc gia (NCSC) công bố vào tháng 12 cho thấy tội phạm mạng ngày càng mang tính thương mại hóa, với những điểm yếu đã biết và các lỗ hổng chưa được vá tại New Zealand “tạo điều kiện cho các tác nhân đe dọa dễ dàng xâm nhập”.
Hơn 40% các sự cố mà NCSC xử lý trong năm 2024/25 có liên quan đến động cơ tội phạm hoặc tài chính, so với khoảng 25% có nghi vấn liên quan đến các tác nhân được nhà nước hậu thuẫn. Khoảng 34% còn lại không thể xác định thuộc nhóm nào.
Số lượng các cuộc tấn công mang động cơ tội phạm hoặc tài chính đã tăng hơn gấp đôi so với năm trước, trong khi thiệt hại tài chính tăng từ hơn 26,9 triệu USD lên 21,6 triệu USD.
Cơ quan này, đơn vị cung cấp dịch vụ an ninh mạng cho toàn bộ người dân New Zealand, khuyến cáo không nên trả tiền chuộc cho tin tặc.
“Thật không may, nhiều người trả tiền vẫn không lấy lại được dữ liệu hoặc không mở khóa được hệ thống, thậm chí còn tiếp tục bị tống tiền với lời đe dọa công bố dữ liệu nhạy cảm.”
Báo cáo cho biết trí tuệ nhân tạo (AI) chỉ làm gia tăng mối đe dọa, khi kẻ tấn công không còn cần kỹ năng kỹ thuật cao để triển khai các cuộc tấn công thuyết phục và trên diện rộng.
“Quy mô và tốc độ của các cuộc tấn công do AI điều khiển có thể áp đảo các đội ngũ bảo mật truyền thống, đặc biệt khi các nguyên tắc an ninh mạng cơ bản chưa được đảm bảo. Tuy nhiên, tự động hóa mang lại lợi ích cho cả hai phía: khả năng phát hiện và phản ứng nhanh phải vượt qua các cuộc tấn công tự động thì mới duy trì được hiệu quả,” báo cáo nêu rõ.
Waikato DHB
Một trong những cuộc tấn công tai tiếng nhất ảnh hưởng trực tiếp đến New Zealand là sự cố tại Hội đồng Y tế Quận Waikato (DHB), vốn thu hút sự chú ý lớn của truyền thông do tác động rõ rệt đến các bệnh viện địa phương.
Cuộc tấn công đã làm tê liệt dịch vụ tại năm bệnh viện vào ngày 18/5/2021, sau khi tin tặc đánh sập 611 máy chủ của DHB và – sáu tuần sau – làm rò rỉ dữ liệu riêng tư của hơn 4.000 bệnh nhân và nhân viên lên dark web.
Tương tự như vụ Manage My Health, tin tặc sử dụng ransomware – phần mềm đe dọa khóa quyền truy cập và/hoặc đánh cắp dữ liệu nếu không trả tiền chuộc – để vô hiệu hóa toàn bộ hệ thống điện thoại và hệ thống nội bộ, ngoại trừ email.
Ba tháng sau, nhân viên tại một số bộ phận vẫn phải làm việc thủ công, trong khi DHB vẫn đang cố gắng xác định quy mô tồn đọng bệnh nhân.
Chỉ vài tháng trước đó, DHB đã được cảnh báo về các biện pháp bảo mật lạc hậu, bao gồm thiết bị lâm sàng vẫn chạy Windows XP – hệ điều hành đã ngừng được hỗ trợ từ 5 năm trước – chậm vá lỗi bảo mật và thiếu nhân sự quản lý nâng cấp.
Một báo cáo sau đó kết luận DHB đã cập nhật bản vá đầy đủ và các lỗ hổng phần mềm không phải là nguyên nhân của sự cố. Tuy nhiên, nhiều thông tin trong báo cáo về mức độ sẵn sàng của DHB trước vụ tấn công và chi tiết cuộc tấn công đã bị biên tập che đi.
Hệ thống y tế Tonga, 2025
Hệ thống y tế của Tonga đã bị tê liệt gần một tháng vào tháng 6 năm ngoái do tin tặc yêu cầu khoản tiền chuộc 1 triệu USD.
Khoản tiền chuộc không được trả và Tonga đã nhận hỗ trợ từ Australia để khôi phục hệ thống, trong nhiều tuần phải yêu cầu bệnh nhân mang theo ghi chú viết tay thay vì dựa vào hồ sơ điện tử.
Nghiên cứu tình huống
Trong một ví dụ không từng xuất hiện trên truyền thông, báo cáo của NCSC minh họa cách các biện pháp bảo mật mạnh và phản ứng nhanh có thể hiệu quả trong việc đối phó với ransomware, thông qua một trường hợp khác trong lĩnh vực y tế.
“Nhiều máy chủ và thiết bị đầu cuối của tổ chức đã bị mã hóa, và một lượng lớn dữ liệu bị đánh cắp,” báo cáo cho biết.
“Nhà cung cấp dịch vụ CNTT của tổ chức đã hỗ trợ triển khai các biện pháp khắc phục ban đầu, bao gồm thay đổi thông tin đăng nhập, cập nhật tài khoản và triển khai thêm các biện pháp bảo mật.”
Báo cáo cho biết NCSC phát hiện việc thiếu xác thực đa yếu tố (MFA) – khi người dùng phải cung cấp hai hoặc nhiều yếu tố xác minh, như mật khẩu và mã truy cập qua điện thoại – đã cho phép tin tặc xâm nhập.
“May mắn là tổ chức đã hoàn tất sao lưu hệ thống chỉ một giờ trước khi hoạt động ransomware xảy ra. Nhờ khôi phục từ các bản sao lưu gần nhất này, họ đã phục hồi thành công hệ thống và nhanh chóng trở lại hoạt động bình thường.”
Báo cáo cho biết việc sao lưu thường xuyên chính là yếu tố giúp tổ chức phục hồi nhanh chóng, nhưng nếu có MFA thì cuộc tấn công đã có thể được ngăn chặn.
Vụ tấn công WannaCry năm 2017
Cuộc tấn công WannaCry vào tháng 5/2017 nổi bật bởi phạm vi ảnh hưởng rộng.
Hơn 300.000 máy tính tại hơn 150 quốc gia bị khóa, với yêu cầu trả 300 USD cho mỗi máy bị ảnh hưởng.
Tên WannaCry xuất phát từ loại ransomware được sử dụng để ngăn người dùng truy cập vào tệp của họ.
Phần lớn các nạn nhân được cho là đã không trả tiền cho tin tặc, và các báo cáo cho thấy những người trả tiền cũng không được khôi phục quyền truy cập dữ liệu.
Dịch vụ y tế của Vương quốc Anh bị ảnh hưởng nặng nề, với gần 20.000 cuộc hẹn bệnh viện bị hủy.
Tại New Zealand, một trong những tác động lớn nhất có thể kể đến là việc cảng Lyttelton phải đóng cửa như một biện pháp phòng ngừa.
Sau đó, DHB Counties Manukau báo cáo nhiều thách thức và lỗ hổng trong quản lý máy tính của các thiết bị y tế, điều mà các chuyên gia cảnh báo là phổ biến và sẽ là thách thức chung đối với các DHB.
Hoa Kỳ quy trách nhiệm cho Triều Tiên.
Qantas
Rời khỏi lĩnh vực dữ liệu y tế, người dân New Zealand cũng bị ảnh hưởng trong vụ rò rỉ dữ liệu liên quan đến 5,7 triệu khách hàng của Qantas vào giữa năm 2025.
Hãng hàng không Australia vào tháng 10 đã tiết lộ quy mô của vụ tấn công, trong đó dữ liệu từ khoảng 40 công ty trên toàn thế giới bị đánh cắp vào tháng 6.
Thông tin bị lấy cắp bao gồm hồ sơ khách hàng như tên, địa chỉ email và thông tin hội viên bay thường xuyên.
May mắn là không có dữ liệu thẻ tín dụng, thông tin tài chính cá nhân, chi tiết hộ chiếu hay mật khẩu và thông tin đăng nhập tài khoản hội viên Qantas bị cho là đã bị đánh cắp.
Vụ tấn công mạng Nissan năm 2024
Khoảng 100.000 khách hàng của Nissan tại Australia và New Zealand bị ảnh hưởng bởi một vụ hack vào tháng 3/2024, với các bản sao tài liệu bị lấy cắp bao gồm giấy phép lái xe, hộ chiếu, hồ sơ thuế và thẻ Medicare.
Ít nhất một phần dữ liệu bị đánh cắp đã được công bố trên dark web.
Latitude Financial, 2023
Vào tháng 3/2023, công ty dịch vụ tài chính Australia Latitude thông báo trên sàn chứng khoán Australia rằng họ đã bị tấn công mạng.
Ban đầu, vụ việc được cho là chỉ ảnh hưởng đến 330.000 người, nhưng sau đó Latitude xác nhận hơn 14 triệu tài liệu đã bị ảnh hưởng, trong vụ rò rỉ dữ liệu được xem là lớn nhất tại New Zealand vào thời điểm đó.
Hơn một triệu số giấy phép lái xe của New Zealand, 90.000 số tài khoản ngân hàng cá nhân, thông tin từ 34.000 hộ chiếu và dữ liệu liên quan đến thẻ tín dụng Gem Visa của công ty được cho là đã bị lấy cắp.
Mercury IT, 2022
Một cuộc tấn công vào năm 2022 đã khiến Health NZ và Bộ Tư pháp mất quyền truy cập vào các hồ sơ y tế và pháp y.
Dữ liệu – bao gồm khoảng 14.500 hồ sơ pháp y, 4.000 báo cáo khám nghiệm tử thi, khoảng 8.500 hồ sơ chăm sóc người mất và khoảng 5.500 hồ sơ của Cơ sở dữ liệu Bệnh tim và Bệnh di truyền, có từ năm 2018 – được lưu trữ bởi nhà cung cấp bên ngoài Mercury IT.
Báo cáo thường niên mới nhất của NCSC xác định các cuộc tấn công kiểu “hack chuỗi cung ứng” nhắm vào nhà cung cấp và dịch vụ bên thứ ba là xu hướng ngày càng gia tăng.
“Cách tiếp cận này hiệu quả khi bên thứ ba không tuân thủ các tiêu chuẩn bảo mật tương đương với tổ chức mục tiêu, hoặc khi các tác nhân sẵn sàng bỏ công xâm nhập bên thứ ba vì đó là chìa khóa để mở đường truy cập vào một hoặc nhiều mục tiêu giá trị,” báo cáo cho biết.
Khi đó, Mercury cho biết họ đã lập tức báo cáo vụ tấn công cho các cơ quan chính phủ ngay sau khi phát hiện vào ngày 30/11.
Bộ Tư pháp và Health NZ cho biết không có bằng chứng về việc truy cập trái phép hoặc tải xuống các tệp dữ liệu, nhưng một quan chức nói rằng không thể loại trừ hoàn toàn khả năng này.
Squirrel, 2024
Một ví dụ khác về tấn công chuỗi cung ứng, công ty môi giới thế chấp và đầu tư Squirrel đã trở thành mục tiêu trong một vụ tấn công làm lộ thông tin hộ chiếu hoặc giấy phép lái xe của khoảng 600 nhà đầu tư ngang hàng.
Công ty cho biết cuộc tấn công nhắm vào một hệ thống bên thứ ba được sử dụng để đăng ký nhà đầu tư, và dữ liệu bị lưu trữ trong 30 ngày.
“Dữ liệu bị lộ bao gồm tên, ngày sinh và số giấy tờ tùy thân của mọi người… không có thông tin nào của Squirrel hay dữ liệu cá nhân nhạy cảm hơn bị lộ,” nhà sáng lập John Bolton cho biết.
AA Traveller
Trang web AA Traveller vào tháng 5/2022 cho biết tên, địa chỉ, thông tin liên hệ và số thẻ tín dụng đã hết hạn của hàng trăm nghìn khách hàng đã bị đánh cắp từ tháng 8 năm trước đó.
Vụ xâm nhập ảnh hưởng đến những khách hàng đã sử dụng trang web trong giai đoạn từ năm 2003 đến 2018.
Ngoài ra, 30.000 người tham gia khảo sát trực tuyến của AA Travel New Zealand vào năm 2010 cũng bị đặt vào nguy cơ bị hack bởi một tài khoản ở nước ngoài.
Trung Quốc bị cáo buộc hack Quốc hội New Zealand
Bộ trưởng cấp cao Judith Collins – người phụ trách các cơ quan tình báo GCSB và SIS – tiết lộ vào tháng 3/2024 rằng Cơ quan Dịch vụ Quốc hội và Văn phòng Cố vấn Quốc hội đã bị một nhóm có tên APT40 nhắm mục tiêu tấn công vào năm 2021.
“May mắn là trong trường hợp này, NCSC đã phối hợp với các tổ chức bị ảnh hưởng để kiểm soát hoạt động và loại bỏ tác nhân ngay sau khi họ truy cập được vào mạng,” bà nói với các phóng viên.
Thông báo của Collins được đưa ra sau tuyên bố năm 2021 của người tiền nhiệm Andrew Little, người cho biết GCSB đã phát hiện mối liên hệ giữa APT40 và chính phủ Trung Quốc.
Ông nói rằng các tin tặc được nhà nước Trung Quốc hậu thuẫn đã bị xác định là đứng sau một cuộc tấn công nhắm vào phần mềm email Microsoft Exchange.
Đại sứ quán Trung Quốc khẳng định các cáo buộc liên kết nước này với các vụ hack tại New Zealand là “vô căn cứ và vô trách nhiệm”.
Vụ tấn công NZX năm 2020
Sở giao dịch chứng khoán New Zealand đã hứng chịu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) liên tiếp vào tháng 8/2020, khiến hoạt động giao dịch bị gián đoạn.
Các máy chủ công khai của NZX bị đánh sập gần một tuần, và giao dịch phải tạm dừng từng đợt trong bốn ngày liên tiếp.
Những cuộc tấn công này điều phối lượng lớn lưu lượng internet nhằm vào một mục tiêu để làm quá tải máy chủ và mạng.
Chúng cũng từng được sử dụng như một biện pháp gây áp lực nhằm đòi tiền chuộc để tin tặc ngừng tấn công.
CrowdStrike
Một sự kiện được mô tả là sự cố CNTT lớn nhất thế giới từng chứng kiến không phải là một cuộc tấn công có chủ đích, mà là một trục trặc ngoài ý muốn.
Sự cố CrowdStrike vào giữa năm 2024 xảy ra khi mã lỗi trong một bản cập nhật bảo mật đã khiến hàng loạt dịch vụ bị gián đoạn, bao gồm hàng không, y tế, vận tải biển, tài chính, truyền hình và các mạng lưới giao thông trên toàn cầu.
New Zealand cũng bị ảnh hưởng, trong đó có tình trạng gián đoạn dịch vụ internet, nhưng phần lớn đã tránh được những tác động nghiêm trọng nhất.
Theo rnz.co.nz - Hani Dang