Một làn sóng vi phạm dữ liệu ảnh hưởng đến các thương hiệu lớn như Qantas, Allianz Life, LVMH và Adidas đã được liên kết với nhóm tống tiền ShinyHunters, nhóm này đã sử dụng các cuộc tấn công lừa đảo qua giọng nói để đánh cắp dữ liệu từ các phiên bản Quản lý quan hệ khách hàng (CRM) của Salesforce.

Theo số liệu thống kê của hãng Flashpoint, một xu hướng đáng lo ngại hiện nay, đó là tỷ lệ trộm cắp thông tin đăng nhập tăng 800%, vi phạm dữ liệu tăng 235% và các cuộc tấn công ransomware tăng 179% kể từ đầu năm 2025. Các cuộc tấn công mạng đã tăng nhanh với tốc độ chóng mặt trong nửa đầu năm 2025, với các hình thức như đánh cắp thông tin đăng nhập, vi phạm dữ liệu và tấn công bằng mã độc tống tiền (ransomware) đều đạt mức cao kỷ lục.

Vào tháng 6 vừa qua, Nhóm tình báo về mối đe dọa (GTIG) của Google đã cảnh báo rằng, các tác nhân đe dọa được theo dõi với tên gọi UNC6040 đang nhắm mục tiêu vào khách hàng của Salesforce trong các cuộc tấn công kỹ thuật xã hội. Được biết, Salesforce là một nền tảng quản lý quan hệ khách hàng (CRM) dựa trên nền tảng đám mây, được cung cấp dưới dạng dịch vụ (SaaS).

Trong các cuộc tấn công này, các tác nhân đe dọa đã mạo danh nhân viên hỗ trợ CNTT và gọi điện thoại đến các mục tiêu, cố gắng thuyết phục họ truy cập trang thiết lập ứng dụng được kết nối của Salesforce. Trên trang này, họ được yêu cầu nhập "mã kết nối", liên kết phiên bản độc hại của ứng dụng Data Loader OAuth của Salesforce với môi trường Salesforce của mục tiêu.

Trong một số trường hợp, thành phần Data Loader đã được đổi tên thành "My Ticket Portal" để tăng tính thuyết phục trong các cuộc tấn công.

GTIG cho biết, các cuộc tấn công này thường được thực hiện thông qua vishing (lừa đảo bằng giọng nói), nhưng thông tin đăng nhập và mã thông báo xác thực đã yếu tố (MFA) cũng bị đánh cắp thông qua các trang lừa đảo giả mạo trang đăng nhập Okta.

Vào thời điểm báo cáo này được thực hiện, nhiều công ty đã báo cáo các vụ vi phạm dữ liệu liên quan đến dịch vụ khách hàng của bên thứ ba hoặc hệ thống CRM dựa trên đám mây.

Các công ty con của Tập đoàn LVMH là Louis Vuitton, Dior và Tiffany & Co. đều đã tiết lộ quyền truy cập trái phép vào cơ sở dữ liệu thông tin khách hàng, trong đó Tiffany tại thị trường Korea thông báo cho khách hàng rằng, những kẻ tấn công đã xâm phạm "nền tảng nhà cung cấp được sử dụng để quản lý dữ liệu khách hàng".

Adidas, Qantas và Allianz Life cũng báo cáo các vụ vi phạm liên quan đến hệ thống của bên thứ ba, trong đó Allianz xác nhận đó là nền tảng quản lý quan hệ khách hàng của bên thứ ba.

"Vào ngày 16/7/2025, một tác nhân đe dọa độc hại đã truy cập được vào hệ thống CRM dựa trên đám mây của bên thứ ba do Công ty Bảo hiểm Nhân thọ Allianz Bắc Mỹ (Allianz Life) sử dụng", người phát ngôn của Allianz Life chia sẻ.

Mặc dù, vụ rò rỉ dữ liệu của Qantas cũng liên quan đến một nền tảng quản lý quan hệ khách hàng của bên thứ ba, nhưng công ty không xác nhận đó là Salesforce. Tuy nhiên, các báo cáo trước đây cho rằng, dữ liệu đã bị đánh cắp từ ứng dụng Salesforce của Qantas.

Hơn nữa, các tài liệu của tòa án cho biết, các tác nhân đe dọa đã nhắm mục tiêu vào các cơ sở dữ liệu gồm "Tài khoản" và "Danh bạ" của người dùng.

Mặc dù không có công ty nào trong số này công khai nêu tên Salesforce, nhưng các chuyên gia của BleepingComputer đã xác nhận, rằng tất cả đều bị nhắm mục tiêu trong cùng một chiến dịch mà Google đã nêu chi tiết.

Các cuộc tấn công vẫn chưa dẫn đến việc tống tiền công khai hoặc rò rỉ dữ liệu, các tác nhân đe dọa đang cố gắng tống tiền các công ty một cách riêng tư qua email với danh xưng là ShinyHunters.

Người ta tin rằng khi những nỗ lực tống tiền này thất bại, các tác nhân đe dọa sẽ công bố thông tin bị đánh cắp trong một đợt rò rỉ dài, tương tự như các cuộc tấn công Snowflake trước đây của ShinyHunter.

Những nhóm tin tặc như ShinyHunters tồn tại ra sao?

Các vụ xâm phạm đã gây hoang mang trong cộng đồng an ninh mạng và giới truyền thông với các cuộc tấn công được cho là do nhóm Scattered Spider thực hiện, nhắm vào các lĩnh vực hàng không, bán lẻ và bảo hiểm vào cùng thời điểm và với chiến thuật tương tự nhau.

Tuy nhiên, các kẻ tấn công liên quan đến Scattered Spider có xu hướng thực hiện các vụ xâm phạm mạng quy mô lớn, dẫn đến đánh cắp dữ liệu và đôi khi là dùng cả mã độc tống tiền (ransomware). Mặt khác, ShinyHunters, được theo dõi với mã hiệu UNC6040, có xu hướng tập trung nhiều hơn vào các cuộc tấn công tống tiền đánh cắp dữ liệu nhắm vào một nền tảng đám mây hoặc ứng dụng web cụ thể.

Một số nhà nghiên cứu bảo mật tin rằng, cả UNC6040 và UNC3944 đều trong cùng một cộng đồng trực tuyến chồng chéo đầy phức tạp. Nhóm đe dọa này cũng được cho là có sự liên quan đến "The Com", một mạng lưới tội phạm mạng nói tiếng Anh giàu kinh nghiệm.

"Theo thông tin tình báo của Recorded Future, sự trùng lặp giữa các cuộc tấn công đã biết của Scattered Spider và ShinyHunters cho thấy có khả năng có sự giao thoa giữa hai nhóm này", Allan Liska, Nhà phân tích tình báo của Recorded Future chia sẻ.

Cũng theo các nhà nghiên cứu, nhóm tin tặc như ShinyHunters và Scattered Spider dường như đang hoạt động đồng bộ, nhắm vào cùng một ngành công nghiệp cùng một lúc, khiến việc xác định danh tính các cuộc tấn công trở nên khó khăn hơn.

Một số người cũng tin rằng, cả hai nhóm đều có liên hệ với các tác nhân đe dọa từ nhóm tin tặc Lapsus$ hiện đã không còn tồn tại, với các báo cáo cho thấy một trong những tin tặc Scattered Spider bị bắt gần đây cũng có mặt tại Lapsus$.

Một giả thuyết khác là ShinyHunters đang hoạt động như một dịch vụ tống tiền, nơi chúng tống tiền các công ty thay mặt cho các tác nhân đe dọa khác để đổi lấy một phần doanh thu, tương tự như cách thức hoạt động của các băng nhóm tống tiền dạng dịch vụ. Trước đây, nhóm ShinyHunters từng tuyên bố không đứng sau các vụ xâm nhập trái phép mà chỉ đóng vai trò là bên bán dữ liệu bị đánh cắp.

Các vụ xâm nhập liên quan đến ShinyHunters phải kể đến gồm PowerSchool, Oracle Cloud, các vụ tấn công đánh cắp dữ liệu Snowflake, AT&T, NitroPDF, Wattpad, MathWay, và nhiều vụ khác nữa.

Sứ việc ngày càng trở nên rối ren và đã có rất nhiều vụ bắt giữ những đối tượng có liên quan đến cái tên "ShinyHunters", bao gồm cả những người bị bắt vì các vụ tấn công đánh cắp dữ liệu Snowflake, các vụ xâm nhập tại PowerSchool và hoạt động của diễn đàn hack Breached v2.

Tuy nhiên, bên cạnh những vụ bắt giữ này, các vụ tấn công mới vẫn xảy ra, các công ty sẽ vẫn nhận được các email tống tiền với nội dung "Chúng tôi là ShinyHunters", tự nhận mình là một "tập thể" hay một nhóm tin tặc bất kỳ, khi đó họ phải làm gì?

Bảo vệ các máy chủ khỏi các cuộc tấn công

Trong một tuyên bố với báo chí, Salesforce nhấn mạnh rằng bản thân nền tảng không bị xâm phạm, mà đúng hơn là tài khoản của khách hàng của các thương hiệu như Qantas, Allianz Life, LVMH và Adidas có thể vẫn đang bị xâm phạm thông qua kỹ thuật xã hội.

"Salesforce không bị xâm phạm, và các vấn đề được mô tả không phải do bất kỳ lỗ hổng nào đã biết trong nền tảng của chúng tôi. Mặc dù Salesforce tích hợp bảo mật cấp doanh nghiệp vào mọi hoạt động của mình, nhưng khách hàng cũng đóng vai trò quan trọng trong việc giữ an toàn cho dữ liệu của họ, đặc biệt là trong bối cảnh các cuộc tấn công lừa đảo tinh vi và kỹ thuật xã hội ngày càng gia tăng", đại diện Salesforce chia sẻ.

"Chúng tôi tiếp tục khuyến khích tất cả khách hàng tuân thủ các biện pháp bảo mật tốt nhất, bao gồm kích hoạt xác thực đa yếu tố (MFA), thực thi nguyên tắc đặc quyền tối thiểu và quản lý thật tốt các ứng dụng được kết nối.

Vậy các tổ chức, doanh nghiệp cần phải làm gì để tăng cường khả năng bảo mật, chống lại các tác nhân xâm nhập dữ liệu trái phép?

Đó là:

Thực thi dải IP đáng tin cậy cho các lần đăng nhập

Tuân thủ nguyên tắc đặc quyền tối thiểu cho các quyền ứng dụng

Bật xác thực đa yếu tố (MFA)

Hạn chế sử dụng các ứng dụng được kết nối và quản lý chính sách truy cập

Sử dụng các phần mềm, ứng dụng bảo mật để phát hiện mối đe dọa nâng cao, giám sát sự kiện và chính sách giao dịch

Thêm một Liên hệ Bảo mật được chỉ định để liên lạc nếu có sự cố xảy ra.

Hà Linh