Khi Cả Một Thành Phố Mỹ Bị Tê Liệt Bởi Ransomware - Thực Tế Vụ Tấn Công Mạng Saint Paul

An ninh mạng
https://vi.andytips.com/posts/2025/saint-paul-tan-cong-ransomware-interlock-nghien-cuu-truong-hop-2025/
Mục lục

Tháng 7 vừa qua, một cuộc tấn công ransomware cực kỳ tàn phá đã ập đến Saint Paul, Minnesota, gây ra một trong những sự cố an ninh mạng tồi tệ nhất trong lịch sử chính quyền thành phố Mỹ.
Toàn bộ hệ thống máy tính của thành phố bị tê liệt, thông tin liên lạc mạng thất bại, người dân không thể trả hóa đơn nước, thư viện mất quyền truy cập Wi-Fi, và thậm chí nhân viên thành phố cũng không thể làm việc.

Hóa ra đây là một cuộc tấn công ransomware được dàn dựng bởi một nhóm hacker có tên “Interlock.”
Điều khiến phẫn nộ nhất là khi thành phố từ chối trả tiền chuộc, những tên tội phạm này đã công bố 43GB dữ liệu công dân lên internet.

Hãy cùng xem xét chính xác điều gì đã xảy ra và chúng ta có thể học được gì từ đó.

Mọi Chuyện Bắt Đầu Như Thế Nào

Tôi tình cờ phát hiện câu chuyện này khi đang lướt tin tức về bảo mật.
Gần đây chúng tôi cũng bị tấn công ransomware ở Hàn Quốc, nên tôi theo dõi những gì đang xảy ra ở nơi khác. Nhưng cái này? Nó hoàn toàn ở một đẳng cấp khác.
Cả một thành phố Mỹ bị quỳ gối. Tôi không thể tin được.

Bạn có thể tưởng tượng cảm giác khi cả một thành phố bị tê liệt không?
Khi tôi nghĩ về điều đó, nó thật sự đáng sợ.
Tất cả các dịch vụ kỹ thuật số mà chúng ta coi là đương nhiên trong cuộc sống hàng ngày đột nhiên trở nên vô dụng trong chớp mắt.
(Ý tôi là, liệu chúng ta còn có thể hoạt động mà không có internet nữa không?)

Dòng Thời Gian Tấn Công

Đây là cách mọi thứ diễn ra, từng ngày một.

  • 22 tháng 7, 2025: Cơ quan An ninh Mạng và Bảo mật Cơ sở Hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về nhóm ransomware Interlock
  • 25 tháng 7, 2025: Hệ thống bảo mật tự động của Saint Paul lần đầu phát hiện “hoạt động đáng ngờ” và cuộc tấn công bắt đầu
  • 25-27 tháng 7, 2025: Cuộc tấn công tiếp tục suốt cuối tuần, thiệt hại hệ thống leo thang
  • 27 tháng 7, 2025: Chính quyền thành phố hoàn toàn tắt tất cả hệ thống thông tin để ngăn chặn thiệt hại thêm
  • 28 tháng 7, 2025: Wi-Fi Tòa thị chính và thư viện công cộng bị tắt, công cụ thanh toán trực tuyến bị vô hiệu hóa, quyền truy cập mạng nội bộ bị đình chỉ (dịch vụ khẩn cấp 911 (số khẩn cấp Mỹ) vẫn hoạt động)
  • 29 tháng 7, 2025: Thị trưởng Melvin Carter chính thức tuyên bố tình trạng khẩn cấp địa phương / Thống đốc Tim Walz kích hoạt đội bảo vệ mạng của Lực lượng Vệ binh Quốc gia Minnesota / FBI khởi động điều tra và triển khai hai công ty an ninh mạng cấp quốc gia
  • 30 tháng 7, 2025: Thành phố thông báo lương nhân viên sẽ được trả bình thường mặc dù hệ thống bảng lương ngừng hoạt động
  • 1 tháng 8, 2025: Hội đồng Thành phố Saint Paul nhất trí quyết định gia hạn tình trạng khẩn cấp thêm 90 ngày
  • 8 tháng 8, 2025: Xử lý bảng lương thủ công hoàn tất, tất cả nhân viên được trả lương bình thường
  • 10 tháng 8, 2025: Kẻ tấn công được xác định là nhóm ransomware ‘Interlock’ được xác nhận chính thức / Chiến dịch khôi phục “Operation Secure St. Paul” bắt đầu (đặt lại mật khẩu và kiểm tra thiết bị cho khoảng 3.500 người)
  • 11 tháng 8, 2025: Thành phố chính thức thông báo từ chối yêu cầu tiền chuộc / Interlock trả thù bằng cách phát hành 43GB dữ liệu bị đánh cắp trên dark web (chủ yếu là tài liệu Sở Công viên và Giải trí) / Thông báo dịch vụ giám sát tín dụng miễn phí 12 tháng cho tất cả nhân viên
  • 12 tháng 8, 2025: Giai đoạn 1 của Operation Secure St. Paul hoàn thành (xử lý hơn 2.000 người)
  • Cuối tháng 8, 2025: Dịch vụ điện thoại, thanh toán hóa đơn nước trực tuyến, hệ thống thanh toán công viên và giải trí bắt đầu phục hồi dần dần

Tháng 7 năm 2025: Sự Cố Hệ Thống Saint Paul

Các dấu hiệu đáng ngờ đầu tiên ở Saint Paul được phát hiện vào sáng thứ Sáu, ngày 25 tháng 7 năm 2025.
Hệ thống bảo mật tự động của thành phố phát hiện “hoạt động đáng ngờ.” Nhưng đã quá muộn.

Cuộc tấn công của hacker tiếp tục suốt cuối tuần. Từ ngày 25 đến 27 tháng 7, toàn bộ thành phố về cơ bản đang bị bao vây kỹ thuật số.
Để ngăn chặn thiệt hại thêm, chính quyền thành phố đã đưa ra quyết định quyết liệt tắt tất cả hệ thống thông tin vào Chủ nhật, ngày 27 tháng 7.

Hậu quả là gì?
Wi-Fi tại Tòa thị chính và thư viện công cộng hoàn toàn tắt, và hệ thống thanh toán trực tuyến bị tê liệt hoàn toàn.
Người dân không có cách nào để trả hóa đơn nước của họ.

Họ đã quản lý để giữ 911 (số khẩn cấp Mỹ) hoạt động - cái mà, bạn biết đấy, khá quan trọng.
Nhưng tất cả những dịch vụ khác mà mọi người phụ thuộc vào? Thanh toán hóa đơn nước,
hồ sơ thành phố, hệ thống nội bộ… tất cả đều offline.

Tình Trạng Khẩn Cấp

Vào ngày 29 tháng 7, Thị trưởng Saint Paul Melvin Carter quyết định họ không thể chịu đựng thêm nữa.
Ông chính thức thông báo rằng đây không chỉ là một lỗi hệ thống đơn giản, mà đúng hơn là “một cuộc tấn công kỹ thuật số có chủ ý và phối hợp bởi các tác nhân bên ngoài tinh vi.”

Ông lập tức tuyên bố tình trạng khẩn cấp địa phương.
Điều này cho thấy tình hình đã trở nên nghiêm trọng như thế nào.

Thống đốc Minnesota Tim Walz cũng ban hành lệnh hành pháp tối hôm đó, triển khai đội bảo vệ mạng của Lực lượng Vệ binh Quốc gia Minnesota.
Lý do chính thức là “quy mô và độ phức tạp của cuộc tấn công đã vượt quá khả năng ứng phó của thành phố.”
Nghĩ về điều đó - triển khai Lực lượng Vệ binh Quốc gia cho một cuộc tấn công mạng thành phố… điều đó hoàn toàn chưa từng có tiền lệ.

FBI tham gia. Hai công ty an ninh mạng lớn cũng vậy. Mọi người đều chạy lung tung.

Danh Tính Của Interlock

Mãi đến ngày 10 tháng 8 danh tính của kẻ tấn công mới được tiết lộ.
Trong một cuộc họp báo, Thị trưởng Carter tiết lộ rằng đó là công việc của một nhóm ransomware có tên “Interlock.” (Điều mà, thành thật mà nói, mất nhiều thời gian hơn bạn nghĩ.)

Interlock không phải là một nhóm hacker bất kỳ.
Cơ quan An ninh Mạng và Bảo mật Cơ sở Hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo về họ chỉ ba ngày trước cuộc tấn công.
Thị trưởng Carter mô tả họ là “một tổ chức tinh vi, có động cơ tài chính nhắm vào các tập đoàn, bệnh viện và cơ quan chính phủ, đánh cắp và bán hàng terabyte thông tin nhạy cảm.”

Yêu cầu của họ rất đơn giản:
Trả tiền cho chúng tôi.

Số tiền chính xác? Không ai nói. Nhưng St. Paul không nhượng bộ.
Và đó là lúc mọi thứ trở nên tồi tệ.

Trả Thù Và Rò Rỉ Dữ Liệu Công Dân

Khi thành phố từ chối trả tiền chuộc, sự trả thù của Interlock bắt đầu.
Vào ngày 11 tháng 8, họ phát hành 43GB dữ liệu bị đánh cắp từ Saint Paul lên internet.

May mắn thay, hầu hết dữ liệu bị rò rỉ đến từ các ổ đĩa chia sẻ của Sở Công viên và Giải trí.
Bao gồm các tài liệu công việc, bản sao giấy tờ tùy thân mà nhân viên đã nộp cho phòng nhân sự, và thậm chí cả công thức nấu ăn cá nhân - được mô tả là tài liệu “đa dạng và không có hệ thống.”

Nhưng không biết còn gì khác có thể bị rò rỉ, thành phố phải trấn an người dân.
Thành phố thông báo sẽ cung cấp cho tất cả nhân viên dịch vụ giám sát tín dụng miễn phí 12 tháng và dịch vụ bảo vệ chống trộm cắp danh tính.
Đây là biện pháp phòng ngừa trong trường hợp thông tin nhạy cảm hơn đã bị xâm phạm.

Khởi Động Chiến Dịch Khôi Phục

Để khôi phục hệ thống của họ, Saint Paul đã khởi động một chiến dịch khổng lồ.
Được gọi là “Operation Secure St. Paul,” nỗ lực này yêu cầu tất cả khoảng 3.500 nhân viên thành phố tập合 tại tầng hầm của Roy Wilkins Auditorium và xếp hàng trước khoảng 80 máy tính được lắp đặt ở đó.

Nhân viên phải xuất trình giấy tờ tùy thân và số nhân viên của họ, dành khoảng 30 phút để đặt lại mật khẩu, và trải qua kiểm tra bảo mật trên laptop làm việc của họ.
Quá trình này kéo dài ba ngày từ ngày 10 đến 12 tháng 8, từ 6 giờ sáng đến 10 giờ tối.
Đó là một lần thiết lập lại hoàn toàn. Họ chắc hẳn đã có một thời gian cực kỳ khó khăn.

Chỉ sau khi đặt lại tất cả thông tin tài khoản
họ mới có thể bắt đầu khởi động lại hệ thống từng cái một.

Ransomware Là Gì?

Ôn lại nhanh về ransomware, trong trường hợp bạn không quen.

Về cơ bản nó là bắt cóc con tin kỹ thuật số.
Phần mềm lẻn vào hệ thống của bạn, khóa tất cả các tệp quan trọng của bạn bằng mã hóa, và sau đó - đây là điểm mấu chốt - yêu cầu thanh toán để mở khóa chúng.
Kiểu “trả tiền hoặc mất tất cả”.

Những kẻ tấn công ransomware ngày nay đã trở nên xảo quyệt hơn.
Họ không chỉ mã hóa tệp - họ đánh cắp dữ liệu quan trọng trước.
Vì vậy, khi nạn nhân từ chối trả tiền, họ thêm một mối đe dọa khác: “Vậy thì chúng tôi sẽ phát hành thông tin cá nhân của khách hàng hoặc công dân của bạn lên internet.”

Điều này được gọi là “Tống tiền Kép.”

Động Cơ Của Bọn Tội Phạm

Vậy tại sao những tên tội phạm này lại đầu tư rất nhiều thời gian và công sức vào những cuộc lây nhiễm này?

Tiền, rõ ràng.
Những cuộc tấn công này kiếm được rất nhiều tiền - chúng ta đang nói về hàng trăm ngàn, đôi khi hàng triệu mỗi lần tấn công. Khi bạn nhắm đến bệnh viện hoặc chính quyền thành phố, khoản thu về có thể rất lớn.
Đó là lý do tại sao mọi người đều nhảy vào cuộc.

Sau đó là toàn bộ vấn đề RaaS - Ransomware as a Service.
Nghĩ về mô hình nhượng quyền: các nhóm lớn như Interlock xây dựng công cụ, hacker nhỏ hơn
thực hiện các cuộc tấn công thực tế, mọi người chia lợi nhuận.
Sắp xếp kiểu “tôi xử lý công nghệ, bạn làm việc bẩn thỉu”.

Tiền điện tử cũng làm cho nó dễ dàng hơn.
Thanh toán Bitcoin gần như không thể truy vết, vì vậy tội phạm cảm thấy an toàn hơn nhiều khi yêu cầu tiền chuộc theo cách này.

Và thành thật? Vẫn còn hàng tấn mục tiêu dễ dàng ngoài kia.
Chính quyền địa phương, doanh nghiệp nhỏ - nhiều người không đầu tư đủ vào bảo mật.
Họ nghĩ “điều đó sẽ không xảy ra với chúng tôi” cho đến khi nó xảy ra.
Sau đó thì đã quá muộn.

Và vẫn còn nhiều mục tiêu có an ninh mạng yếu.
Đặc biệt là chính quyền địa phương và doanh nghiệp nhỏ thường có đầu tư bảo mật không đầy đủ, khiến hacker dễ dàng thâm nhập.
Họ nghĩ “không có gì nghiêm trọng sẽ xảy ra với chúng tôi…” và trở nên tự mãn, sau đó bị tàn phá hoàn toàn khi bị tấn công một lần.

Đây là vấn đề về an ninh mạng: Nếu một hacker thực sự muốn vào,
cuối cùng họ sẽ vào được. Mọi hệ thống đều có lỗ hổng.
Câu hỏi không phải là “họ có thể xâm nhập không?” mà là “họ sẽ mất bao lâu?” Bảo mật mạnh mẽ mua cho bạn thời gian - đôi khi đủ để họ bỏ cuộc và tiếp tục.

Chúng Ta Có Thể Làm Gì

Vậy làm thế nào chúng ta có thể tự bảo vệ mình khỏi những cuộc tấn công như vậy?

Sao lưu là mạng an toàn của bạn.
Lưu trữ bản sao các tệp quan trọng trên ổ đĩa ngoài hoặc lưu trữ đám mây - ở đâu đó tách biệt khỏi hệ thống chính của bạn.
Bằng cách đó, nếu ransomware tấn công, bạn sẽ không hoàn toàn thua cuộc.
Chỉ một điều: đừng để ổ đĩa sao lưu kết nối vĩnh viễn với máy tính của bạn.
Chúng cũng có thể bị mã hóa nếu phần mềm độc hại lây lan.
Đúng, hơi phiền phức khi phải rút phích cắm mỗi lần, nhưng nó đáng giá.

Giữ mọi thứ được cập nhật.
Tôi biết, tôi biết - thông báo cập nhật thật phiền toái.
Nhưng những bản vá bảo mật đó tồn tại vì một lý do.
Khi hệ điều hành hoặc phần mềm của bạn nhắc bạn cập nhật, đừng hoãn lại.
Hacker đặc biệt tìm kiếm các hệ thống chạy phần mềm lỗi thời với các lỗ hổng đã biết.
Hãy tạo thói quen cài đặt cập nhật ngay khi chúng có sẵn.

Đối xử với email đáng ngờ như chất độc.
Vấn đề là - hầu hết ransomware không chỉ xuất hiện một cách kỳ diệu trên máy tính của bạn.
Nó cần bạn cho phép nó vào, thường thông qua email lừa đảo.
Tệp đính kèm từ người bạn không biết? Xóa nó.
Liên kết trong tin nhắn kỳ lạ? Đừng nhấp.
Nếu có gì đó về một email cảm thấy sai, nó có thể là sai.
Hãy tin vào trực giác của bạn.

Sử dụng mật khẩu mạnh và bật xác thực hai yếu tố.
Mật khẩu khác nhau cho mỗi tài khoản - đúng, thật phiền khi phải nhớ tất cả, nhưng đó là lý do tại sao trình quản lý mật khẩu tồn tại.
Và bật xác thực hai yếu tố ở bất cứ nơi nào có thể.
Nó thêm một lớp bổ sung khiến cuộc sống khó khăn hơn nhiều cho những kẻ tấn công cố gắng đột nhập vào tài khoản của bạn.

Biến mình thành một mục tiêu khó.
Đây là điều các chuyên gia bảo mật biết: nếu một hacker quyết tâm thực sự muốn vào một hệ thống cụ thể, cuối cùng họ sẽ tìm ra cách.
Nhưng đây là tin tốt - hầu hết hacker không kiên nhẫn đến vậy.
Họ đang tìm kiếm những chiến thắng dễ dàng, không phải thách thức.
Vì vậy, hãy chất đống các biện pháp bảo mật.
Mật khẩu mạnh, xác thực hai yếu tố, phần mềm được cập nhật, cài đặt tường lửa - tất cả.
Làm cho hệ thống của bạn đủ phiền toái để bẻ khóa, và hacker thường sẽ chuyển sang các mục tiêu dễ dàng hơn.
Xét cho cùng, họ đang điều hành một doanh nghiệp.
Thời gian là tiền bạc, ngay cả đối với tội phạm.

Nhận Thức Về An Ninh Hàng Ngày

Thực ra, tôi thấy mình suy nghĩ rất nhiều trong khi nghiên cứu sự cố Saint Paul này.
Tôi nghĩ tôi đã quá tự mãn về an ninh mạng trong cuộc sống hàng ngày của mình.

Cuộc sống hàng ngày của chúng ta không thể tách rời khỏi công nghệ kỹ thuật số, phải không?
Từ ngân hàng internet đến mua sắm, mạng xã hội và công việc…
Hầu như mọi thứ đều được thực hiện trực tuyến, nhưng sự quan tâm của chúng ta đến an ninh vẫn còn thiếu.

Đặc biệt là suy nghĩ “ai sẽ hack một người bình thường như tôi?” có vẻ thực sự nguy hiểm.
Ransomware thường lây lan bừa bãi thay vì nhắm vào các cá nhân cụ thể.
Nó giống như thả một mạng rộng để bắt bất kỳ con cá nào mắc phải.

Tôi cũng nhận ra rằng nếu tôi bị tấn công, tôi không nên giấu nó hoặc cố gắng giải quyết một mình.
Giống như Saint Paul đã làm, tôi nên công khai yêu cầu giúp đỡ và làm việc với các chuyên gia để giải quyết nó.

Qua sự cố ransomware Saint Paul này, tôi đã có một sự trân trọng mới về tầm quan trọng của an ninh mạng.
Thật choáng váng khi cả một thành phố có thể bị tê liệt, và đáng sợ là những cuộc tấn công như vậy đang ngày càng trở nên tinh vi hơn.

Vậy đấy, đó là câu chuyện St. Paul. Đáng sợ phải không?

Thiết lập bảo mật của bạn trông như thế nào? Có câu chuyện kinh dị hoặc mẹo nào để chia sẻ không?
Để lại trong phần bình luận - tôi rất muốn nghe những gì tất cả các bạn nghĩ về tất cả điều này.