Mã độc tống tiền TridentLocker: Rò rỉ dữ liệu Sedgwick nghiêm trọng

07/01/2026
5 mins read
Mã độc tống tiền TridentLocker: Rò rỉ dữ liệu Sedgwick nghiêm trọng

Tập đoàn quản lý yêu cầu bồi thường Sedgwick đã xác nhận một sự cố an ninh mạng nghiêm trọng tại công ty con tập trung vào chính phủ của họ, Sedgwick Government Solutions (SGS). Vụ việc xảy ra sau khi nhóm mã độc tống tiền TridentLocker tuyên bố đã đánh cắp 3.4 gigabyte dữ liệu nhạy cảm. Sự việc này một lần nữa nhấn mạnh các rủi ro liên tục mà các nhà thầu liên bang phải đối mặt khi xử lý dữ liệu nhạy cảm của các cơ quan chính phủ.

Nội dung
TridentLocker: Nhóm mã độc tống tiền và Phương thức tấn công
Hậu quả của Tấn công tống tiền kép
Mục tiêu nhắm đến: Sedgwick Government Solutions (SGS)
Phản ứng và Biện pháp của Sedgwick
Chỉ số xâm nhập (Indicators of Compromise – IOCs)
Bối cảnh Rủi ro cho các Nhà thầu Liên bang
Bài học và Khuyến nghị tăng cường An ninh mạng

TridentLocker: Nhóm mã độc tống tiền và Phương thức tấn công

TridentLocker là một nhóm mã độc tống tiền theo hình thức dịch vụ (RaaS) mới nổi, được ghi nhận hoạt động từ cuối tháng 11 năm 2025. Nhóm này sử dụng chiến thuật tống tiền kép (double-extortion), bao gồm việc mã hóa hệ thống của nạn nhân và đe dọa công khai dữ liệu đã đánh cắp nếu yêu cầu tiền chuộc không được đáp ứng.

Vào ngày 31 tháng 12 năm 2025, TridentLocker đã công khai danh sách SGS là một nạn nhân trên trang rò rỉ dữ liệu của họ trên dark web. Nhóm này tuyên bố đã thu thập được 3.39 GB tài liệu và đã đăng tải một số mẫu dữ liệu làm bằng chứng.

Các chiến thuật được TridentLocker sử dụng phù hợp với các kỹ thuật đã được ghi nhận trong khung MITRE ATT&CK, cụ thể là:

  • T1071.001 (Exfiltration Over Web Service: Web Protocols): Kỹ thuật đánh cắp dữ liệu thông qua các giao thức web tiêu chuẩn. Đây là một phương pháp phổ biến để tin tặc truyền dữ liệu ra ngoài mạng của nạn nhân mà ít bị phát hiện.
  • T1486 (Data Encrypted for Impact): Kỹ thuật mã hóa dữ liệu trên các hệ thống của nạn nhân nhằm gây ra tác động nghiêm trọng, làm gián đoạn hoạt động và buộc nạn nhân phải trả tiền chuộc để khôi phục quyền truy cập.

Hậu quả của Tấn công tống tiền kép

Chiến thuật tống tiền kép của các nhóm mã độc tống tiền như TridentLocker tạo ra áp lực rất lớn lên nạn nhân. Việc mã hóa dữ liệu gây gián đoạn hoạt động kinh doanh, trong khi mối đe dọa công khai dữ liệu nhạy cảm có thể dẫn đến thiệt hại về danh tiếng, các vấn đề pháp lý và mất lòng tin của khách hàng.

Mục tiêu nhắm đến: Sedgwick Government Solutions (SGS)

Sedgwick Government Solutions là một công ty con cung cấp các dịch vụ quản lý rủi ro và yêu cầu bồi thường cho một loạt các khách hàng liên bang quan trọng. Các khách hàng này bao gồm:

  • Bộ An ninh Nội địa (DHS)
  • Cục Thực thi Di trú và Hải quan (ICE)
  • Cơ quan Hải quan và Bảo vệ Biên giới (CBP)
  • Cơ quan Dịch vụ Công dân và Nhập cư Hoa Kỳ (USCIS)
  • Bộ Lao động (DOL)
  • Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA)

Ngoài ra, SGS còn hỗ trợ các cơ quan cấp thành phố trên 50 tiểu bang, Viện Smithsonian và Cơ quan Quản lý Cảng New York và New Jersey. Phạm vi khách hàng rộng lớn này đồng nghĩa với việc SGS xử lý một lượng lớn dữ liệu nhạy cảm liên quan đến hoạt động của chính phủ và người dân.

Việc một nhà thầu liên bang như SGS trở thành mục tiêu của một cuộc tấn công mạng như vậy làm nổi bật tầm quan trọng của việc bảo mật chuỗi cung ứng và sự cần thiết phải tăng cường các biện pháp phòng vệ cho các đối tác của chính phủ.

Phản ứng và Biện pháp của Sedgwick

Sedgwick đã công nhận sự cố vào ngày 4 tháng 1 năm 2026, xác nhận rằng Sedgwick Government Solutions đã trải qua việc truy cập trái phép vào một hệ thống truyền tệp bị cô lập. Ngay sau khi phát hiện vụ việc, Sedgwick đã kích hoạt các giao thức ứng phó sự cố nội bộ và thu hút các chuyên gia an ninh mạng bên ngoài để hỗ trợ điều tra.

Người phát ngôn của Sedgwick đã nhấn mạnh việc phân đoạn hệ thống, khẳng định rằng: “Điều quan trọng là Sedgwick Government Solutions được phân đoạn khỏi phần còn lại của hoạt động kinh doanh của chúng tôi, và không có hệ thống hoặc dữ liệu nào của Sedgwick rộng hơn bị ảnh hưởng. Hơn nữa, không có bằng chứng nào về việc truy cập vào máy chủ quản lý yêu cầu bồi thường hay bất kỳ tác động nào đến khả năng của Sedgwick Government Solutions trong việc tiếp tục phục vụ khách hàng.”

Mặc dù hệ thống truyền tệp bị ảnh hưởng, Sedgwick khẳng định rằng khả năng phục vụ khách hàng của SGS không bị gián đoạn. Công ty đã thông báo cho cơ quan thực thi pháp luật và các khách hàng liên quan về sự cố rò rỉ dữ liệu này.

Chỉ số xâm nhập (Indicators of Compromise – IOCs)

Để hỗ trợ các tổ chức khác trong việc phát hiện và phòng ngừa các cuộc tấn công tương tự, các chỉ số xâm nhập (IOCs) liên quan đến nhóm mã độc tống tiền TridentLocker và các chiến thuật của chúng là rất quan trọng.

  • Tên nhóm mã độc tống tiền: TridentLocker
  • Kỹ thuật MITRE ATT&CK:
  • Thời gian hoạt động đáng chú ý: Từ tháng 11 năm 2025.
  • Số lượng nạn nhân đã tuyên bố: 12 nạn nhân kể từ tháng 11 năm 2025.
  • Lĩnh vực mục tiêu: Sản xuất, chính phủ, IT, dịch vụ chuyên nghiệp.
  • Khu vực địa lý mục tiêu chính: Bắc Mỹ và Châu Âu.

Các tổ chức nên tích hợp các IOC này vào các hệ thống phát hiện xâm nhập (IDS/IPS), SIEM và các công cụ bảo mật khác để tăng cường khả năng phòng thủ chống lại các mối đe dọa mạng từ TridentLocker và các nhóm tương tự.

Bối cảnh Rủi ro cho các Nhà thầu Liên bang

Các nhà thầu liên bang liên tục phải đối mặt với các cuộc tấn công ransomwarexâm nhập mạng. Những tổ chức này thường xử lý một lượng lớn dữ liệu nhạy cảm và đóng vai trò quan trọng trong chuỗi cung ứng dịch vụ cho chính phủ, khiến chúng trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa.

Ví dụ, vào năm 2025, cuộc tấn công vào Conduent đã làm lộ dữ liệu của hơn 10 triệu người. Một vụ việc khác, Chemonics, đã hứng chịu một cuộc tấn công nhắm vào công việc của họ với USAID. Những sự kiện này minh họa một xu hướng đáng báo động về việc các đối tác khu vực công bị nhắm mục tiêu một cách có hệ thống.

Bài học và Khuyến nghị tăng cường An ninh mạng

Các chuyên gia an ninh mạng liên tục kêu gọi tăng cường các biện pháp bảo mật để giảm thiểu rủi ro này. Những khuyến nghị chính bao gồm:

  • Tăng cường phân đoạn hệ thống (Enhanced Segmentation): Việc cô lập các hệ thống quan trọng và nhạy cảm có thể hạn chế sự lây lan của một cuộc tấn công nếu một phần của mạng bị xâm nhập. Đây là một chiến lược quan trọng để bảo vệ dữ liệu nhạy cảm.
  • Cải thiện Quy trình Ứng phó Sự cố (Incident Response): Xây dựng và thử nghiệm các kế hoạch ứng phó sự cố hiệu quả là điều cần thiết để nhanh chóng phát hiện, ngăn chặn và khắc phục các cuộc tấn công, giảm thiểu tác động.
  • Kiểm tra nghiêm ngặt chuỗi cung ứng (Supply Chain Scrutiny): Các tổ chức cần kiểm tra kỹ lưỡng các biện pháp bảo mật của các nhà cung cấp và đối tác của mình, đặc biệt là những đối tác xử lý dữ liệu nhạy cảm.

Sự cố tại Sedgwick Government Solutions, nơi chính Sedgwick có một nhánh dịch vụ an ninh mạng chuyên quảng bá khả năng ứng phó nhanh chóng, càng nhấn mạnh sự phức tạp và những thách thức dai dẳng trong việc duy trì một hệ thống an ninh mạng mạnh mẽ trong bối cảnh các mối đe dọa mạng ngày càng tinh vi.