J GROUP - băng nhóm tội phạm mạng đứng sau vụ tấn công ransomware bị cáo buộc đã liệt kê Dimensional Control Systems (3DCS) là nạn nhân trên trang web rò rỉ (dark web) của chúng.

Các nhóm ransomware thường đăng thông tin nạn nhân lên các trang web rò rỉ dark web để gây áp lực buộc nạn nhân phải trả tiền, đồng thời đe dọa sẽ tiết lộ dữ liệu bị đánh cắp nếu yêu cầu không được đáp ứng.

3DCS là doanh nghiệp chuyên cung cấp các giải pháp và dịch vụ phần mềm cho các công ty sản xuất trên toàn cầu, bao gồm các công ty lớn trong lĩnh vực ô tô, hàng không vũ trụ, thiết bị y tế, điện tử công nghệ cao và máy móc công nghiệp.

Trong số các công ty sử dụng phần mềm của 3DCS có Fiat Chrysler Automobiles, General Motors, Nissan, Volkswagen, Airbus và Boeing, Philips Medical, LG và Samsung. Năm 2025, công ty báo cáo doanh thu 20,8 triệu đô la.

Dữ liệu nội bộ đã bị đánh cắp?

Những kẻ tấn công tuyên bố đã trích xuất 11GB dữ liệu của công ty, bao gồm các tài liệu nội bộ nhạy cảm: Kiến trúc phần mềm độc quyền và tài liệu; Các tệp cấu hình để tích hợp với các hệ thống CAE, HPC và PLM; Siêu dữ liệu phía máy khách xác định các đối tượng nghiệp vụ, quyền người dùng và lịch sử kiểm toán; Các tài liệu pháp lý nhạy cảm (chứng chỉ, chính sách bảo hiểm); Các quy trình nội bộ về sao lưu, hỗ trợ kỹ thuật và bảo mật.

Những kẻ tấn công đã phát hành một tệp .txt và thư mục nén cùng với tuyên bố chứng minh cuộc tấn công là hợp pháp.

Các nhà nghiên cứu của Cybernews đã điều tra các mẫu dữ liệu được phát hành cùng với danh sách. Tệp văn bản bao gồm một danh sách dài các tệp .pdf được cho là đã bị đánh cắp. Các tài liệu được cho là đã được ký bởi các nhân viên hiện tại và trước đây của công ty với tên của họ trên đó. Danh sách này cũng bao gồm nhiều tài liệu đào tạo khác nhau, một số là báo cáo đào tạo của nhân viên có tên trên đó, cũng như báo cáo chi phí hàng năm.

Những kẻ tấn công cũng đã phát hành một thư mục nén chứa một số tài liệu nội bộ từ công ty mẹ Sandvik. Các tài liệu bị rò rỉ bao gồm các yêu cầu và đánh giá bảo mật chi tiết của công ty theo thời gian, bảo hiểm mạng và bảo hiểm tội phạm.

Vẫn chưa xác minh được tính xác thực của dữ liệu này, vì không hiếm trường hợp các nhóm ransomware sử dụng lại dữ liệu cũ từ các vụ xâm nhập trước đó và tuyên bố đó là một vụ xâm nhập mới.

Nếu dữ liệu được chứng minh là thuộc về 3DCS, hoạt động nội bộ của công ty sẽ gặp rủi ro. Nhóm nghiên cứu Cybernews cho biết: "Các biện pháp bảo mật mà một công ty triển khai sẽ cho kẻ tấn công thấy rõ điều gì dễ nhất hoặc khó khai thác nhất".

Nếu các tài liệu mà tin tặc đánh cắp được thực sự thuộc về công ty 3DCS, chúng có thể bao gồm dữ liệu nhận dạng cá nhân của nhân viên hiện tại và trước đây, khiến họ có nguy cơ bị đánh cắp danh tính và bị lợi dụng trong các cuộc tấn công kỹ thuật xã hội.

Các chuyên gia nghiên cứu đã liên hệ với công ty để xác nhận, nhưng vẫn chưa nhận được phản hồi.

J Group ransomware là ai?

J Group ransomware là một phần mềm mới xuất hiện trong lĩnh vực tội phạm mạng, được phát hiện lần đầu tiên vào đầu năm 2025. Cho đến nay, có rất ít thông tin về hoạt động của nhóm này. Tuy nhiên, các nhà nghiên cứu bảo mật lưu ý rằng băng nhóm này nhắm mục tiêu vào mọi thứ, từ công viên giải trí đến các nhà đóng gói khoai tây.

Gần đây, băng nhóm này đã liệt kê một công ty kinh doanh Hàng không tại Đức, FAI Aviation Group, là nạn nhân mới nhất. Những kẻ tấn công tuyên bố đã trích xuất gần 3TB dữ liệu nội bộ của công ty. Công ty vẫn chưa xác minh liệu họ có bị tấn công hay không.

Chiến thuật của băng nhóm này cho thấy chúng vẫn đang tìm chỗ đứng, thử nghiệm nhiều phương pháp tấn công khác nhau. Điều thú vị là, băng nhóm này có thể đang áp dụng phương pháp môi giới dữ liệu ngày càng phổ biến.

Không giống như các nhóm ransomware truyền thống đe dọa sẽ bán dữ liệu bị đánh cắp nếu công ty nạn nhân từ chối trả tiền, các nhóm như J Group đang dựa vào môi giới dữ liệu. Băng nhóm này cố gắng bán đấu giá thông tin của nạn nhân cho những bên trả giá cao nhất khi các cuộc đàm phán với nạn nhân đổ vỡ.

Hà Linh