Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Co-op xác nhận dữ liệu bị đánh cắp sau khi nhóm tin tặc DragonForce tuyên bố thực hiện tấn công

10:04 | 07/05/2025
Nguyễn Ngọc Nguyên

Vụ tấn công mạng vào Co-op nghiêm trọng hơn nhiều so với báo cáo ban đầu, khi tập đoàn này hiện xác nhận rằng dữ liệu của một số lượng lớn khách hàng hiện tại và trước đây đã bị đánh cắp.

Co-op bị tấn công mạng

Co-op cho biết: “Kết quả của cuộc điều tra đang diễn ra, hiện tại tin tặc đã có thể truy cập và trích xuất dữ liệu từ một trong các hệ thống của chúng tôi. Dữ liệu được truy cập bao gồm thông tin liên quan đến một số lượng lớn thành viên hiện tại và trước đây của Co-op”.

Dữ liệu bị đánh cắp bao gồm dữ liệu cá nhân của các thành viên Co-op Group như họ tên và thông tin liên lạc (không bao gồm mật khẩu), thông tin chi tiết về ngân hàng hoặc thẻ tín dụng, giao dịch hoặc thông tin liên quan đến bất kỳ sản phẩm hoặc dịch vụ nào của thành viên hoặc khách hàng với Co-op Group.

Vào ngày 30/4, tập đoàn bán lẻ khổng lồ Co-op của Anh đã giảm mức độ nghiêm trọng của cuộc tấn công mạng, tuyên bố rằng họ đã đóng cửa một số hệ thống công nghệ thông tin của mình sau khi phát hiện ra nỗ lực xâm nhập vào mạng lưới của Co-op.

Theo nguồn tin từ BleepingComputer, Co-op đã bị xâm phạm bằng các kỹ thuật tấn công mạng liên quan đến Scattered Spider/Octo Temptest, nhưng các giải pháp bảo mật của họ đã ngăn chặn được những kẻ tấn công gây ra thiệt hại đáng kể cho mạng lưới của tập đoàn này.

Vụ tấn công được cho là xảy ra vào ngày 22/4, khi các tin tặc sử dụng các chiến thuật tương tự như cuộc tấn công vào Marks and Spencer. Các tin tặc được cho là đã thực hiện tấn công kỹ nghệ xã hội, cho phép chúng đặt lại mật khẩu của một nhân viên, sau đó được sử dụng để xâm nhập mạng.

Sau khi truy cập được vào mạng, các tin tặc đã đánh cắp tệp Windows NTDS[.]dit, một cơ sở dữ liệu dành cho Windows Active Directory Services có chứa mã băm mật khẩu cho các tài khoản Windows.

Co-op hiện đang trong quá trình xây dựng lại tất cả các Domain Controller Windows.

Nhóm tin tặc DragonForce đứng sau cuộc tấn công

Ngày 02/5, BBC lần đầu tiên đưa tin rằng các chi nhánh của hoạt động nhóm tin tặc DragonForce đứng sau vụ tấn công Co-op. Theo báo cáo đầu tiên của trang tin BleepingComputer, đây chính là những tin tặc đã xâm nhập vào Marks and Spencer thời gian qua.

Phóng viên BBC Joe Tidy đã liên hệ với nhà phát triển của mã độc tống tiền DragonForce, người đã xác nhận rằng họ đã đứng sau cuộc tấn công và chia sẻ các mẫu dữ liệu của công ty và khách hàng bị đánh cắp. Các tin tặc tuyên bố có thông tin dữ liệu từ 20 triệu người dùng và khách hàng Co-op. DragonForce cho biết đã liên lạc với người đứng đầu bộ phận an ninh mạng của Co-op và các giám đốc điều hành khác bằng tin nhắn Microsoft Teams, chia sẻ ảnh chụp màn hình tin nhắn tống tiền với BBC.

Sau vụ tấn công, Co-op đã gửi email nội bộ tới các nhân viên cảnh báo họ phải cảnh giác khi sử dụng Microsoft Teams và không chia sẻ bất kỳ dữ liệu nhạy cảm nào, có thể là vì lo ngại tin tặc vẫn có thể truy cập vào nền tảng này.

Được biết, DragonForce là nhóm tin tặc mã độc tống tiền hoạt động theo mô hình ransomware-as-a-service (RaaS). Nhóm tin tặc này sẽ nhận được 20-30% số tiền chuộc mà nạn nhân bị tống tiền phải trả.

Trong các cuộc tấn công, các tin tặc sẽ tiến hành xâm nhập mạng, đánh cắp dữ liệu và cuối cùng triển khai phần mềm độc hại để mã hóa các tệp trên tất cả các máy chủ và máy trạm. Sau đó, các tác nhân đe dọa yêu cầu thanh toán tiền chuộc để lấy lại bộ giải mã và hứa hẹn rằng dữ liệu bị đánh cắp sẽ bị xóa. Nếu không trả tiền chuộc, các tin tặc thường sẽ công bố dữ liệu bị đánh cắp lên trang web rò rỉ dữ liệu Dark Web.

Theo các nhà nghiên cứu, DragonForce đang làm việc với những tác nhân đe dọa gắn liền với cái tên gọi là “Scattered Spider” hoặc “Octo Tempest”. Cụm từ này đề cập đến các tin tặc là chuyên gia của tấn công kỹ nghệ xã hội, SIM Swapping và MFA fatigue để xâm nhập vào hệ thống mạng mục tiêu, sau đó đánh cắp dữ liệu hoặc triển khai mã độc tống tiền.

Cụ thể hơn, Scatted Spider không phải là một băng đảng hay nhóm có thành viên cụ thể. Thay vào đó, chúng là một cộng đồng gồm những kẻ đe dọa có động cơ tài chính thường xuyên liên lạc trên cùng một kênh Telegram, máy chủ Discord và diễn đàn hack. Vì chúng “rải rác” khắp nơi nên các cơ quan thực thi pháp luật thật khó có thể theo dõi từng cá nhân có liên quan đến cuộc tấn công. Những tác nhân đe dọa ban đầu liên quan đến Scattered Spider đứng sau một loạt các cuộc tấn công, bao gồm cả các cuộc tấn công vào MGM và Reddit.

Nhà nghiên cứu an ninh mạng Will Thomas đã đưa ra hướng dẫn đề xuất về cách phòng thủ chủ động chống lại các cuộc tấn công Scattered Spider. Quý độc giả có thể theo dõi tại đây.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN SCATTERED SPIDER OCTO TEMPEST CO-OP RAAS DRAGONFORCE KỸ NGHỆ XÃ HỘI ĐÁNH CẮP DỮ LIỆU MICROSOFT TEAMS
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết