Nhóm đe dọa ShinyHunters đã mở rộng các hoạt động tống tiền với những phương pháp tấn công mạng tinh vi. Chúng nhắm mục tiêu vào các hệ thống dựa trên đám mây của nhiều tổ chức, gây ra các nguy cơ đáng kể về an toàn thông tin.
Phân Tích Chiến Thuật Tấn Công Mạng của ShinyHunters
Mục Tiêu và Phương Pháp Khai Thác Ban Đầu
Các đối tượng tội phạm mạng này sử dụng kỹ thuật lừa đảo qua điện thoại (voice phishing) và các trang web thu thập thông tin xác thực giả mạo. Mục tiêu chính là đánh cắp thông tin đăng nhập từ nhân viên mục tiêu.
Sau khi truy cập thành công vào hệ thống, chúng trích xuất dữ liệu nhạy cảm. Dữ liệu này thường nằm trong các ứng dụng phần mềm đám mây. Thông tin bị đánh cắp sau đó được dùng để đòi tiền chuộc từ các công ty nạn nhân, tạo ra các sự cố rò rỉ dữ liệu nghiêm trọng.
Kỹ Thuật Lừa Đảo Xã Hội Tinh Vi
Nhóm ShinyHunters tạo ra các trang web lừa đảo (phishing websites) có giao diện giống thật một cách đáng kinh ngạc. Chúng bắt chước chính xác các trang đăng nhập của công ty. Mục đích là để thu thập thông tin xác thực đăng nhập một lần (single sign-on credentials) và mã xác thực đa yếu tố (multi-factor authentication codes) từ nhân viên không nghi ngờ.
Kẻ tấn công thường gọi điện trực tiếp cho nhân viên, giả danh nhân viên IT nội bộ. Chúng tuyên bố rằng công ty đang thực hiện cập nhật các cài đặt bảo mật quan trọng.
Sau đó, chúng hướng dẫn nhân viên truy cập các trang web giả mạo đã được thiết kế sẵn. Các trang này được tạo ra với mục đích duy nhất là đánh cắp thông tin đăng nhập của người dùng.
Phương pháp này đã chứng minh được hiệu quả vượt trội. Nó kết hợp sự thao túng tâm lý con người với các thủ đoạn kỹ thuật số tinh vi.
Điều cần nhấn mạnh là các cuộc tấn công mạng này không khai thác các lỗ hổng bảo mật kỹ thuật. Chúng không nhắm vào sản phẩm phần mềm hay cơ sở hạ tầng. Thay vào đó, chúng thành công hoàn toàn thông qua các kỹ thuật kỹ thuật xã hội (social engineering). Điều này lừa người dùng tự nguyện cung cấp thông tin xác thực của họ.
Mở Rộng Phạm Vi Tấn Công và Phân Loại Nhóm Đe Dọa
Các nhà phân tích từ Google Cloud đã xác định và theo dõi hoạt động đe dọa này. Nó được phân loại dưới ba cụm mối đe dọa riêng biệt: UNC6661, UNC6671 và UNC6240.
Nghiên cứu của Google Cloud cho thấy các nhóm này đã mở rộng đáng kể. Chúng tăng số lượng và đa dạng hóa loại nền tảng đám mây mà chúng nhắm mục tiêu. Mục đích là tìm kiếm dữ liệu có giá trị cao hơn cho các kế hoạch tống tiền và gây ra rò rỉ dữ liệu quy mô lớn.
Các sự cố gần đây cũng chỉ ra rằng kẻ tấn công đang sử dụng các chiến thuật cực kỳ hung hãn. Điều này bao gồm việc quấy rối liên tục các nhân viên nạn nhân. Đồng thời, chúng phát động các cuộc tấn công từ chối dịch vụ (denial-of-service attacks) nhằm vào các trang web của công ty mục tiêu.
Để hiểu rõ hơn về các hoạt động này, bạn có thể tham khảo phân tích chi tiết từ Google Cloud tại đây.
Quy Trình Xâm Nhập và Thực Hiện Rò Rỉ Dữ Liệu
Tạo Lập và Sử Dụng Tên Miền Giả Mạo
Các đối tượng đe dọa thực hiện đăng ký các tên miền giả mạo một cách có chủ đích. Mục đích là mạo danh các cổng thông tin doanh nghiệp hợp pháp và đáng tin cậy.
Chúng thường sử dụng các mẫu tên miền như:
companynamesso.com
companynameinternal.com
Các tên miền này được thiết kế để làm cho các trang lừa đảo của chúng trông xác thực và hợp pháp, từ đó dễ dàng lừa gạt người dùng.
Duy Trì Quyền Truy Cập Bền Bỉ Sau Xâm Nhập
Sau khi thành công trong việc thu thập thông tin xác thực của nhân viên, kẻ tấn công thực hiện bước tiếp theo. Chúng đăng ký các thiết bị xác thực của riêng mình. Điều này nhằm thiết lập và duy trì quyền truy cập bền bỉ (persistent access) vào tài khoản của nạn nhân.
Quyền truy cập liên tục này cho phép chúng thực hiện các hành vi độc hại trong thời gian dài mà không bị phát hiện ngay lập tức. Đây là một điểm mấu chốt trong các cuộc tấn công mạng tinh vi.
Trích Xuất Dữ Liệu từ Nền Tảng Đám Mây Mục Tiêu
Sau khi có quyền truy cập bền bỉ, chúng di chuyển một cách có hệ thống trong môi trường đám mây của doanh nghiệp. Mục tiêu là đánh cắp dữ liệu nhạy cảm từ các nền tảng phổ biến như SharePoint, Salesforce, DocuSign và Slack.
Các tội phạm mạng này tìm kiếm cụ thể các tài liệu và thông tin. Chúng tập trung vào những nội dung chứa các thuật ngữ quan trọng như “confidential”, “internal”, “proposal” và “vpn” trong các ứng dụng đám mây. Điều này cho thấy sự tập trung vào các dữ liệu chiến lược của công ty.
Hậu quả là sự cố rò rỉ dữ liệu có thể gây tổn thất nghiêm trọng cho các tổ chức.
Xóa Dấu Vết và Che Giấu Hành Vi Độc Hại
Trong một số trường hợp, kẻ tấn công còn kích hoạt các công cụ đặc biệt. Ví dụ, chúng sử dụng ToogleBox Recall trong tài khoản Google Workspace. Mục đích là xóa vĩnh viễn các email thông báo bảo mật.
Hành động này ngăn cản nhân viên phát hiện ra rằng các thiết bị trái phép đang truy cập vào tài khoản của họ. Việc xóa dấu vết làm tăng khả năng khó khăn trong việc phát hiện và ứng phó với sự cố rò rỉ dữ liệu.
Chiến Dịch Tống Tiền và Yêu Cầu Thanh Toán
Sau khi hoàn tất quá trình đánh cắp dữ liệu, kẻ tấn công gửi các email tống tiền tới nạn nhân. Chúng yêu cầu thanh toán bằng tiền điện tử Bitcoin trong vòng 72 giờ.
Để chứng minh tuyên bố của mình và tạo áp lực, chúng thường cung cấp các mẫu thông tin đã bị đánh cắp. Các mẫu này thường được lưu trữ trên các nền tảng chia sẻ tệp công khai. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng nhằm gây áp lực tối đa lên nạn nhân.
Biện Pháp Phòng Ngừa và Tăng Cường Bảo Mật Mạng Hiệu Quả
Các chuyên gia bảo mật hàng đầu khuyến nghị mạnh mẽ các tổ chức. Họ cần áp dụng các phương pháp xác thực chống lừa đảo (phishing-resistant authentication methods).
Các ví dụ điển hình bao gồm việc triển khai khóa bảo mật vật lý như FIDO2 security keys hoặc sử dụng passkeys. Những phương pháp này được thiết kế để không thể bị qua mặt thông qua các chiến thuật kỹ thuật xã hội.
Điều này hoàn toàn khác biệt với các hệ thống xác thực truyền thống. Ví dụ, xác thực dựa trên SMS hoặc push-based authentication, vốn dễ bị tấn công hơn. Việc tăng cường bảo mật mạng thông qua các giải pháp này là cực kỳ quan trọng.
Triển khai các giải pháp xác thực mạnh mẽ là bước đi then chốt. Nó giúp nâng cao an toàn thông tin tổng thể và chống lại các chiến dịch lừa đảo tinh vi. Đồng thời, nó bảo vệ doanh nghiệp khỏi các nguy cơ tấn công mạng ngày càng phức tạp.
