Tháng trước, Allianz Life tiết lộ rằng, tập đoàn đã bị xâm phạm dữ liệu khi thông tin cá nhân của "phần lớn" trong số 1,4 triệu khách hàng của họ bị đánh cắp từ một hệ thống quản lý quan hệ khách hàng (CRM) đám mây của bên thứ ba vào ngày 16 tháng 7 vừa qua.

Mặc dù đại diện Tập đoàn không nêu tên nhà cung cấp, nhưng các chuyên gia nghiên cứu của BleepingComputer ban đầu đưa tin về sự cố này là một phần của làn sóng trộm cắp nhắm vào Salesforce do nhóm tin tặc tống tiền ShinyHunters thực hiện. Được biết, Salesforce là một nền tảng quản lý quan hệ khách hàng (CRM) dựa trên điện toán đám mây, cung cấp các công cụ và dịch vụ để giúp doanh nghiệp quản lý và cải thiện mối quan hệ với khách hàng. Nó bao gồm nhiều ứng dụng và tính năng, như bán hàng, dịch vụ khách hàng, tiếp thị, và phân tích, giúp doanh nghiệp tối ưu hóa hoạt động kinh doanh và tăng trưởng.

Cuối tuần qua, nhóm ShinyHunters và các tác nhân đe dọa khác tuyên bố có liên quan đến "Scattered Spider" và "Lapsus$" đã tạo một kênh Telegram có tên "ScatteredLapsuSp1d3rHunters" để chế nhạo các nhà nghiên cứu an ninh mạng, cơ quan thực thi pháp luật và các nhà báo, đồng thời nhận trách nhiệm về một loạt vụ xâm phạm dữ liệu nghiêm trọng.

Nhiều cuộc tấn công trong số này trước đây chưa từng được quy cho bất kỳ tác nhân đe dọa nào, bao gồm các cuộc tấn công vào Internet Archive, Pearson và Coinbase.

Một trong những cuộc tấn công được các tác nhân đe dọa nhận trách nhiệm là Allianz Life, và chúng đã tiến hành làm rò rỉ toàn bộ cơ sở dữ liệu bị đánh cắp từ các phiên bản Salesforce của công ty.

Các tệp này bao gồm các bảng cơ sở dữ liệu "Tài khoản" và "Danh bạ" của Salesforce, chứa khoảng 2,8 triệu bản ghi dữ liệu của khách hàng cá nhân và đối tác kinh doanh, chẳng hạn như các công ty quản lý tài sản, nhà môi giới và cố vấn tài chính.

Dữ liệu Salesforce bị rò rỉ bao gồm thông tin cá nhân nhạy cảm, chẳng hạn như tên, địa chỉ, số điện thoại, ngày sinh và Mã số thuế, cũng như các thông tin chuyên môn như giấy phép, liên kết công ty, phê duyệt sản phẩm và phân loại tiếp thị.

Các chuyên gia nghiên cứu đã có thể xác nhận với nhiều người rằng, dữ liệu của họ trong các tệp bị rò rỉ là chính xác, bao gồm số điện thoại, địa chỉ email, mã số thuế và các thông tin khác có trong cơ sở dữ liệu.

Đại diện của BleepingComputer đã liên hệ với Allianz Life về trao đổi về thông tin cơ sở dữ liệu của Tập đoàn bảo hiểm này bị rò rỉ, nhưng họ không thể đưa ra bất cứ bình luận nào vì cuộc điều tra vẫn đang diễn ra.

Các cuộc tấn công đánh cắp dữ liệu Salesforce

Các cuộc tấn công đánh cắp dữ liệu Salesforce được cho là đã bắt đầu vào đầu năm nay, với việc các tác nhân đe dọa thực hiện các cuộc tấn công kỹ thuật xã hội để lừa nhân viên liên kết ứng dụng OAuth độc hại với các phiên bản Salesforce của công ty họ.

Sau khi được kết nối, các tác nhân đe dọa đã sử dụng kết nối này để tải xuống và đánh cắp cơ sở dữ liệu, sau đó được sử dụng để tống tiền công ty qua email.

Các yêu cầu tống tiền đã được gửi đến các công ty qua email và được ký nhận là đến từ ShinyHunters. Nhóm tống tiền khét tiếng này đã có liên quan đến nhiều cuộc tấn công nghiêm trọng trong những năm qua, bao gồm các cuộc tấn công vào AT&T, PowerSchool và SnowFlake.

Mặc dù ShinyHunters được biết đến là nhắm mục tiêu vào các ứng dụng phần mềm dưới dạng dịch vụ (SaaS) trên nền tảng đám mây và cơ sở dữ liệu trang web, nhưng chúng không được biết đến với các loại tấn công kỹ thuật xã hội này, khiến nhiều nhà nghiên cứu và giới truyền thông cho rằng một số cuộc tấn công Salesforce là do Scattered Spider thực hiện.

Tuy nhiên, ShinyHunters nói với BleepingComputer rằng, nhóm "ShinyHunters" và "Scattered Spider" giờ đây là một. "Như chúng tôi đã nói nhiều lần, ShinyHunters và Scattered Spider là một," ShinyHunters nói với BleepingComputer.

"Họ cung cấp cho chúng tôi quyền truy cập ban đầu và chúng tôi tiến hành sao chép và trích xuất dữ liệu từ các phiên bản CRM của Salesforce. Giống như chúng tôi đã làm với Snowflake."

Người ta cũng tin rằng nhiều thành viên của nhóm này có chung nguồn gốc với một nhóm tin tặc khác có tên là Lapsus$, nhóm này đã gây ra nhiều vụ tấn công trong giai đoạn 2022-2023, trước khi một số thành viên bị bắt.

Lapsus$ đứng sau các vụ tấn công tại Rockstar Games, Uber, 2K, Okta, T-Mobile, Microsoft, Ubisoft và NVIDIA.

Giống như Scattered Spider, Lapsus$ cũng rất thành thạo trong các cuộc tấn công kỹ thuật xã hội và tấn công hoán đổi SIM, cho phép chúng vượt qua hệ thống phòng thủ CNTT của các công ty trị giá hàng tỷ và hàng nghìn tỷ đô la.

Trong vài năm qua, đã có nhiều vụ bắt giữ liên quan đến cả ba nhóm tin tặc này, vì vậy không rõ liệu những kẻ đe dọa hiện tại là những kẻ đe dọa cũ, những kẻ mới tiếp quản hay chỉ đơn giản là sử dụng những cái tên này để đánh lạc hướng các cơ quan chức năng.

Hà Linh