Co-op (viết tắt của Co-operative Group) là một trong những hợp tác xã tiêu dùng lớn nhất Vương quốc Anh, chịu trách nhiệm điều hành các cửa hàng thực phẩm, dịch vụ tang lễ, bảo hiểm và dịch vụ pháp lý. Co-op thuộc sở hữu của hàng triệu thành viên, những người được giảm giá dịch vụ và cùng chia sẻ quyền quản trị công ty.

Giám đốc điều hành của Co-op, Shirine Khoury-Haq, đã xin lỗi trên chương trình của kênh BBC Breakfast hôm nay, xác nhận rằng những kẻ tấn công đã đánh cắp thành công dữ liệu của tất cả 6,5 triệu thành viên.

"Dữ liệu của họ đã bị sao chép, và bọn tội phạm đã có thể truy cập vào dữ liệu đó giống như khi chúng tấn công các tổ chức khác. Thật không may, đó là điều tồi tệ nhất của vụ việc", bà Khoury-Haq nói.

Mặc dù không có thông tin tài chính hoặc giao dịch nào bị lộ trong vụ tấn công, nhưng thông tin liên lạc của các thành viên đã bị đánh cắp.

Giám đốc điều hành Co-op cho biết, vụ xâm nhập giống như một cuộc tấn công cá nhân, không phải nhắm vào bà, mà nhắm vào các thành viên và nhân viên của Co-op, những người bị ảnh hưởng.

"Và đó không phải là về tôi. Đó là về các đồng nghiệp của tôi. Vụ việc mang tính cá nhân đối với tôi vì nó làm tổn thương họ. Nó làm tổn thương các thành viên của tôi. Tin tặc đã đánh cắp dữ liệu của họ và làm tổn thương khách hàng của chúng tôi, và tôi thực sự coi đó là việc cá nhân", bà giải thích trong cuộc phỏng vấn.

Vụ tấn công mạng xảy ra vào tháng 4 vừa qua, buộc Co-op phải tắt một số hệ thống CNTT để ngăn chặn các tác nhân đe dọa tấn công sang các thiết bị khác và cuối cùng là triển khai bộ mã hóa phần mềm độc hại tống tiền (ransomware) DragonForce.

Ban đầu, mặc dù ban đầu vụ việc chỉ được xem nhẹ như một nỗ lực xâm nhập vào mạng lưới của mình, công ty sau đó đã xác nhận rằng, một lượng dữ liệu "đáng kể" đã bị truy cập và đánh cắp trong vụ tấn công.

Các nguồn tin chia sẻ với giới truyền thông vào thời điểm đó rằng, vụ xâm nhập ban đầu xảy ra vào ngày 22/4/2025, sau khi các tác nhân đe dọa thực hiện một cuộc tấn công kỹ thuật xã hội cho phép chúng đặt lại mật khẩu của một nhân viên.

Sau khi chiếm được quyền truy cập vào mạng, chúng đã lây lan sang các thiết bị khác và cuối cùng đánh cắp tệp Windows NTDS.dit của tên miền Windows. Tệp này là cơ sở dữ liệu dành cho Dịch vụ Active Directory của Windows, chứa các mật khẩu cho tài khoản Windows.

Các tác nhân đe dọa thường đánh cắp tệp này để trích xuất và bẻ khóa mật khẩu ngoại tuyến, cho phép chúng lây lan sang các thiết bị khác trên mạng.

Theo các chuyên gia nghiên cứu, vụ tấn công có liên quan đến các tác nhân đe dọa Scattered Spider, những kẻ có liên quan đến vụ tấn công mạng nhằm vào Marks & Spencer (M&S), nơi ransomware DragonForce được triển khai.

BBC đưa tin rằng, họ đã nói chuyện với kẻ điều hành ransomware DragonForce về Co-op, và kẻ này đã xác nhận một trong những chi nhánh của mình đứng sau vụ tấn công. Chúng cũng đã chia sẻ các mẫu dữ liệu với BBC, tuyên bố rằng dữ liệu doanh nghiệp và khách hàng của Co-op đã bị đánh cắp trong vụ tấn công.

Tuần trước, Cơ quan Tội phạm quốc gia Anh (NCA) đã bắt giữ bốn người bị tình nghi có liên quan đến các vụ tấn công vào Co-op, M&S và một vụ tấn công bất thành vào Harrods.

Những người bị bắt giữ bao gồm hai nam thanh niên 19 tuổi, một nam thanh niên 17 tuổi và một nữ thanh niên 20 tuổi, bị bắt giữ tại London và West Midlands.

Có thông tin cho rằng, một trong những nghi phạm bị bắt có liên quan đến vụ tấn công vào MGM Resorts năm 2023, dẫn đến việc mã hóa hơn 100 máy ảo VMware ESXi.

Vụ tấn công MGM cũng được cho là do nhóm tin tặc Scattered Spider thực hiện, kẻ đang làm việc cho chiến dịch ransomware BlackCat vào thời điểm đó.

Hà Linh