Nghiên cứu tình báo về mối đe dọa từ Outpost24 đã phát hiện các hoạt động của Lionishackers, một tác nhân đe dọa mạng có động cơ tài chính, chuyên về hoạt động rò rỉ dữ liệu và bán trái phép cơ sở dữ liệu của các doanh nghiệp. Nhóm này đại diện cho một mối nguy cơ đáng kể trong bối cảnh an ninh mạng hiện nay, đặc biệt đối với các tổ chức tại khu vực Châu Á.
Phân Tích Hoạt Động và Mục Tiêu của Lionishackers: Mối Đe Dọa Mạng Toàn Cầu
Chiến Lược Mục Tiêu và Các Phương Thức Xâm Nhập Phổ Biến
Lionishackers áp dụng phương pháp tiếp cận mục tiêu mang tính cơ hội, với ưu tiên đáng chú ý là các tổ chức ở các quốc gia Châu Á như Thái Lan, Syria và Ấn Độ. Sự lựa chọn mục tiêu này cho thấy sự tập trung vào các khu vực cụ thể, nơi có thể có các lỗ hổng dễ bị khai thác.
Mặc dù chủ yếu bị thúc đẩy bởi lợi nhuận từ việc rò rỉ dữ liệu, Lionishackers cũng thể hiện động cơ ý thức hệ thứ cấp, có thể liên quan đến các mối liên kết Hồi giáo tự xưng. Điều này dẫn đến sự tham gia hạn chế vào các hoạt động hacktivist, ví dụ như các cuộc tấn công Distributed Denial-of-Service (DDoS) phối hợp nhằm vào các mục tiêu của Ukraine và Israel.
Nhóm này khả năng cao khai thác các lỗ hổng SQL Injection để truy cập ban đầu và thực hiện rò rỉ dữ liệu. Các cuộc thảo luận trên Telegram của nhóm cũng thường xuyên đề cập đến việc sử dụng các công cụ tự động hóa như SQLMap. Phương pháp tấn công này cho phép nhóm thỏa hiệp cơ sở dữ liệu mà không cần triển khai mã độc hay mã hóa dữ liệu, giúp đơn giản hóa quy trình tấn công và tối đa hóa lợi nhuận thông qua việc bán trực tiếp dữ liệu đã bị đánh cắp dữ liệu.
Lionishackers nhắm mục tiêu vào một phổ rộng các lĩnh vực. Các mục tiêu bao gồm các trang web cờ bạc (là một ưu tiên đã được nêu rõ), cùng với các tổ chức chính phủ, dược phẩm, viễn thông, giáo dục và bán lẻ. Sự đa dạng về mục tiêu cho thấy khả năng thích ứng của nhóm trong việc tìm kiếm các cơ hội khai thác.
Các cơ sở dữ liệu được rao bán thường bao gồm thông tin đăng nhập từ các dịch vụ mạng xã hội và email. Điều này gợi ý rằng nhóm có thể đã sử dụng thông tin xác thực hợp lệ bị đánh cắp dữ liệu để truy cập trái phép vào các hệ thống khác, mở rộng phạm vi ảnh hưởng của các vụ rò rỉ dữ liệu này.
Mối Quan Hệ Hợp Tác và Mô Hình Kinh Doanh Ngầm của Lionishackers
Tác nhân đe dọa này duy trì các mối quan hệ hợp tác rộng rãi trong giới tội phạm mạng, đặc biệt với nhóm thân Palestine và thân Nga Hunt3r Kill3rs. Lionishackers từng giữ vai trò quản trị viên trên kênh Telegram của nhóm này, tạo điều kiện thuận lợi cho việc bán cơ sở dữ liệu và phối hợp các chiến dịch DDoS chung.
Ngoài hoạt động cốt lõi là rò rỉ dữ liệu và bán chúng, nhóm còn đa dạng hóa các dịch vụ cung cấp của mình. Điều này bao gồm cung cấp dịch vụ kiểm thử thâm nhập (penetration testing), thương mại hóa botnet Ghost cho các cuộc tấn công Layer 4 và Layer 7 DDoS, cũng như dự án Stressed Forums tồn tại trong thời gian ngắn, được ra mắt vào tháng 8 năm 2024. Sự ra đời của Stressed Forums diễn ra trong bối cảnh các nền tảng ngầm lớn khác như Breach Forums gặp gián đoạn, cho thấy nỗ lực của nhóm nhằm thiết lập một thị trường riêng cho dữ liệu bị rò rỉ dữ liệu.
Việc thương mại hóa dữ liệu bị đánh cắp dữ liệu diễn ra độc quyền qua Telegram để đàm phán trực tiếp với người mua. Quảng cáo về các cơ sở dữ liệu có sẵn được lan truyền trên nhiều diễn đàn ngầm khác nhau, nơi nhóm sử dụng các bí danh tạm thời để tránh bị truy vết và duy trì tính ẩn danh.
Kể từ tháng 9 năm 2024, Lionishackers đã tạo ra nhiều tài khoản diễn đàn. Mặc dù nhiều tài khoản trong số này đã bị cấm do các cáo buộc lừa đảo, nhóm vẫn liên tục bao gồm hình ảnh hoặc liên kết bằng chứng trong các bài đăng của mình để xác thực các thỏa hiệp và khẳng định tính xác thực của dữ liệu bị rò rỉ dữ liệu.
Theo báo cáo chi tiết từ Outpost24, sự tham gia tích cực của nhóm vào các kênh Telegram như AKULA và B F R e p o V 3 C h a t củng cố danh tiếng của Lionishackers trong cộng đồng ngầm. Điều này giúp họ dễ dàng bán dữ liệu đã bị rò rỉ dữ liệu, phục vụ cho các mục đích như nhồi nhét thông tin xác thực (credential stuffing), gian lận tài chính, gián điệp doanh nghiệp hoặc các cuộc tấn công kỹ thuật xã hội. Báo cáo gốc cung cấp phân tích sâu hơn về nhóm tại blog Outpost24.
Tác Động Toàn Diện và Chiến Lược Quản Lý Rủi Ro Rò Rỉ Dữ Liệu Doanh Nghiệp
Phân Tích Hậu Quả và Nguy Cơ Mở Rộng Từ Các Vụ Rò Rỉ Dữ Liệu
Rủi ro thực sự từ các vụ rò rỉ dữ liệu do Lionishackers gây ra không chỉ dừng lại ở tổn thất tài chính trực tiếp đối với các tổ chức bị ảnh hưởng. Nó còn bao gồm thiệt hại nghiêm trọng về uy tín và thương hiệu, đặc biệt khi các vụ rò rỉ này thu hút sự chú ý của truyền thông. Điều này làm tăng khả năng phơi nhiễm với các hoạt động độc hại tiếp theo bởi những kẻ mua dữ liệu có quyền truy cập vào Thông tin Nhận dạng Cá nhân (PII) nhạy cảm hoặc chi tiết tài chính.
Sự gia tăng của hoạt động rò rỉ dữ liệu và đánh cắp cơ sở dữ liệu như vậy nhấn mạnh các mối đe dọa mạng rộng lớn hơn đang tồn tại. Trong bối cảnh khối lượng dữ liệu ngày càng tăng và áp lực quy định về bảo vệ dữ liệu, các lỗ hổng đang dần xuất hiện. Các tác nhân như Lionishackers đã và đang khai thác triệt để những lỗ hổng này để thu lợi nhuận cao, tạo ra một vòng luẩn quẩn của các cuộc tấn công.
Việc giám sát chặt chẽ các thực thể ngầm và các nhóm tin tặc như Lionishackers là rất quan trọng. Mặc dù các hoạt động của chúng dường như có mức độ tinh vi thấp, nhưng chúng có thể dẫn đến các vi phạm nghiêm trọng. Những vụ vi phạm này không chỉ gây ra thiệt hại trực tiếp mà còn có thể tạo tiền đề cho các mối đe dọa dai dẳng nâng cao (Advanced Persistent Threats – APT) hoặc thậm chí là các cuộc tấn công ransomware quy mô lớn hơn trong tương lai.
