Một nhóm tội phạm mạng mới, được biết đến với cái tên Scattered Lapsus$ Hunters, đã nổi lên như một mối đe dọa mạng đáng kể đối với các tổ chức toàn cầu. Nhóm này tuyên bố đã thực hiện các chiến dịch rò rỉ dữ liệu quy mô lớn, nhắm vào các khách hàng của Salesforce, với tổng số hơn một tỷ bản ghi đã bị đánh cắp.

Sự trỗi dậy của Scattered Lapsus$ Hunters và “Trinity of Chaos”

Nhóm này còn được gọi là SP1D3R HUNTERS hoặc SLSH. Họ đã tuyên bố đánh cắp hơn một tỷ bản ghi Salesforce qua hai chiến dịch tống tiền riêng biệt. Đây là một trong những hoạt động rò rỉ dữ liệu và đánh cắp dữ liệu quy mô nhất trong lịch sử gần đây.

Các chuyên gia trong ngành đã đặt tên cho tập đoàn tội phạm này là “Trinity of Chaos”. Tên gọi này phản ánh cấu trúc của nhóm, bao gồm các thành viên từ ba nhóm đe dọa khét tiếng: Muddled Libra (Scattered Spider), Bling Libra (ShinyHunters) và LAPSUS$.

Những nhóm này được cho là một phần của cộng đồng tội phạm mạng lớn hơn, được gọi là “The Com”. Đây đại diện cho một mạng lưới các tác nhân đe dọa tinh vi, hoạt động trong các chiến dịch tống tiền phối hợp.

Người điều phối chính đằng sau các nỗ lực tống tiền này là Bling Libra. Đây là một nhóm đe dọa đã hoạt động từ đầu năm 2020 và chịu trách nhiệm cho nhiều vụ rò rỉ dữ liệu nổi tiếng trong những năm gần đây.

Sự phát triển của họ từ việc bán dữ liệu truyền thống sang tống tiền trực tiếp nạn nhân cho thấy một sự thay đổi đáng kể trong các chiến lược kiếm tiền của tội phạm mạng.

Chiến dịch đánh cắp và rò rỉ dữ liệu quy mô lớn

Theo nghiên cứu của Unit 42, các tổ chức bán lẻ và khách sạn toàn cầu đã đặc biệt bị nhắm mục tiêu bởi hoạt động tống tiền đánh cắp dữ liệu này trong suốt năm 2025. Các tác nhân đe dọa đã tập trung nỗ lực vào việc xâm nhập môi trường khách hàng của Salesforce để đánh cắp thông tin khách hàng nhạy cảm và dữ liệu doanh nghiệp, gây ra các vụ rò rỉ dữ liệu.

Vào ngày 3 tháng 10 năm 2025, Scattered Lapsus$ Hunters đã chính thức ra mắt trang web rò rỉ dữ liệu (DLS) của họ. Ban đầu, trang này được lưu trữ trên một tên miền trước đây liên quan đến diễn đàn tội phạm mạng khét tiếng BreachForums.

Trang web liệt kê 39 tổ chức toàn cầu mà nhóm tuyên bố đã đánh cắp dữ liệu Salesforce. Thời hạn ban đầu để thanh toán tiền chuộc được đặt là ngày 10 tháng 10 năm 2025.

Mô hình Extortion-as-a-Service (EaaS) mới

Các tác nhân đe dọa đã áp dụng mô hình tống tiền như một dịch vụ (EaaS). Họ lấy một phần doanh thu, thường là 25-30%, từ các khoản thanh toán tống tiền được thực hiện cho các tác nhân đe dọa hợp tác.

Cách tiếp cận này phản ánh mô hình ransomware-as-a-service (RaaS) thành công. Tuy nhiên, nó khác biệt đáng kể ở chỗ tập trung vào rò rỉ dữ liệu và tống tiền mà không triển khai phần mềm độc hại mã hóa tệp.

Bling Libra đã tích cực tuyển dụng các tác nhân đe dọa khác thông qua các kênh Telegram để hỗ trợ gửi các ghi chú tống tiền cho nạn nhân qua email. Họ đặc biệt nhắm mục tiêu vào các thư từ cấp điều hành.

Nhóm thậm chí đã cố gắng tống tiền trực tiếp Salesforce. Tuy nhiên, công ty đã công khai từ chối đàm phán hoặc thanh toán bất kỳ yêu cầu tiền chuộc nào. Điều này nhấn mạnh tầm quan trọng của chiến lược bảo mật thông tin không thỏa hiệp.

Phản ứng của Pháp luật và Sự kiên cường của Kẻ tấn công

Tình hình trở nên căng thẳng khi FBI tuyên bố vào ngày 9 tháng 10 năm 2025 rằng họ đã tịch thu tất cả các tên miền liên quan đến BreachForums. Điều này bao gồm cả phiên bản clearnet của trang DLS mới ra mắt của các tác nhân đe dọa.

Tuy nhiên, Bling Libra đã xác nhận rằng không có thành viên cốt lõi nào của họ bị bắt. Phiên bản darknet của trang web của họ vẫn hoạt động, cho thấy sự khó khăn trong việc đối phó hoàn toàn với các mối đe dọa mạng này.

Để đáp lại hành động của FBI, nhóm đã tăng cường các mối đe dọa của họ. Họ cảnh báo về khả năng phát tán dữ liệu và đăng các thông điệp đáng ngại về thời hạn 10 tháng 10 năm 2025.

Mặc dù có sự can thiệp của cơ quan thực thi pháp luật, các tác nhân đe dọa đã thể hiện sự kiên cường và khả năng thích nghi trong việc duy trì hoạt động tống tiền của họ.

Mở rộng Mối đe dọa: Crimson Collective và Red Hat

Sự xuất hiện của các nhóm đe dọa bổ sung đã làm phức tạp thêm bức tranh an ninh mạng. Crimson Collective, một nhóm chưa từng được biết đến trước đây, đã bắt đầu hợp tác với Scattered Lapsus$ Hunters.

Nhóm này tuyên bố chịu trách nhiệm về việc xâm phạm Red Hat vào ngày 1 tháng 10 năm 2025. Họ bị cáo buộc đã đánh cắp khoảng 570 GB dữ liệu nén từ hơn 28.000 kho lưu trữ phát triển nội bộ, bao gồm các Báo cáo tương tác khách hàng (Customer Engagement Reports) nhạy cảm.

Tác động của việc rò rỉ dữ liệu Salesforce đến các ngành

Việc nhắm mục tiêu vào các môi trường Salesforce đặt ra những rủi ro đặc biệt cho các tổ chức bán lẻ và khách sạn. Những ngành này phụ thuộc rất nhiều vào các nền tảng quản lý quan hệ khách hàng.

Đối với các nhà bán lẻ, việc rò rỉ dữ liệu khách hàng có thể dẫn đến đánh cắp danh tính, các cuộc tấn công kỹ thuật xã hội, chiếm quyền tài khoản và các hình thức gian lận khác. Quan trọng nhất, những vụ rò rỉ dữ liệu này có thể làm xói mòn lòng tin của người tiêu dùng trong các giai đoạn quan trọng như mùa mua sắm cao điểm.

Các tổ chức khách sạn phải đối mặt với các rủi ro tương tự nhưng với các kiểu gian lận khác biệt. Trong khi các tổ chức bán lẻ chủ yếu gặp phải gian lận hoàn trả và thẻ quà tặng, các công ty khách sạn có nhiều khả năng trải nghiệm gian lận phần thưởng khách hàng thân thiết. Điều này liên quan đến dặm bay và điểm khách sạn.

Điều này đã góp phần vào xu hướng ngầm ngày càng tăng của các quảng cáo đại lý du lịch gian lận trên các diễn đàn dark web và kênh Telegram.

Sự chuyển dịch sang mô hình EaaS đại diện cho một sự phát triển đáng lo ngại trong chiến thuật của tội phạm mạng. Không giống như các hoạt động ransomware truyền thống mã hóa tệp và làm gián đoạn hoạt động, EaaS chỉ tập trung vào rò rỉ dữ liệu và tống tiền. Điều này có thể cho phép các tác nhân đe dọa hoạt động dưới sự giám sát của các nỗ lực thực thi pháp luật, vốn thường tập trung vào việc làm gián đoạn ransomware.

Biện pháp phòng ngừa và ứng phó với mối đe dọa mạng

Các tổ chức phải triển khai các biện pháp an ninh toàn diện để giảm thiểu những mối đe dọa mạng đang phát triển này. Các biện pháp bao gồm công cụ quét thông tin xác thực tự động, nguyên tắc kiến trúc Zero Trust và chính sách truy cập có điều kiện.

Sự tham gia của ngành vào các Trung tâm Phân tích và Chia sẻ Thông tin (ISACs) cung cấp quyền truy cập vào thông tin tình báo đe dọa theo thời gian thực và các phương pháp hay nhất cho cả biện pháp phòng thủ phản ứng và chủ động.

Vụ việc Scattered Lapsus$ Hunters cho thấy sự tinh vi và phối hợp ngày càng tăng của các hoạt động tấn công mạng hiện đại. Điều này nhấn mạnh nhu cầu cấp thiết về các khung bảo mật mạnh mẽ và khả năng ứng phó sự cố trên tất cả các lĩnh vực xử lý dữ liệu khách hàng nhạy cảm. Để đảm bảo an toàn thông tin, việc liên tục cập nhật và thích nghi là điều tối quan trọng và giúp ngăn chặn rò rỉ dữ liệu.