Ảnh minh họa. Itnews

Theo bản báo cáo của Công ty an ninh mạng Bitdefender, tin tặc đã xâm nhập hệ thống của một nhà cung cấp dịch vụ công nghệ thông tin (MSP) chuyên hỗ trợ các công ty quản lý tài sản, từ đó đánh cắp dữ liệu nhạy cảm của khoảng 33 doanh nghiệp, với tổng dung lượng lên tới 2 TB và hơn 1 triệu tệp.

Qilin hợp tác với nhóm tin tặc nhà nước, tấn công vào lĩnh vực tài chính Hàn Quốc

Báo cáo của Bitdefender cho biết: nhóm Qilin, bị nghi là nhóm tin tặc nói tiếng Nga là tác nhân chính gây lên làn sóng tấn công ransomware đột biến tại Hàn Quốc trong giai đoạn tháng 9-10/2025.

Nhóm Qilin trước đây chủ yếu hoạt động tại thị trường phương Tây đột ngột chuyển hướng mạnh mẽ sang Hàn Quốc, tuyên bố nhận trách nhiệm về 25 vụ tấn công chỉ trong một tháng, chủ yếu nhắm vào các doanh nghiệp, tổ chức trong lĩnh vực dịch vụ tài chính.

Chiến dịch triển khai theo ba đợt, toàn bộ dưới tên gọi “Korean Leaks”. Trên trang rò rỉ dữ liệu trong darknet, Qilin đã công bố hàng trăm tài liệu nội bộ, bao gồm bản scan, ảnh chụp tài liệu và các hồ sơ tài chính mật.

Các bài đăng còn mang màu sắc chính trị, tuyên truyền, cáo buộc các công ty tài chính Hàn Quốc tham nhũng và kêu gọi cơ quan quản lý “điều tra mạng lưới gian lận”. Tại nhiều thời điểm, nhóm tin tặc thậm chí đe dọa tấn công gây ảnh hưởng tới toàn bộ thị trường chứng khoán Hàn Quốc.

Cuộc điều tra của Bitdefender cũng cho thấy khả năng Qilin hợp tác với Moonstone Sleet, nhóm tin tặc có hậu thuẫn nhà nước, trở thành đối tác (affiliate) của Qilin từ đầu năm 2025. Sự kết hợp này khiến chiến dịch mang tính chất kép: vừa tội phạm tài chính, vừa gián điệp mạng, tăng mức độ phá hoại và quy mô tấn công.

MSP bị xâm nhập: điểm khởi nguồn của toàn bộ chiến dịch

Phân tích của Bitdefender xác định cuộc tấn công bắt nguồn từ việc tin tặc xâm nhập một nhà cung cấp dịch vụ CNTT địa phương, doanh nghiệp có quyền truy cập từ xa vào nhiều công ty quản lý tài sản.

Khi chiếm quyền kiểm soát hệ thống CNTT của nhà cung cấp, Qilin lập tức mở rộng xâm nhập tới hàng loạt doanh nghiệp cùng lúc, một mô hình tấn công chuỗi cung ứng đang ngày càng phổ biến vì dễ khai thác và khó phát hiện.

Hệ thống ghi nhận của Bitdefender xác nhận hơn 1 triệu tệp bị đánh cắp đã xuất hiện trong các bài đăng của Qilin. Một số gói dữ liệu sau đó bị gỡ xuống, cho thấy khả năng các nạn nhân đang thương lượng hoặc đã trả tiền chuộc.

Không giống nhiều chiến dịch ransomware truyền thống, Qilin tập trung mạnh vào rò rỉ dữ liệu thay vì mã hóa, cho thấy mục tiêu còn bao gồm thu thập thông tin tình báo, không chỉ tống tiền.

RaaS đang trở thành công cụ cho cả tội phạm mạng lẫn tin tặc nhà nước

Bitdefender đánh giá chiến dịch Korean Leaks là minh chứng cho xu hướng hợp nhất giữa tội phạm mạng và tác nhân nhà nước, sử dụng nền tảng RaaS để tiến hành các chiến dịch quy mô, định hướng chính trị.

Hãng bảo mật khuyến nghị các tổ chức tăng cường phòng vệ theo mô hình đa lớp, bao gồm: xác thực đa yếu tố (MFA); nguyên tắc đặc quyền tối thiểu cho nhân viên, phân tách các mạng nội bộ; giám sát liên tục điểm cuối; kiểm soát chặt chẽ quyền truy cập của nhà cung cấp dịch vụ.

​​​​​An Lâm (theo Cyber Press)