Ransomware Qilin: Nguy cơ Nghiêm trọng từ Tấn công Chuỗi Cung ứng

Chiến dịch “Korean Leaks” đã được xác định là một trong những tấn công chuỗi cung ứng phức tạp nhất nhằm vào lĩnh vực tài chính tại Hàn Quốc trong thời gian gần đây. Hoạt động này kết hợp khả năng của nhóm mã độc ransomware dưới dạng dịch vụ (RaaS) Qilin với khả năng liên quan đến nhóm đối tượng được biết đến với tên gọi Moonstone Sleet.

Các đối tượng tấn công đã tận dụng một Nhà Cung cấp Dịch vụ Quản lý (MSP) bị xâm nhập làm vector truy cập ban đầu. Điều này cho phép chúng xâm nhập đồng thời vào nhiều tổ chức chỉ từ một điểm truy cập duy nhất, tối đa hóa hiệu quả của cuộc tấn công.

Tổng quan về Chiến dịch “Korean Leaks” và Mã độc Ransomware Qilin

Vào tháng 9 năm 2025, một quốc gia ở khu vực châu Á bất ngờ trở thành quốc gia bị nhắm mục tiêu nhiều thứ hai trong các cuộc tấn công ransomware toàn cầu. Chỉ trong một tháng, 25 nạn nhân đã được tuyên bố bị tấn công và mã hóa dữ liệu.

Sự gia tăng đột biến bất thường này được quy kết hoàn toàn cho nhóm mã độc ransomware Qilin. Nhóm này tập trung gần như toàn bộ vào các công ty dịch vụ tài chính, đặc biệt là các công ty quản lý tài sản, cho thấy một chiến lược tấn công có chủ đích.

Trong số 33 nạn nhân tổng cộng, 28 trường hợp hiện đã được công khai. Các trường hợp được ghi nhận xác nhận việc đánh cắp hơn 1 triệu tệp và 2 TB dữ liệu, bao gồm thông tin khách hàng nhạy cảm và dữ liệu tài chính nội bộ.

Cơ chế Hoạt động của Qilin Ransomware-as-a-Service (RaaS)

Các nhà nghiên cứu bảo mật của Bitdefender đã phân tích chi tiết cách thức hoạt động của Qilin. Qilin vận hành theo mô hình kinh tế gig, nơi các nhà điều hành chính cung cấp thương hiệu, phần mềm độc hại và cơ sở hạ tầng cho các chi nhánh.

Đổi lại, họ nhận 15% đến 20% lợi nhuận từ các cuộc tấn công thành công. Hoạt động tấn công thực tế, bao gồm xâm nhập và mã hóa, được thực hiện bởi các chi nhánh, những người này kiếm được phần lớn số tiền.

Mô hình RaaS này cho phép mở rộng quy mô hoạt động và thu hút nhiều đối tác hơn. Điều này làm tăng đáng kể phạm vi và tần suất các cuộc tấn công sử dụng mã độc ransomware, tạo ra một mạng lưới tội phạm mạng phân tán và khó theo dõi.

Mối liên kết giữa Qilin và Nhóm Đe dọa Moonstone Sleet

Điều khiến chiến dịch này đặc biệt đáng lo ngại là sự hợp tác bắt đầu vào đầu năm 2025 giữa Qilin và Moonstone Sleet. Moonstone Sleet là một nhóm đối tượng có năng lực cao, được biết đến với các hoạt động tinh vi và mục tiêu chiến lược.

Sự kết hợp này làm mờ ranh giới giữa tội phạm mạng thông thường và các hoạt động gián điệp tinh vi hơn, với động cơ có thể vượt ra ngoài lợi ích tài chính. Nó thể hiện mức độ nguy hiểm gia tăng của các mối đe dọa hỗn hợp trong không gian mạng.

Phân tích Tấn công Chuỗi Cung Ứng qua Nhà Cung cấp Dịch vụ Quản lý (MSP)

Chiến dịch này tận dụng triệt để lỗ hổng trong chuỗi cung ứng, một kỹ thuật ngày càng phổ biến trong các cuộc tấn công tinh vi. Việc xâm nhập vào một MSP duy nhất đã cung cấp cho các đối tượng tấn công quyền truy cập đồng thời vào nhiều mạng lưới khách hàng.

Điểm yếu này đã trở thành vector chính cho việc triển khai mã độc ransomware và các hoạt động độc hại khác. Điều này giải thích tốc độ và độ chính xác của các đợt tấn công, nơi một sự xâm nhập duy nhất có thể ảnh hưởng đến hàng chục tổ chức.

Tác động đến Ngành Tài chính và Dữ liệu Rò rỉ

Các báo cáo vào ngày 23 tháng 9 năm 2025 đã xác nhận hơn 20 công ty quản lý tài sản đã phải chịu các vụ vi phạm dữ liệu nghiêm trọng. Các máy chủ của họ bị tấn công thông qua một nhà cung cấp dịch vụ IT nội địa chung.

Sự tập trung chặt chẽ của các nạn nhân trong một phân khúc tài chính duy nhất chỉ ra một lỗ hổng chung đã kết nối tất cả các mục tiêu, điển hình của các tấn công chuỗi cung ứng. Điều này nhấn mạnh tầm quan trọng của việc bảo mật toàn diện trên mọi điểm chạm.

Việc rò rỉ hơn 1 triệu tệp và 2 TB dữ liệu nhạy cảm có thể gây ra những hậu quả nghiêm trọng và lâu dài. Bao gồm mất mát tài chính đáng kể, tổn hại danh tiếng không thể phục hồi, và các vấn đề pháp lý phức tạp cho các tổ chức bị ảnh hưởng.

Các đợt công bố dữ liệu và chiến thuật đe dọa

Các đối tượng tấn công đã triển khai chiến dịch của chúng thông qua ba đợt công bố dữ liệu riêng biệt. Mỗi đợt đều có mục tiêu và thông điệp khác nhau nhằm tối đa hóa áp lực lên nạn nhân.

• Đợt 1 (14 tháng 9 năm 2025): Công bố thông tin của 10 nạn nhân. Các cuộc tấn công được định hình như một nỗ lực phục vụ cộng đồng nhằm phơi bày tham nhũng hệ thống, tạo ra sự chú ý từ công chúng.
• Đợt 2: Leo thang các mối đe dọa chống lại toàn bộ thị trường chứng khoán. Mục tiêu là tạo ra áp lực lớn hơn để các nạn nhân tuân thủ yêu cầu tống tiền, đe dọa sự ổn định tài chính.
• Đợt 3: Kết thúc với chín nạn nhân bổ sung. Sau đó, chiến dịch trở lại với thông điệp tống tiền tiêu chuẩn, yêu cầu thanh toán để giải mã dữ liệu hoặc ngăn chặn việc công bố thêm thông tin.

Chiến thuật này cho thấy sự tính toán kỹ lưỡng trong việc gây áp lực và đàm phán. Nó tận dụng cả yếu tố công khai, đe dọa trực tiếp và tâm lý sợ hãi để tối đa hóa hiệu quả của mã độc ransomware, đặc biệt trong môi trường tài chính nhạy cảm.

Phân tích nguyên nhân gốc rễ: Hệ thống bị xâm nhập qua MSP

Phân tích nguyên nhân gốc rễ đã chỉ ra rằng sự tập trung cao độ của các nạn nhân trong cùng một lĩnh vực tài chính cho thấy một lỗ hổng chung. Lỗ hổng này đã liên kết tất cả các mục tiêu và là điểm khởi đầu của cuộc tấn công.

Sự cố liên quan đến một Nhà Cung cấp Dịch vụ Quản lý (MSP) đã cung cấp cho các đối tượng tấn công quyền truy cập đồng thời vào nhiều mạng lưới khách hàng. Đây là nguyên nhân chính giải thích tốc độ và sự chính xác của các đợt tấn công.

Khi một MSP bị xâm nhập, các đối tượng có thể sử dụng quyền truy cập được ủy quyền để di chuyển ngang qua các mạng của khách hàng. Điều này làm cho việc phát hiện và ngăn chặn trở nên vô cùng khó khăn, cho phép kẻ tấn công thiết lập quyền kiểm soát lâu dài.

Đây là minh chứng rõ ràng về rủi ro bảo mật từ các lỗ hổng trong chuỗi cung ứng. Một điểm yếu duy nhất trong hệ thống của nhà cung cấp dịch vụ có thể dẫn đến việc hệ thống bị xâm nhập hàng loạt và gây ra thiệt hại nghiêm trọng.

Các chỉ số xâm nhập (IOCs) và Đối tượng đe dọa

Các thành phần chính của chiến dịch “Korean Leaks” và các chỉ số liên quan bao gồm:

• Mã độc Ransomware: Qilin Ransomware-as-a-Service (RaaS)
• Nhóm Đối tượng Đe dọa: Moonstone Sleet (hợp tác với Qilin), một nhóm có khả năng cao.
• Vector Truy cập Ban đầu: Nhà Cung cấp Dịch vụ Quản lý (MSP) bị xâm nhập. Bitdefender cung cấp thêm thông tin chi tiết về các kỹ thuật và phương thức tấn công mà nhóm này sử dụng.

Mặc dù không có các chỉ số kỹ thuật cấp thấp như địa chỉ IP hoặc tên miền cụ thể được cung cấp trong thông tin ban đầu, việc xác định các thực thể và phương thức tấn công này là rất quan trọng cho các hoạt động threat intelligence và phòng thủ chủ động.

Khuyến nghị Phòng thủ và Giảm thiểu Rủi ro

Để bảo vệ khỏi các cuộc tấn công tương tự, đặc biệt là các cuộc tấn công chuỗi cung ứng và giảm thiểu rủi ro bảo mật từ mã độc ransomware, các tổ chức cần áp dụng các biện pháp phòng thủ đa lớp và chủ động.

• Triển khai Xác thực Đa yếu tố (MFA): Bắt buộc MFA cho tất cả các tài khoản truy cập, đặc biệt là đối với các tài khoản có đặc quyền và truy cập từ xa. MFA là một lớp bảo vệ quan trọng chống lại việc hệ thống bị xâm nhập ngay cả khi thông tin đăng nhập bị lộ.
• Phân đoạn Mạng (Network Segmentation): Chia nhỏ mạng thành các phân đoạn nhỏ hơn và biệt lập. Điều này giúp hạn chế sự lây lan của mã độc và kẻ tấn công trong trường hợp một phần mạng bị xâm nhập, cô lập thiệt hại tiềm ẩn và giảm thiểu diện tích bề mặt tấn công.
• Áp dụng Giải pháp EDR/XDR/MDR: Sử dụng các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR), Phát hiện và Phản hồi Mở rộng (XDR) hoặc Phát hiện và Phản hồi Được Quản lý (MDR). Các giải pháp này cung cấp khả năng hiển thị sâu rộng, giúp phát hiện sớm các hoạt động độc hại và giảm thiểu thời gian kẻ tấn công lưu trú (dwell time) trong hệ thống.
• Kiểm soát Truy cập Đặc quyền (Privileged Access Management – PAM): Hạn chế tối đa quyền truy cập cho người dùng và ứng dụng, tuân thủ nguyên tắc đặc quyền tối thiểu (least privilege). Điều này ngăn chặn kẻ tấn công leo thang đặc quyền sau khi xâm nhập ban đầu và hạn chế khả năng gây hại.
• Đánh giá Nhà Cung cấp (Vendor Assessment): Thực hiện đánh giá bảo mật định kỳ và nghiêm ngặt đối với tất cả các nhà cung cấp bên thứ ba, đặc biệt là các MSP. Đảm bảo họ tuân thủ các tiêu chuẩn bảo mật cao nhất và có các biện pháp phòng thủ mạnh mẽ, giảm thiểu rủi ro từ chuỗi cung ứng.
• Kế hoạch Ứng phó Sự cố: Phát triển và thường xuyên kiểm tra kế hoạch ứng phó sự cố mạng toàn diện. Kế hoạch này phải bao gồm các quy trình chi tiết để phát hiện, chứa chặn, loại bỏ và khôi phục sau một cuộc tấn công, đảm bảo phản ứng nhanh chóng và hiệu quả khi xảy ra vi phạm.

Việc chủ động áp dụng và duy trì các biện pháp này là cần thiết để bảo vệ dữ liệu và hạ tầng quan trọng. Đặc biệt là trong bối cảnh các mối đe dọa từ mã độc ransomware và tấn công chuỗi cung ứng ngày càng tinh vi và phức tạp, đòi hỏi sự cảnh giác và khả năng phòng thủ liên tục.