Nhóm hacker Blackcat, còn được biết đến với tên ALPHV, đã nhận trách nhiệm về cuộc tấn công diễn ra vào tháng 2 năm nay nhằm vào Change Healthcare. Cuộc tấn công này đã gây ra những sự gián đoạn nghiêm trọng cho các nhà cung cấp dịch vụ chăm sóc sức khỏe trong việc xử lý hóa đơn, đơn yêu cầu, trả lương và kê toa thuốc trong nhiều tuần.

Theo trang FAQs của HHS, Change Healthcare đã thông báo với Văn phòng Quyền Công dân vào ngày 22 tháng 10 rằng họ đã gửi khoảng 100 triệu thông báo đến từng cá nhân bị ảnh hưởng bởi vụ vi phạm này.

Thông tin bị đánh cắp có thể bao gồm nhiều loại dữ liệu nhạy cảm. Theo Bleeping Computer, Giám đốc điều hành của UnitedHealth, Andrew Witty, đã có lời khai bằng văn bản gửi cho một ủy ban của Hạ viện, trong đó cho biết kẻ tấn công đã xâm nhập vào hệ thống bằng cách sử dụng thông tin đăng nhập bị đánh cắp từ một dịch vụ truy cập từ xa Citrix mà không có xác thực đa yếu tố.

Cụ thể vào ngày 12 tháng 2, những kẻ tấn công đã sử dụng thông tin đăng nhập bị tổn hại để truy cập từ xa vào một cổng Citrix của Change Healthcare, một ứng dụng cho phép truy cập từ xa vào máy tính để bàn. Cổng này không có xác thực đa yếu tố. Khi kẻ tấn công đã vào được hệ thống, họ đã di chuyển nghiêm ngặt trong mạng lưới và lấy cắp dữ liệu. Ransomware đã được triển khai chín ngày sau đó.

UnitedHealth đã trả cho nhóm hacker 22 triệu USD tiền chuộc. Tuy nhiên, một nhóm tội phạm khác đã đe dọa tiếp tục công bố dữ liệu bị đánh cắp và có thể đã yêu cầu một khoản tiền chuộc thứ hai.

Theo thông tin từ Kahle, hiện tại khi người dùng cố gắng truy cập vào trang web của Internet Archive, họ sẽ thấy thông báo rằng dịch vụ này đang “tạm thời” offline. Các liên kết đến Wayback Machine cũng không thể truy cập được. Kahle cho biết: “Dữ liệu là an toàn. Các dịch vụ hiện không hoạt động trong quá trình chúng tôi xem xét và củng cố hệ thống. Chúng tôi xin lỗi, nhưng đó là điều cần thiết. Đội ngũ @internetarchive đang làm việc chăm chỉ. Dự đoán thời gian phục hồi: vài ngày, không phải vài tuần.”

Trước đó, một thông điệp từ hacker tự nhận đã cảnh báo rằng Internet Archive đã chịu một “vụ vi phạm an ninh thảm khốc”. Troy Hunt, người sáng lập trang web Have I Been Pwned, đã xác nhận rằng ông đã nhận được một tập tin chứa dữ liệu bị đánh cắp. Điều này có nghĩa là bất kỳ ai đã đăng ký trên trang của ông có thể nhận được thông báo nếu thông tin của họ nằm trong tập tin này. Cuộc tấn công này đã làm dấy lên lo ngại về mức độ bảo mật của các tổ chức trực tuyến, đặc biệt trong bối cảnh tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong thời đại số hiện nay.

Internet Archive được biết đến như một nguồn tài nguyên quý báu cho việc lưu trữ và nghiên cứu các nội dung trực tuyến, vì vậy sự trở lại của họ sau sự cố này được rất nhiều người dùng mong chờ.

Một tweet từ HIBP cho biết 54% các tài khoản đã có sẵn trong cơ sở dữ liệu của họ từ những vi phạm trước đây. Hunt cũng cung cấp thêm thông tin chi tiết về quá trình liên hệ với Internet Archive về vi phạm vào ngày 6 tháng 10 và tiến hành quy trình công khai, cho đến khi trang web bị thay đổi và tấn công DDoS tại cùng thời điểm HIBP đang tải dữ liệu để thông báo cho người dùng bị ảnh hưởng.

Sau khi đóng thông báo, trang web hoạt động bình thường, mặc dù tốc độ có phần chậm. Không rõ điều gì đã xảy ra với trang web, nhưng những cuộc tấn công vào các dịch vụ như TweetDeck trước đây đã lợi dụng các lỗ hổng XSS hoặc tấn công chéo trang có kết quả tương tự.

Tính đến 5:30 chiều theo giờ ET, thông báo bật lên đã biến mất, tuy nhiên trang web cũng không còn tồn tại, chỉ để lại một thông điệp giữ chỗ nói rằng “Internet Archive dịch vụ tạm thời offline” và chỉ đạo khách truy cập truy cập tài khoản trên X để cập nhật.

Jason Scott, một nhà lưu trữ và người quản lý phần mềm của Internet Archive, xác nhận trang web đang bị tấn công DDoS, đăng trên Mastodon rằng “Theo Twitter của họ, họ làm thế chỉ vì có thể, không có tuyên bố, không có ý nghĩa nào, không có yêu cầu.” Brewster Kahley của Internet Archive cũng cho biết “Cuộc tấn công DDoS hôm qua vào @internetarchive đã lặp lại hôm nay. Chúng tôi đang nỗ lực đưa archive.org hoạt động trở lại.” Không ai trong số họ đề cập đến vụ vi phạm dữ liệu.

Một tài khoản trên X gọi là SN_Blackmeta tuyên bố đứng sau vụ tấn công này và ám chỉ một cuộc tấn công khác được lên kế hoạch cho ngày mai. Tài khoản này cũng đăng tải về việc đã DDoS Archive vào tháng Năm, và Scott trước đây đã nói về các cuộc tấn công có vẻ như nhắm vào việc phá hoại Internet Archive.