Một kênh Telegram mới, kết hợp tên của các nhóm tác nhân đe dọa nổi tiếng như Shiny Hunters, Scattered Spider, và Lapsus$, đã xuất hiện vào chiều thứ Sáu, đánh dấu một bước leo thang táo bạo trong hoạt động mối đe dọa mạng. Nền tảng này đã nhanh chóng phát tán bằng chứng về nhiều vụ rò rỉ dữ liệu, bao gồm cả dữ liệu một phần và các yêu cầu tống tiền, chỉ trong vòng 24 giờ đầu tiên sau khi được tạo ra.

Chiến Thuật Kênh Telegram và Hiện Trạng Tấn Công Mạng

Không giống các kênh rò rỉ thông tin truyền thống thường đưa ra các thông báo ngắn gọn về vi phạm an ninh, sau đó là bãi chứa dữ liệu đầy đủ hoặc liên kết để mua bán thông tin. Kênh mới này áp dụng một phương pháp khác biệt, đan xen các tiết lộ dữ liệu một phần với meme, bình luận trực tiếp và những lời đe dọa công khai.

Cách tiếp cận độc đáo này tạo ra một câu chuyện hỗn loạn nhưng đồng thời cũng rất tiết lộ về các cuộc xâm nhập mạng đang diễn ra trên phạm vi rộng. Mặc dù kênh có thể tồn tại trong thời gian ngắn do chính sách kiểm duyệt chặt chẽ của Telegram, nó vẫn kịp thời gây ra những ảnh hưởng đáng kể.

Các Nhóm Tác Nhân Đe Dọa Chính Liên Quan

• Shiny Hunters: Nổi tiếng với các vụ rò rỉ dữ liệu quy mô lớn.
• Scattered Spider: Nhóm tác chiến mạng được biết đến với các cuộc tấn công kỹ thuật xã hội và chiếm quyền điều khiển.
• Lapsus$: Từng gây chấn động với nhiều vụ xâm nhập và tống tiền các tập đoàn lớn.

Phân Tích Chi Tiết Các Vụ Rò Rỉ Dữ Liệu và Mục Tiêu

Các tác nhân đe dọa đã công khai làm rò rỉ dữ liệu nhạy cảm, bao gồm nhiều tài liệu pháp lý mật. Trong số đó có hồ sơ tòa án từ Qantas và các lệnh cấm của Cơ quan Hỗ trợ Pháp lý chống lại nhóm Shiny Hunters. Ngoài ra, một trát đòi hầu tòa được gửi cho Google và yêu cầu hỗ trợ pháp lý chung từ Pháp gửi Moldova cũng đã bị tiết lộ công khai.

Kèm theo những thông tin này là phản hồi của Shiny Hunters đối với các liên lạc liên quan đến tống tiền. Phân tích kỹ thuật chuyên sâu các bài đăng trên kênh cho thấy sự tập trung chủ yếu vào các sự cố đã được tiết lộ trước đó, nay được gán rõ ràng cho các hoạt động xâm nhập của nhóm Scattered Spider.

Các Tổ Chức Bị Ảnh Hưởng Trực Tiếp bởi Scattered Spider

Những thông tin mới nhất đã xác nhận sự tham gia của Scattered Spider vào một số vụ rò rỉ dữ liệu nghiêm trọng:

• Victoria’s Secret: Một ảnh chụp màn hình từ bảng điều khiển quản trị của Victoria’s Secret đã xác nhận sự tham gia của Scattered Spider vào vụ vi phạm tháng 5. Vụ việc này trước đây chưa được quy kết rõ ràng, và dữ liệu khách hàng hiện đang được rao bán trên thị trường chợ đen.
• Gucci: Một bộ dữ liệu mẫu từ thương hiệu cao cấp này đã bị lộ, bao gồm 100 bản ghi với thông tin nhận dạng cá nhân (PII) như tên, độ tuổi, ngày sinh, địa chỉ email, và số điện thoại di động. Đây là một vụ lộ thông tin mới cho thương hiệu xa xỉ thuộc sở hữu của Kering.
• Neiman Marcus: Theo báo cáo từ DataBreaches.net, kênh Telegram này cũng quảng cáo một cơ sở dữ liệu hoàn chỉnh của Neiman Marcus từ chiến dịch Snowflake năm 2024. Dữ liệu này được rao bán với giá 1 BTC và các danh sách tệp CSV cho thấy việc trích xuất dữ liệu quy mô lớn. (Nguồn tham khảo)

Danh Sách Các Mục Tiêu Khác Bị Xâm Nhập và Rò Rỉ Thông Tin

Các bài đăng bổ sung trên kênh còn đề cập đến nhiều vụ vi phạm khác. Trong đó có vụ việc tại Chanel, với ảnh chụp màn hình đàm phán liên quan đến chiến dịch Salesforce gần đây. Nhiều vụ việc trong số này được liên kết trực tiếp với các chuỗi khai thác Salesforce và Snowflake đã được biết đến trước đó, cho thấy một mô hình tấn công mạng có chủ đích và lặp lại.

Kênh Telegram cũng nhấn mạnh các vụ xâm nhập vào các thực thể chính phủ và các tổ chức công quan trọng. Một tin nhắn đặc biệt đáng chú ý tuyên bố “@chinahunterz vừa ‘phá’ DHS một lần nữa,” ám chỉ sự xâm phạm lặp đi lặp lại vào Bộ An ninh Nội địa Hoa Kỳ.

Các mục tiêu khác bị ảnh hưởng bởi các cuộc xâm nhập mạng bao gồm:

• Doanh nghiệp và Tập đoàn: Disney, AirFrance, Archive.org, S&P Global, T-Mobile, Nvidia, Otelier, Coinbase, Burger King Brazil, Adidas, Cisco.
• Chính phủ và Hệ thống Công quyền: Chính phủ Anh, Pháp, Brazil, Ấn Độ; Hệ thống cảnh sát và tư pháp Brazil; Bộ An ninh Nội địa Hoa Kỳ (DHS); Cơ quan Hỗ trợ Pháp lý thuộc Bộ Tư pháp Vương quốc Anh.

Yêu Sách, Phát Triển Mã Độc và Chiến Lược Tấn Công Tương Lai

Trong một động thái đáng chú ý, nhóm Scattered Spider đã đưa ra các tối hậu thư. Họ đe dọa công bố tất cả dữ liệu nhạy cảm từ Cơ quan Hỗ trợ Pháp lý thuộc Bộ Tư pháp Vương quốc Anh. Yêu cầu này được đặt ra với điều kiện thành viên bị bắt giữ Jared Antwon phải được trả tự do, phản ánh sự thất vọng của nhóm trước các vụ bắt giữ gần đây ở Vương quốc Anh. Để hiểu rõ hơn về chiến thuật của Scattered Spider, có thể tham khảo thêm tại GBHackers.

Phát Triển Mã Độc Nâng Cao và Mô Hình RaaS Mới

Nhóm này cũng đã hé lộ về việc phát triển phần mềm độc hại tiên tiến. Họ tuyên bố sắp ra mắt một công cụ khóa ESXi cấp kernel hoàn toàn mới, hoạt động theo mô hình ransomware-as-a-service (RaaS) và được đặt tên là ShinySp1d3r. Đây là một bước tiến đáng lo ngại trong lĩnh vực mã độc tống tiền. Các nhóm đối thủ như DragonForce và LockBit bị gạt bỏ là kém hơn và không đủ năng lực cạnh tranh.

Kế Hoạch Tấn Công Tinh Vi và Yêu Cầu Tống Tiền Lớn

Trong một động thái báo hiệu các chiến dịch trong tương lai, các tài liệu tham khảo về “Snowflake 3.0” đã xuất hiện. Điều này lặp lại các tuyên bố trước đó của Shiny Hunters về việc khởi động các cuộc tấn công mạng tinh vi hơn nhiều. Các cuộc tấn công này được dự kiến nhắm mục tiêu vào các lĩnh vực quan trọng trong danh sách Fortune 500, bao gồm bán lẻ, bảo hiểm, hàng không, tài chính và khách sạn.

Một tin nhắn tống tiền trực tiếp và công khai đã được gửi đến CEO Salesforce, Marc Benioff. Tin nhắn này yêu cầu 20 BTC để đổi lấy việc không làm rò rỉ dữ liệu từ 91 tổ chức khác nhau. Hành động này tận dụng sự giàu có và vị thế của giám đốc điều hành để gây áp lực, nhằm chống lại mối đe dọa phơi bày dữ liệu rộng khắp. Lo ngại về các vụ rò rỉ dữ liệu tiếp tục gia tăng, đòi hỏi sự cảnh giác cao độ từ các tổ chức.

Nhận Định về Hành Vi và Rủi Ro An Ninh Mạng Toàn Cầu

Những hành vi bộc phát và ngang ngược này khắc họa các tác nhân đe dọa như những cá nhân trẻ tuổi, thách thức các thực thể toàn cầu một cách liều lĩnh. Tuy nhiên, năng lực kỹ thuật vượt trội của họ, được chứng minh qua các vụ vi phạm không bị thách thức và khả năng gây ra rò rỉ dữ liệu quy mô lớn, nhấn mạnh một lỗ hổng an ninh mạng dai dẳng và đáng báo động.

Khi kênh Telegram này tiếp tục tồn tại và phát tán thông tin, các tiết lộ tiếp theo có thể khuếch đại rủi ro an ninh mạng lên mức cao hơn. Điều này thúc đẩy các ngành công nghiệp bị ảnh hưởng tăng cường mạnh mẽ các giao thức tình báo mối đe dọa và ứng phó sự cố khẩn cấp. Mục tiêu cuối cùng là ngăn chặn hiệu quả các vụ rò rỉ dữ liệu trong tương lai và bảo vệ thông tin nhạy cảm của người dùng và tổ chức.