Lynx, băng nhóm tội phạm mạng đứng sau vụ tấn công ransomware được cho là có liên quan, đã liệt kê công ty xây dựng nổi tiếng của Anh - Dodd Group là nạn nhân trên trang web rò rỉ của chúng.

"Thời gian đang cạn dần, các bạn có cơ hội giải quyết vấn đề này trước khi những hậu quả rất đáng tiếc xảy ra", những kẻ tấn công viết.

Các băng nhóm ransomware thường liệt kê nạn nhân trên các trang web rò rỉ thuộc web đen của chúng nhằm cố gắng ép buộc các tổ chức trả tiền chuộc, nếu không sẽ phải đối mặt với việc rò rỉ dữ liệu toàn bộ dữ liệu mà chúng đánh cắp được.

Những kẻ tấn công tuyên bố đã "âm thầm" trích xuất khoảng 4TB dữ liệu của công ty, bao gồm tài liệu từ "các kho lưu trữ an toàn". Để chứng minh cho tuyên bố của mình, những kẻ tấn công đã chia sẻ ảnh chụp màn hình với các mẫu dữ liệu bị đánh cắp.

Các nhà nghiên cứu của Cybernews đã xem xét các mẫu dữ liệu được công bố kèm theo danh sách. Các tài liệu dường như bao gồm thông tin liên hệ sổ cái, và dữ liệu bị lộ bao gồm thông tin liên hệ của các công ty khách hàng hoặc đại diện của họ.

Các mẫu dữ liệu cũng bao gồm các tài liệu tài chính, bao gồm so sánh thanh toán, hồ sơ thanh toán trả chậm và nhật ký hóa đơn.

Việc các băng nhóm ransomware chia sẻ thông tin giả mạo hoặc khôi phục dữ liệu cũ từ các vụ xâm phạm trước đó không phải là hiếm. Tuy nhiên, nếu dữ liệu được chứng minh là hợp pháp, các cá nhân bị ảnh hưởng có nguy cơ bị tấn công kỹ thuật xã hội.

Các nhà nghiên cứu của Cybernews cho biết: "Đối với công ty, điều này có thể gây tổn hại đến niềm tin của khách hàng và gây bất lợi cạnh tranh do các điều khoản thanh toán và chiến lược giá bị tiết lộ".

Cybernews đã liên hệ với công ty để xác nhận, nhưng vẫn chưa nhận được phản hồi.

Được thành lập vào năm 1947, Dodd Group cung cấp các giải pháp bảo trì nhà ở, thiết kế và lắp đặt các dịch vụ cơ điện cho các dự án xây dựng thuộc tất cả các lĩnh vực chính. Doanh thu được báo cáo của công ty đạt 249,4 triệu bảng Anh.

Công ty được các nhà cung cấp dịch vụ công của Vương quốc Anh, chẳng hạn như Dịch vụ Y tế quốc gia (NHS), tin tưởng, đã ký hợp đồng với công ty để xây dựng các trung tâm y tế và bệnh viện. Theo trang web của công ty, công ty có 1100 nhân viên.

Lynx ransomware là gì?

Bị phát hiện vào giữa năm 2024, băng nhóm này hoạt động dưới dạng ransomware-as-a-service (RaaS – mã độc tấn công dưới dạng dịch vụ) và được biết đến là nhắm mục tiêu vào các tổ chức trong lĩnh vực tài chính, kiến ​​trúc và sản xuất.

Các nhóm Nghiên cứu Mối đe dọa của Darktrace cũng đã phát hiện ra các sự cố liên quan đến Lynx nhắm vào các lĩnh vực năng lượng và bán lẻ trên khắp khu vực Trung Đông và Châu Á - Thái Bình Dương (APAC).

Theo công cụ giám sát nội bộ Ransomlooker của Cybernews, băng nhóm này đã liệt kê 196 nạn nhân kể từ năm 2024 và là một trong những đối tượng chủ chốt trong lĩnh vực ransomware.

Trong số các nạn nhân bị cáo buộc của Lynx có chuỗi cửa hàng giảm giá của Mỹ là Dollar Tree, nhà sản xuất trứng lớn thứ hai của Mỹ, Rose Acre Farms, và một chi nhánh lớn của công ty chuyên về sản xuất phụ tùng phanh xe CBS, WDEF-TV. Gần đây, Lynx tuyên bố đã đánh cắp dữ liệu từ nhà cung cấp sushi và hải sản lớn nhất của Mỹ, True World Group LCC.

Các nhà nghiên cứu của Unit42 đã xác định rằng, phần mềm độc hại của Lynx chia sẻ một phần đáng kể mã nguồn với biến thể ransomware INC, cho thấy nhóm này có khả năng đã sử dụng lại mã INC có sẵn để tạo ra biến thể tùy chỉnh của riêng mình.

Lynx có thể có liên quan đến Nga, vì chúng tích cực tuyển dụng trên các diễn đàn ngầm nói tiếng Nga. Giống như nhiều nhóm tội phạm mạng có trụ sở tại Nga, Lynx tuyên bố rõ ràng rằng chúng không nhắm mục tiêu vào các tổ chức ở Nga hoặc các nước thuộc liên bang Nga (SNG) khác.

Hà Linh