Công dân hai quốc tịch Mỹ – Estonia, bị cáo buộc thuộc nhóm tin tặc Scattered Spider, đã bị dẫn độ từ Phần Lan để đối mặt với các cáo buộc liên bang tại Quận phía Bắc Illinois. Nhóm này, còn được biết đến với các tên gọi Octo Tempest, UNC3944 và 0ktapus, được cho là đứng sau hơn 100 vụ xâm nhập mạng nhắm vào các công ty Hoa Kỳ, gây thiệt hại ước tính hơn 100 triệu USD.
Chiến thuật tấn công của Scattered Spider
Kỹ thuật Social Engineering
Chiến thuật đặc trưng của nhóm bao gồm việc sử dụng kỹ thuật social engineering để lừa đảo nhân viên, nhằm chiếm quyền truy cập ban đầu vào các tài khoản doanh nghiệp. Sau khi có được quyền truy cập, nhóm sẽ thực hiện mã hóa dữ liệu nạn nhân hoặc trích xuất dữ liệu sang hạ tầng từ xa.
Cuối cùng, chúng đòi tiền chuộc bằng tiền mã hóa để đổi lấy việc không làm rò rỉ dữ liệu hoặc khôi phục quyền truy cập hệ thống. Một ví dụ điển hình về mối đe dọa mạng này được ghi nhận vào tháng 5 năm 2025.
Vụ tấn công vào nhà bán lẻ trang sức cao cấp
Trong vụ việc này, Peter Stokes, 19 tuổi, cùng đồng phạm bị cáo buộc đã xâm nhập mạng của một nhà bán lẻ trang sức cao cấp. Chúng đã trích xuất dữ liệu nhạy cảm và yêu cầu khoảng 8 triệu USD tiền mã hóa.
Tuy nhiên, đội ngũ an ninh nội bộ của nhà bán lẻ đã phát hiện và loại bỏ kịp thời các đối tượng tấn công trước khi bất kỳ khoản tiền chuộc nào được thanh toán. Mặc dù vậy, công ty vẫn chịu thiệt hại ít nhất 2 triệu USD do gián đoạn kinh doanh, điều tra pháp lý và các nỗ lực khắc phục.
Quá trình điều tra và bắt giữ
Vai trò của các cơ quan thực thi pháp luật
Vụ bắt giữ Peter Stokes là kết quả của nhiều năm phối hợp giữa Bộ Tư pháp Hoa Kỳ, Văn phòng Công tố Hoa Kỳ và Cục Điều tra Liên bang (FBI). Việc này nhấn mạnh rủi ro bảo mật ngày càng tăng từ các tội phạm mạng có động cơ tài chính hoạt động ngoài lãnh thổ Hoa Kỳ.
FBI Chicago đã dẫn đầu cuộc điều tra, với sự hỗ trợ từ Văn phòng Cố vấn Pháp lý của FBI tại Copenhagen. Văn phòng Tội phạm Máy tính và Sở hữu Trí tuệ (CCIPS) thuộc Bộ Tư pháp Hoa Kỳ chịu trách nhiệm truy tố.
Văn phòng Quan hệ Quốc tế của Bộ Tư pháp đã phối hợp với Cục Điều tra Quốc gia Phần Lan để thực hiện dẫn độ. Đây là một phần của Chiến dịch Riptide, sáng kiến liên tục của FBI nhằm nhắm vào các tác nhân, hạ tầng và mạng lưới tài chính tội phạm mạng.
Số liệu thống kê về hoạt động tội phạm mạng
Kể từ năm 2020, CCIPS đã đạt được các bản án đối với hơn 180 tội phạm mạng và sở hữu trí tuệ, thu hồi hơn 350 triệu USD quỹ nạn nhân. Điều này cho thấy sự gia tăng đáng kể của tấn công mạng, với các báo cáo thiệt hại hơn 20 tỷ USD trong năm qua, tăng 26% so với năm trước.
Cảnh báo về lỗ hổng và khai thác
Thông tin về các lỗ hổng CVE cụ thể hoặc mã khai thác (exploit) liên quan đến vụ việc này chưa được công bố chi tiết trong nguồn tin. Tuy nhiên, các báo cáo về nhóm Scattered Spider thường liên quan đến việc lạm dụng các lỗ hổng hoặc kỹ thuật phi kỹ thuật (social engineering) để đạt được mục tiêu. Các tổ chức cần liên tục cập nhật thông tin về tin tức bảo mật và các mối đe dọa mới nhất.
Các Chỉ số Xâm nhập (IOCs)
Dựa trên các báo cáo về nhóm Scattered Spider và các tên gọi liên quan, các chỉ số xâm nhập có thể bao gồm:
- Tên miền độc hại (Domain names): Thường liên quan đến các trang đăng nhập giả mạo (sim-swapping, phishing).
- Địa chỉ IP độc hại (IP addresses): Dùng cho máy chủ điều khiển và chỉ huy (C2).
- Tệp tin độc hại (Malware hashes): Nếu có việc triển khai mã độc sau khi xâm nhập.
- Tài khoản bị xâm phạm (Compromised accounts): Thông tin đăng nhập bị đánh cắp.
Để biết chi tiết hơn về các chỉ số này, người dùng có thể tham khảo các nguồn threat intelligence uy tín.
Biện pháp phòng ngừa và giảm thiểu rủi ro
Đào tạo nhận thức về An ninh mạng
Việc đào tạo nhân viên về các kỹ thuật lừa đảo, social engineering là tối quan trọng. Hiểu rõ các dấu hiệu nhận biết email lừa đảo, yêu cầu thông tin nhạy cảm bất thường và các cuộc gọi đáng ngờ có thể ngăn chặn bước đầu của cuộc tấn công.
Tăng cường xác thực đa yếu tố (MFA)
Kích hoạt MFA cho tất cả các tài khoản, đặc biệt là các tài khoản có quyền truy cập vào hệ thống nhạy cảm, là một lớp bảo vệ hiệu quả chống lại việc chiếm đoạt tài khoản ngay cả khi mật khẩu bị lộ. Đây là một phần quan trọng trong việc đảm bảo an toàn thông tin.
Cập nhật bản vá bảo mật
Mặc dù chiến thuật chính của nhóm này dựa vào social engineering, việc các hệ thống luôn được cập nhật các bản vá bảo mật mới nhất sẽ giảm thiểu rủi ro bị khai thác các lỗ hổng khác có thể tồn tại. Việc cập nhật bản vá thường xuyên là cần thiết.
Tham khảo thêm thông tin chi tiết về các mối đe dọa từ nhóm Scattered Spider và các nhóm tương tự tại các nguồn tin tức bảo mật uy tín như CISA.










