-
16/07/2025
-
0
-
5 bài viết
Liên minh tin tặc ShinyHunters và Scattered Spider: Khi tội phạm mạng bắt tay để tấn công
Giới an ninh mạng đang nóng lên khi hai nhóm tội phạm mạng khét tiếng là ShinyHunters và Scattered Spider bị nghi ngờ hợp tác trong một chiến dịch tống tiền nhắm vào khách hàng Salesforce - nền tảng quản lý quan hệ khách hàng toàn diện dựa trên điện toán đám mây. Chuyên gia dự đoán điều này khả năng sẽ lan rộng sang các công ty tài chính và công nghệ. Đây không chỉ là một vụ tấn công thông thường mà là dấu hiệu cho thấy xu hướng liên minh chiến thuật giữa các nhóm tin tặc để mở rộng quy mô và mức độ nguy hiểm.
Phân tích hơn 700 tên miền lừa đảo cho thấy, từ tháng 7/2025, các tên miền nhắm tới công ty tài chính tăng 12%, trong khi công nghệ giảm 5%. Điều này báo hiệu các ngân hàng, công ty bảo hiểm, dịch vụ tài chính sẽ trở thành mục tiêu chính tiếp theo.
Sau khi 4 nghi phạm liên quan BreachForums bị bắt tại Pháp, ShinyHunters tuyên bố diễn đàn đã bị cảnh sát Pháp, Bộ Tư pháp Mỹ và FBI kiểm soát, biến thành “honeypot” để theo dõi tội phạm mạng. Chúng ra cảnh báo cho các đồng minh rằng bất kỳ phiên bản nào của BreachForums xuất hiện lại đều có thể là bẫy của lực lượng chức năng.
Vụ việc ShinyHunters và Scattered Spider hợp tác là hồi chuông cho thấy tội phạm mạng đang liên kết để mạnh hơn và khó bị đối phó hơn. Với Việt Nam, đây là cảnh báo sớm cho các doanh nghiệp đang dùng dịch vụ điện toán đám mây, đặc biệt là Salesforce hoặc các nền tảng có đăng nhập SSO:
Từ đánh cắp dữ liệu đến tấn công xã hội tinh vi
Theo báo cáo, ShinyHunters - nhóm từng nổi danh với các vụ đánh cắp dữ liệu và bán trên các diễn đàn như RaidForums, BreachForums đã thay đổi chiến thuật. Thay vì chỉ khai thác cơ sở dữ liệu, chúng bắt đầu áp dụng các kỹ thuật của Scattered Spider như:- Vishing (lừa đảo qua điện thoại) kết hợp trang giả mạo Okta để đánh cắp thông tin đăng nhập.
- Ứng dụng giả mạo đóng vai công cụ hợp pháp.
- Ẩn danh qua VPN để che dấu hoạt động trộm dữ liệu.
Các dấu hiệu liên minh
Nhiều bằng chứng cho thấy hai nhóm này nhắm cùng thời điểm vào các ngành bán lẻ, bảo hiểm, hàng không. Thậm chí, trên BreachForums đã xuất hiện tài khoản “Sp1d3rHunters” liên quan đến một vụ rò rỉ của ShinyHunters, cho thấy manh mối gợi ý về mối quan hệ đã tồn tại hơn một năm.Phân tích hơn 700 tên miền lừa đảo cho thấy, từ tháng 7/2025, các tên miền nhắm tới công ty tài chính tăng 12%, trong khi công nghệ giảm 5%. Điều này báo hiệu các ngân hàng, công ty bảo hiểm, dịch vụ tài chính sẽ trở thành mục tiêu chính tiếp theo.
Sau khi 4 nghi phạm liên quan BreachForums bị bắt tại Pháp, ShinyHunters tuyên bố diễn đàn đã bị cảnh sát Pháp, Bộ Tư pháp Mỹ và FBI kiểm soát, biến thành “honeypot” để theo dõi tội phạm mạng. Chúng ra cảnh báo cho các đồng minh rằng bất kỳ phiên bản nào của BreachForums xuất hiện lại đều có thể là bẫy của lực lượng chức năng.
Vụ việc ShinyHunters và Scattered Spider hợp tác là hồi chuông cho thấy tội phạm mạng đang liên kết để mạnh hơn và khó bị đối phó hơn. Với Việt Nam, đây là cảnh báo sớm cho các doanh nghiệp đang dùng dịch vụ điện toán đám mây, đặc biệt là Salesforce hoặc các nền tảng có đăng nhập SSO:
- Tăng cường huấn luyện nhân viên nhận biết vishing và phishing.
- Triển khai xác thực đa yếu tố (MFA) và giám sát đăng nhập bất thường.
- Theo dõi các cảnh báo an ninh từ cơ quan chức năng và nhà cung cấp dịch vụ.
Theo The Hacker News