Một nhóm tống tiền mới được xác định có tên là Pink đã nổi lên như một mối đe dọa nghiêm trọng đối với các tổ chức doanh nghiệp, sử dụng các chiến thuật kỹ thuật xã hội để đánh cắp thông tin xác thực lưu trữ đám mây và dữ liệu nhạy cảm. Nhóm này, được theo dõi dưới mã CL-CRI-1147, đã ra mắt trang web rò rỉ dữ liệu chuyên dụng của mình vào ngày 31 tháng 5 năm 2026 và đã liệt kê một số nạn nhân ban đầu. Các đội bảo mật trên nhiều ngành công nghiệp hiện đang cảnh giác cao độ vì các chiến thuật của nhóm tỏ ra cực kỳ hiệu quả ngay cả đối với các tổ chức được bảo vệ tốt.
Chiến Thuật Tấn Công Của Pink: Kỹ Thuật Xã Hội Là Chính
Pink hoạt động với một chiến lược rõ ràng và có tính toán. Thay vì triển khai phần mềm độc hại truyền thống, nhóm dựa vào tấn công giả mạo giọng nói, còn được gọi là vishing, để giành quyền truy cập ban đầu vào mạng doanh nghiệp. Kẻ tấn công giả mạo nhân viên IT nội bộ qua điện thoại, lừa nhân viên truy cập các trang lừa đảo do kẻ tấn công kiểm soát, nơi họ vô tình cung cấp thông tin đăng nhập và mã xác thực đa yếu tố của họ.
Cách tiếp cận này làm cho Pink đặc biệt nguy hiểm vì nó khai thác sự tin tưởng của con người thay vì các lỗ hổng kỹ thuật. Các nhà phân tích tại Unit 42 đã xác định và tiết lộ nhóm này trong một báo cáo được chia sẻ với Cyber Security News. Nghiên cứu sinh lưu ý rằng Pink dường như có liên hệ với mạng Com rộng lớn hơn, một cộng đồng tội phạm mạng lỏng lẻo nổi tiếng với các chiến dịch kỹ thuật xã hội mạnh mẽ. Nhóm này cũng chia sẻ các điểm tương đồng về chiến thuật với các tác nhân mối đe dọa nổi tiếng khác như Lapsus$, Scattered Spider và ShinyHunters, cho thấy một bộ công cụ chung giữa các cộng đồng này.
Quy Trình Xâm Nhập Và Khai Thác Dữ Liệu
Một khi Pink giành được quyền truy cập vào tài khoản của nhân viên, những kẻ tấn công sẽ hành động nhanh chóng. Chúng sử dụng các công cụ tự động hóa tích hợp sẵn của Microsoft để quét qua môi trường lưu trữ đám mây, hút các tệp từ thư mục OneDrive và SharePoint trong vòng vài phút. Với dữ liệu bị đánh cắp trong tay, nhóm này sẽ sử dụng các tài khoản bị xâm nhập để gửi tin nhắn Microsoft Teams và email nội bộ yêu cầu thanh toán, cho phép ban điều hành một khoảng thời gian chặt chẽ là 72 giờ để phản hồi. Chiến thuật nhắn tin nội bộ này làm cho việc tống tiền trở nên cấp bách và hợp pháp hơn đối với các nạn nhân.
Nhóm này cũng có dấu hiệu là một hoạt động tái thương hiệu có thể của một hoạt động cũ hơn. Các nhà phân tích của Google Threat Intelligence Group đã đánh giá rằng sau khi thương hiệu BlackFile ngừng hoạt động vào tháng 5 năm 2026, nhóm có thể đã hoạt động trong thời gian ngắn với tên Redact trước khi xuất hiện trở lại với tên Pink. Mô hình tái thương hiệu này là phổ biến đối với các nhóm tống tiền tinh vi tìm cách lẩn tránh sự theo dõi.
Khả Năng Trốn Tránh Công Cụ Bảo Mật Tiêu Chuẩn
Hiệu quả của Pink nằm ở chỗ nó tránh kích hoạt các công cụ bảo mật tiêu chuẩn. Vì nhóm sử dụng các tài khoản nhân viên hợp pháp và các công cụ nội bộ của Microsoft để di chuyển dữ liệu, hầu hết các tường lửa và hệ thống phát hiện điểm cuối đơn giản là không đánh dấu hoạt động này là đáng ngờ. Kẻ tấn công hướng nạn nhân đến các miền lừa đảo như passkeydeploy.com và deploypasskey.com, nơi các cookie phiên bị chiếm quyền, cho phép nhóm bỏ qua MFA hoàn toàn mà không cần mật khẩu của nạn nhân nữa.
Ngoài việc đánh cắp thông tin xác thực, Pink còn sử dụng các kỹ thuật không có tệp (fileless techniques) để ẩn mình trong môi trường bị xâm nhập. Thay vì ghi các tệp lớn vào ổ cứng, nhóm thực thi các lệnh mã nhỏ, xây dựng payload của chúng trực tiếp trong bộ nhớ tạm thời của máy tính. Điều này có nghĩa là các chương trình chống vi-rút tiêu chuẩn quét thư mục và ổ đĩa sẽ không phát hiện bất kỳ mối đe dọa nào. Mã cũng thực hiện kiểm tra môi trường và nếu nó phát hiện một môi trường sandbox nghiên cứu bảo mật, nó sẽ âm thầm giảm bớt hành vi của chính nó để tránh bị phân tích.
Cập Nhật Bản Vá Và Các Biện Pháp Phòng Ngừa Kỹ Thuật
Các chuyên gia bảo mật kêu gọi các tổ chức áp dụng cách tiếp cận thực tế, đặt con người lên hàng đầu để phòng thủ chống lại các nhóm như Pink. Nhân viên nên được đào tạo để xác minh độc lập bất kỳ cuộc gọi điện thoại IT bất ngờ nào trước khi làm theo hướng dẫn, đặc biệt là khi được yêu cầu truy cập một liên kết hoặc nhập thông tin xác thực. Các nhóm hỗ trợ kỹ thuật (Help desk) nên có các quy trình xác minh danh tính nghiêm ngặt không thể bị bỏ qua chỉ bằng áp lực xã hội.
Về mặt kỹ thuật, các tổ chức được khuyên nên di chuyển từ MFA mật khẩu dùng một lần tiêu chuẩn sang các phương pháp xác thực chống lừa đảo như khóa phần cứng FIDO2. Các đội bảo mật nên giám sát môi trường đám mây để phát hiện các đột biến bất thường trong lượt tải xuống tệp, xem xét các quyền cấp token OAuth và API, và chặn các miền lừa đảo đã biết liên kết với cơ sở hạ tầng của Pink.
Việc triển khai các công cụ giám sát hành vi gắn cờ các lượt truyền dữ liệu lớn, đột ngột trước khi chúng rời khỏi mạng cũng có thể tạo ra sự khác biệt quan trọng trong việc phát hiện tấn công.
Các Chỉ Số Tấn Công (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm yếu (ví dụ: [.] để ngăn chặn việc phân giải hoặc liên kết tình cờ. Chỉ tái tạo lại định dạng đầy đủ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Domains: passkeydeploy[.]com, deploypasskey[.]com
- Associated Infrastructure: (Cần thêm chi tiết từ nguồn gốc để điền đầy đủ)
Việc hiểu rõ các phương thức hoạt động và chỉ số tấn công của Pink là rất quan trọng để các tổ chức có thể củng cố hệ thống phòng thủ của mình và giảm thiểu rủi ro bị tấn công và rò rỉ dữ liệu.
