16 Tỷ Mật Khẩu Rò Rỉ 2025: Phân Tích Nguy Cơ Từ Infostealer Toàn Cầu

20/06/2025
7 mins read

Trong năm 2025, một sự cố rò rỉ dữ liệu khổng lồ với hơn 16 tỷ bộ thông tin đăng nhập, bao gồm cả mật khẩu, đã được phát hiện. Sự kiện này đánh dấu một trong những vụ rò rỉ thông tin xác thực lớn nhất trong lịch sử Internet, đặt ra những rủi ro chưa từng có cho các chiến dịch tấn công lừa đảo (phishing), đánh cắp danh tính và chiếm đoạt tài khoản trên phạm vi toàn cầu.

Nội dung
Phân tích Chiến dịch APT/Malware: Vụ Rò rỉ Hàng tỷ Mật khẩu (2025)
Nền tảng bị Ảnh hưởng và Nguồn Dữ liệu
Phương pháp Tấn công / TTPs
Tác động của Mối đe dọa
Chi tiết Kỹ thuật & Chỉ số
Các Họ Malware / Nhóm
Chi tiết Hạ tầng
Kỹ thuật MITRE ATT&CK (Suy luận)
Chỉ số Thỏa hiệp (IOCs) / Đoạn mã
Tóm tắt cho Tích hợp SOC/TIP

Phân tích Chiến dịch APT/Malware: Vụ Rò rỉ Hàng tỷ Mật khẩu (2025)

Vụ rò rỉ này không phải là kết quả của một sự cố vi phạm dữ liệu đơn lẻ hoặc một cuộc tấn công gần đây vào một website cụ thể. Thay vào đó, nó đại diện cho một tập hợp khổng lồ các thông tin xác thực đã bị đánh cắp và thu thập qua thời gian từ nhiều nguồn khác nhau. Đây là một điểm khác biệt quan trọng so với các vụ vi phạm truyền thống, nơi kẻ tấn công trực tiếp xâm nhập một cơ sở dữ liệu của một tổ chức để lấy cắp mật khẩu.

Nền tảng bị Ảnh hưởng và Nguồn Dữ liệu

Các thông tin đăng nhập bị rò rỉ trải rộng trên một phạm vi rộng lớn các dịch vụ trực tuyến. Danh sách các nền tảng bị ảnh hưởng bao gồm các dịch vụ phổ biến như Apple, Facebook, Google, GitHub, Telegram, cũng như nhiều trang web chính phủ, các nền tảng mạng xã hội và dịch vụ VPN. Sự đa dạng này cho thấy mức độ lan rộng của mối đe dọa và khả năng ảnh hưởng đến hầu hết người dùng Internet.

Các nhà nghiên cứu đã phát hiện ra 30 bộ dữ liệu riêng biệt kể từ đầu năm 2025. Mỗi bộ dữ liệu chứa từ hàng chục triệu đến 3.5 tỷ bản ghi, tổng cộng đạt tới con số 16 tỷ thông tin xác thực bị lộ. Con số này không chỉ thể hiện quy mô chưa từng có mà còn cho thấy sự tổ chức trong việc thu thập và tổng hợp dữ liệu. Ngoài ra, một “cơ sở dữ liệu bí ẩn” với khoảng 184 triệu bản ghi đã được tìm thấy không được bảo vệ trên một máy chủ web. Mặc dù con số này là đáng kể, nó được cho là chỉ chiếm một phần nhỏ trong tổng số dữ liệu bị rò rỉ, ám chỉ rằng quy mô thực tế có thể còn lớn hơn nhiều.

Phương pháp Tấn công / TTPs

Dữ liệu bị trích xuất chủ yếu thông qua các phần mềm độc hại đánh cắp thông tin (infostealer malware). Điều này cho thấy nhiều họ infostealer khác nhau đã được sử dụng để thu thập thông tin xác thực từ các máy tính bị nhiễm độc trên toàn thế giới. Các infostealer hoạt động bằng cách quét hệ thống bị nhiễm để tìm kiếm các tệp tin cấu hình, dữ liệu trình duyệt, ví tiền điện tử, và các tài liệu chứa thông tin nhạy cảm khác, sau đó truyền chúng về máy chủ của kẻ tấn công.

Như đã đề cập, vụ việc này không được quy cho bất kỳ vụ vi phạm dữ liệu mới nào hoặc sự thỏa hiệp gần đây. Thay vào đó, nó là sự tích lũy của các thông tin xác thực bị đánh cắp trong một khoảng thời gian dài từ nhiều nguồn khác nhau. Điều này nhấn mạnh rằng mối đe dọa không đến từ một lỗ hổng duy nhất mà từ sự bùng nổ của các chiến dịch infostealer đã diễn ra trong quá khứ và tiếp tục diễn ra.

Tác động của Mối đe dọa

Do quy mô và tính “tươi mới” (dữ liệu mới có cấu trúc cao) của vụ rò rỉ này, nó tạo ra một khuôn khổ mở rộng, cho phép khai thác hàng loạt thông qua các chiến dịch lừa đảo. Điều này làm gia tăng đáng kể nguy cơ đánh cắp danh tính trên diện rộng và chiếm đoạt tài khoản trên nhiều nền tảng trực tuyến. Các kẻ tấn công có thể sử dụng thông tin này để:

  • Phát động các chiến dịch phishing tinh vi: Với hàng tỷ thông tin đăng nhập hợp lệ trong tay, kẻ tấn công có thể tạo ra các email, tin nhắn giả mạo trông rất thuyết phục, nhắm mục tiêu vào các nạn nhân cụ thể hoặc thực hiện các chiến dịch lừa đảo quy mô lớn.
  • Thực hiện đánh cắp danh tính: Thông tin rò rỉ không chỉ bao gồm mật khẩu mà còn có thể chứa các chi tiết khác giúp kẻ tấn công xây dựng hồ sơ giả mạo hoặc truy cập vào các dịch vụ tài chính, y tế, hoặc các dịch vụ nhạy cảm khác.
  • Chiếm đoạt tài khoản (Account Takeover – ATO): Việc sở hữu tên người dùng và mật khẩu hợp lệ cho phép kẻ tấn công dễ dàng truy cập vào các tài khoản của người dùng. Từ đó, chúng có thể thay đổi mật khẩu, truy cập dữ liệu cá nhân, thực hiện giao dịch trái phép, hoặc sử dụng tài khoản bị chiếm đoạt để phát tán malware hoặc thực hiện các cuộc tấn công khác.

Trước tình hình mối đe dọa thay đổi do vụ rò rỉ này, Google đã khuyên người dùng trên toàn cầu nên chuyển đổi từ mật khẩu sang các phương pháp xác thực an toàn hơn như passkeys. FBI cũng đã đưa ra cảnh báo về việc không nhấp vào các liên kết SMS đáng ngờ liên quan đến các nỗ lực lừa đảo tiềm ẩn đang tận dụng các thông tin xác thực bị đánh cắp này.

Chi tiết Kỹ thuật & Chỉ số

Các Họ Malware / Nhóm

Mặc dù vụ rò rỉ này có liên quan đến nhiều họ phần mềm độc hại đánh cắp thông tin không xác định, không có tên cụ thể hoặc mã băm (hash) nào được cung cấp công khai trong các báo cáo ban đầu. Điều này cho thấy tính phân tán và đa dạng của các công cụ được sử dụng để thu thập dữ liệu, khiến việc truy tìm nguồn gốc cụ thể trở nên phức tạp hơn.

Chi tiết Hạ tầng

Không có ví dụ lệnh dòng lệnh (command-line) rõ ràng hoặc tệp cấu hình nào được tiết lộ công khai liên quan trực tiếp đến việc thu thập hoặc lưu trữ dữ liệu bị rò rỉ này. Tương tự, không có URL hoặc mã băm tệp nào liên quan trực tiếp đến các bộ dữ liệu bị rò rỉ được công bố rộng rãi. Điều này có thể là do các dữ liệu này đã được tổng hợp và phân phối thông qua các kênh không công khai, hoặc chúng không còn liên quan đến hạ tầng hoạt động của các infostealer tại thời điểm phát hiện vụ rò rỉ.

Kỹ thuật MITRE ATT&CK (Suy luận)

Mặc dù không được nêu rõ ràng trong các bài viết, hoạt động truy cập thông tin xác thực thông qua các infostealer phù hợp với một số kỹ thuật trong khuôn khổ MITRE ATT&CK. Các kỹ thuật này mô tả cách kẻ tấn công thực hiện các mục tiêu của mình trong một cuộc tấn công mạng:

  • T1003: Credential Dumping (Đổ thông tin xác thực)

    Kỹ thuật này liên quan đến việc trích xuất thông tin xác thực (ví dụ: tên người dùng và mật khẩu) từ bộ nhớ hệ thống, cơ sở dữ liệu cục bộ, hoặc các tệp tin cấu hình. Infostealer thường thực hiện việc này bằng cách nhắm mục tiêu vào các tiến trình hệ thống lưu trữ thông tin xác thực như LSASS (Local Security Authority Subsystem Service) trên Windows, hoặc trích xuất từ các trình quản lý mật khẩu của trình duyệt web (như Chrome, Firefox) hoặc các ứng dụng khác.

  • T1056: Input Capture (Ghi lại đầu vào)

    Kỹ thuật này bao gồm việc ghi lại đầu vào của người dùng. Các infostealer có thể triển khai các chức năng keylogging (ghi lại thao tác gõ phím) để bắt giữ tên người dùng và mật khẩu khi chúng được nhập vào các biểu mẫu đăng nhập hoặc bất kỳ ứng dụng nào. Ngoài ra, chúng có thể thực hiện chụp màn hình hoặc ghi lại các hoạt động chuột để thu thập thông tin trực quan.

  • T1110: Brute Force (Tấn công vét cạn)

    Mặc dù các infostealer tự thân không thực hiện tấn công vét cạn để có được thông tin xác thực, dữ liệu thu thập được từ chúng có thể được sử dụng trong các cuộc tấn công vét cạn sau đó. Sau khi có được một danh sách lớn các tên người dùng và mật khẩu (dù chỉ một phần trong số đó là hợp lệ), kẻ tấn công có thể sử dụng kỹ thuật vét cạn hoặc tấn công dictionary để thử các cặp thông tin xác thực trên các dịch vụ khác, đặc biệt là khi người dùng thường xuyên tái sử dụng mật khẩu.

Những kỹ thuật này tương ứng chặt chẽ với khả năng điển hình của các infostealer, mục tiêu cuối cùng là thu thập và trích xuất thông tin nhạy cảm từ các hệ thống bị nhiễm.

Chỉ số Thỏa hiệp (IOCs) / Đoạn mã

Các nguồn thông tin hiện có không cung cấp bất kỳ Chỉ số Thỏa hiệp (IOCs) rõ ràng nào, chẳng hạn như mã băm tệp, URL hoặc địa chỉ IP liên quan trực tiếp đến các máy chủ C2 (Command and Control) của infostealer hoặc hạ tầng phân phối dữ liệu bị rò rỉ. Điều này là do vụ việc này chủ yếu liên quan đến một tập hợp dữ liệu đã được thu thập và không phải là một chiến dịch tấn công đang hoạt động mà chúng ta có thể giám sát theo thời gian thực với các IOCs cụ thể. Các IOCs, nếu có, sẽ liên quan đến các biến thể infostealer đã được sử dụng hoặc các kênh phân phối ban đầu của chúng, nhưng những chi tiết đó không được tiết lộ trong bối cảnh vụ rò rỉ này.

Tóm tắt cho Tích hợp SOC/TIP

Để hỗ trợ các đội ngũ Trung tâm Điều hành An ninh (SOC) và các chuyên gia Tình báo Mối đe dọa (TIP) trong việc hiểu và đối phó với sự cố này, dưới đây là tổng hợp các điểm chính cần lưu ý:

  • Loại sự cố: Rò rỉ thông tin xác thực quy mô lớn, liên quan đến hơn 16 tỷ cặp tên đăng nhập/mật khẩu.
  • Thời gian phát hiện: Đầu đến giữa năm 2025.
  • Khối lượng dữ liệu: Khoảng 16 tỷ bản ghi trên ít nhất 30 bộ dữ liệu.
  • Nền tảng bị ảnh hưởng: Apple, Facebook, Google, GitHub, Telegram, và nhiều trang web chính phủ.
  • Vector tấn công: Phần mềm độc hại đánh cắp thông tin (infostealer malware) trích xuất thông tin xác thực được lưu trữ hoặc nhập vào.
  • Bản chất: Là sự tổng hợp từ nhiều vụ vi phạm/infostealer khác nhau; không phải là một sự cố thỏa hiệp website đơn lẻ gần đây.
  • Tác động của mối đe dọa: Các chiến dịch lừa đảo (phishing), đánh cắp danh tính, chiếm đoạt tài khoản.
  • Khuyến nghị giảm thiểu: Chuyển từ xác thực bằng mật khẩu sang sử dụng passkeys; tránh nhấp vào các liên kết SMS đáng ngờ.

Vụ rò rỉ này đòi hỏi một cách tiếp cận chủ động từ các tổ chức và người dùng cá nhân để giảm thiểu rủi ro. Việc tăng cường các biện pháp xác thực mạnh mẽ hơn và nâng cao nhận thức về các cuộc tấn công lừa đảo là vô cùng cần thiết trong bối cảnh mối đe dọa hiện tại.