Thời gian khôi phục vẫn chưa được xác định, nhưng nhà sản xuất ô tô hạng sang có trụ sở tại Anh này đã đưa ra một tuyên bố mới về vụ tấn công mạng ngày 31/8 vừa qua để cập nhật cho khách hàng cũng như đối tác của mình.

Vụ tấn công, buộc JLR phải "chủ động đóng cửa" hệ thống của mình trong gần hai tuần qua, đã làm tê liệt bộ phận bán lẻ của nhà sản xuất ô tô cao cấp này, cũng như hoạt động tại nhiều cơ sở sản xuất.

"Kể từ khi nhận thức được sự cố an ninh mạng, chúng tôi đã làm việc không kể ngày đêm để khởi động lại các ứng dụng toàn cầu một cách an toàn và có kiểm soát", JLM đăng trên trang web công ty.

Hiện tại, có thông tin cho biết nhân viên JLR, những người dự kiến ​​sẽ quay trở lại làm việc vào thứ Tư tuần này, đã được yêu cầu nghỉ làm thêm một tuần nữa, và tình trạng gián đoạn đã bước sang tuần thứ 4.

Tuần trước, hoạt động sản xuất đã bị tạm dừng tại các nhà máy ở các thành phố Halewood, Solihull và cơ sở sản xuất động cơ tại Wolverhampton, theo tờ Independent đưa tin. Cũng theo tờ báo này, dường như hàng chục nghìn nhân viên bị cho nghỉ tạm thời nay được yêu cầu sẵn sàng làm việc trong trường hợp tình hình thay đổi.

JLR đã xin lỗi về "sự gián đoạn liên tục" và cho biết sẽ "tiếp tục cập nhật khi cuộc điều tra tiến triển".

Dữ liệu được xác nhận là bị đánh cắp

Bên cạnh những khó khăn về hoạt động, JLR hiện đã thừa nhận rằng, tin tặc chịu trách nhiệm về vụ xâm phạm đã đánh cắp một số dữ liệu của công ty, một sự thay đổi so với tuyên bố trước đó của công ty ngay sau vụ tấn công rằng, không có dữ liệu nào bị truy cập.

"Do cuộc điều tra đang diễn ra, chúng tôi tin rằng một số dữ liệu đã bị ảnh hưởng", đại diện của Jaguar Land Rover cho biết trong tuyên bố ngày 10/9 mới đây.

JLR không cho biết loại dữ liệu nào đã bị truy cập, có bao nhiêu dữ liệu đã bị đánh cắp, hoặc liệu có bất kỳ nhân viên nào trong số hơn 30.000 nhân viên của công ty có thể bị ảnh hưởng hay không. Tuy nhiên, lãnh đạo hãng xe ô tô này khẳng định lại rằng, cuộc điều tra pháp y của họ "vẫn đang được tiến hành khẩn trương", đồng thời cam kết "sẽ liên hệ với bất kỳ ai nếu chúng tôi phát hiện dữ liệu của họ bị ảnh hưởng".

Với hơn 400.000 khách hàng trên toàn thế giới, công ty đã ghi nhận doanh thu hàng năm là 29 tỷ bảng Anh, theo báo cáo thường niên năm 2024 của Jaguar.

Tiến sĩ Darren Williams, nhà sáng lập kiêm Giám đốc điều hành của BlackFog, một công ty chuyên về phòng chống mã độc tống tiền (ransomware), cho biết việc xác nhận dữ liệu bị tấn công "không có gì đáng ngạc nhiên".

Ông Williams cho biết "Mặc dù JLR vẫn đang nỗ lực khôi phục hệ thống, nhưng họ vẫn chưa xác nhận được bản chất của dữ liệu bị ảnh hưởng trong cuộc tấn công", và "khách hàng nên cảnh giác".

"Dữ liệu bị đánh cắp không chỉ có giá trị trên thị trường web đen (dark web) mà còn có thể được sử dụng cho mục đích đánh cắp danh tính và các cuộc tấn công có chủ đích", Williams giải thích.

Đây không phải là lần đầu tiên Jaguar Land Rover phải đối phó với tin tặc. Vào tháng 3 năm nay, một tin tặc có tên "fedboy" đã tuyên bố đã đánh cắp 700 tài liệu nội bộ của công ty, chứa thông tin chi tiết về nhân viên như tên người dùng, địa chỉ email, tên hiển thị và múi giờ hoạt động.

Tin tặc chịu trách nhiệm

Vụ tấn công mạng nhằm vào JLR thuộc sở hữu của Tata Motors, Ấn Độ được cho là do một cum gồm ba nhóm tin tặc khét tiếng mới thành lập, được đổi tên thành "những kẻ săn lùng LAPSUS$ rải rác".

Kể từ vụ tấn công được cho là nhắm vào hãng sản xuất ô tô này, bộ ba tội phạm mạng này cũng bắt đầu khoe khoang về những chiến tích của mình trên một kênh Telegram mới lập, chế nhạo không chỉ JLR mà còn cả Cục điều tra an ninh mạng của Mỹ (FBI), Google, Cơ quan tội phạm quốc gia Anh (NCA) và đe dọa sẽ có thêm nhiều cuộc tấn công vào các mục tiêu quan trọng khác.

Nhóm này đã nhiều lần nhắc đến vụ tấn công Jaguar Land Rover trên kênh này, nhưng do không có bằng chứng cụ thể, các nhà nghiên cứu bảo mật cho rằng, tất cả chỉ là một chiêu trò quảng cáo.

Nhóm ransomware Scattered Spider được biết đến rộng rãi khi tấn công vào ngành bán lẻ của Anh vào đầu năm nay gồm Marks & Spencer, Harrods và Co-op… với dữ liệu của 6,5 ​​triệu thành viên đã bị đánh cắp vào tháng 7 năm nay.

Tiến sỹ Williams chỉ ra rằng, đối với Scattered Spider, "việc đánh cắp dữ liệu là một phần quan trọng trong các cuộc tấn công trước đây của chúng, vì chiếm đoạt một lượng lớn thông tin khách hàng."

Trong khi đó, băng nhóm Shiny Hunters (UNC6240) được cho là những kẻ chủ mưu đằng sau chiến dịch tấn công vào mảng quản lý chăm sóc khách hàng Salesloft Drift/Salesforce gần đây, ảnh hưởng đến hơn 700 công ty trên toàn thế giới, phần lớn trong số đó xảy ra vào giữa tháng 8 vừa qua.

Được các nhà nghiên cứu mối đe dọa của Google phát hiện lần đầu tiên vào tháng 6/2025, chiến dịch này gần đây nhất đã ảnh hưởng đến một số công ty an ninh mạng lớn, bao gồm Palo Alto Networks, Cloudflare và Zscaler.

“Việc đánh cắp dữ liệu hiện là phương thức hoạt động chính của các băng nhóm ransomware này”, ông Williams cảnh báo, đồng thời cho biết thêm rằng “các tổ chức phải tập trung phòng thủ vào việc ngăn chặn kẻ xâm nhập truy cập và đánh cắp thông tin quan trọng của họ”.

Điều đáng nói, Tập đoàn Bridgestone Americas cũng đã phải hứng chịu một cuộc tấn công mạng lớn vào cùng Chủ nhật với Jaguar Land Rover. Vụ tấn công chưa được xác nhận này cũng đã buộc nhà sản xuất lốp xe thuộc sở hữu của Nhật Bản phải chủ động đóng cửa hoạt động kinh doanh.

“Mặc dù một số nhà máy đã bị ảnh hưởng, chúng tôi đã có phương pháp đưa chúng trở lại hoạt động bình thường mà không gặp sự cố nào và dự kiến ​​việc này sẽ hoàn tất trong vài ngày tới”, một phát ngôn viên của Bridgestone cho biết.

Hà Linh