Ảnh minh họa. Security Week

Ngày 5/11/2025, một nhóm tội phạm dùng mã độc tống tiền Medusa tuyên bố đã xâm nhập vào Oscars Group, một trong những tập đoàn lớn ngành khách sản và giải trí tại Úc  và đăng tải một phần dữ liệu của tập đoàn lên danh sách nạn nhân của mình.

Nhóm tội phạm Medusa chuộc là 100.000 USD để xóa dữ liệu hoặc mức giá tương đương để mua dữ liệu, cùng tùy chọn trả thêm 10.000 USD để hoãn công bố mỗi ngày.

Nhóm Medusa không tiết lộ khối lượng dữ liệu đang nắm giữ, nhưng đã liệt kê một số tệp làm bằng chứng về vụ tấn công. Những dữ liệu này bao gồm danh sách hóa đơn, chi tiết giờ làm việc của nhân viên, chi tiết sự kiện và danh bạ sự kiện, doanh thu hàng ngày từ nhiều địa điểm khác nhau.

Một số tài liệu đã có từ vài năm trước, một số khác có thời gian gần đây nhất là tháng 11 năm 2025. Ngoài ra còn có một số bản quét bằng lái xe, danh sách địa chỉ cá nhân và mã số thuế của nhân viên.

Theo tuyên bố, nhóm tin tặc đã đánh cắp hơn 130.000 tài liệu và quét hàng chục hộ chiếu cùng nhiều các gói dữ liệu quan trọng khác. Một phần dữ liệu được cho là liên quan đến khách sạn Lakes Resort Hotel tại Nam Úc, được Oscars Group mua lại trong năm 2025.

Nhóm Medusa thuộc dạng “ransomware‑as‑a‑service” (RaaS), hoạt động theo mô hình dịch vụ cho thuê mã độc, cùng với kỹ thuật “living‑off‑the‑land” tức tận dụng công cụ hợp pháp để che giấu hành vi.

Tin tặc đã khai thác lỗ hổng phần mềm quản trị từ xa (remote management tools), khởi tạo tác vụ theo lịch (scheduled tasks), thay đổi khóa đăng ký (registry) để di chuyển trong mạng nội bộ và vô hiệu hóa phần mềm bảo vệ Microsoft Defender.

Tội phạm mạng công bố dữ liệu như hóa đơn, giờ làm việc của nhân viên, thông tin sự kiện và doanh số hằng ngày cho thấy mức độ tiếp cận rất sâu vào hệ thống vận hành nội bộ. Sự rò rỉ này có thể dẫn đến gián đoạn hoạt động, gây mất uy tín và phơi lộ thông tin nhạy cảm.

Chuyên gia tư vấn an ninh mạng tại công ty Minter Ellison Consulting cảnh báo rằng nhóm ransomware Medusa rất giỏi trong khả năng ẩn nấp tránh bị phát hiện và duy trì quyền kiểm soát mạng sau khi bị phát hiện, khiến tổ chức khó khôi phục nhanh và dễ bị tái tấn công.

Ngay cả trong tình huống doanh nghiệp trả tiền chuộc, nhóm ransomware vẫn có thể bán dữ liệu cho các nhóm tội phạm khác đồng thời duy trì khả năng tấn công trong hệ thống nếu mã độc không bị loại bỏ triệt để.

Trong tiến trình chuyển đổi số, các cuộc tấn công ransomware ngày càng tinh vi và mục tiêu càng mở rộng, các doanh nghiệp ngành dịch vụ khách sạn, giải trí cần đặt bảo mật là yếu tố trọng yếu trong hoạt động nghiệp vụ. Phân vùng mạng rõ ràng, có kế hoạch xử lý sự cố, sao lưu dữ liệu riêng biệt và đánh giá rủi ro chuỗi cung ứng (third‑party risk) có ý nghĩa sống còn trong lĩnh vực nhạy cảm này.

An Lâm (Theo Cyber Daily)