Tin tặc Nga và Triều Tiên đã đánh cắp 2 TB dữ liệu từ các ngân hàng Hàn Quốc

Ngành tài chính Hàn Quốc đã bị tấn công bởi một trong những cuộc tấn công mạng gây thiệt hại nghiêm trọng nhất trong những năm gần đây. Theo công ty an ninh mạng Bitdefender, quốc gia này đã trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng có phối hợp liên quan đến các tác nhân đe dọa liên kết với Nga và Triều Tiên, dẫn đến việc triển khai ransomware Qilin và đánh cắp hơn 2 terabyte dữ liệu từ 28 nạn nhân, hầu hết trong số đó thuộc ngành dịch vụ tài chính. Các nhà điều tra đã phát hiện rằng cuộc tấn công không phải là một sự cố đơn lẻ mà là một phần của một chiến dịch rộng lớn, đa giai đoạn được gọi là Korean Leaks, kết hợp các kỹ thuật ransomware tiên tiến với tuyên truyền chính trị và khai thác có mục tiêu các lỗ hổng trong chuỗi cung ứng.

Một Cơn Tăng Đột Ngột: Từ 2 Sự Cố Mỗi Tháng Đến 25 Vào Tháng 9 Bitdefender bắt đầu điều tra sau khi phát hiện một sự gia tăng bất thường trong hoạt động ransomware vào tháng Chín:

Trong tháng đó, đã có 25 vụ ransomware được báo cáo, so với hai vụ sự cố hàng tháng thông thường được ghi nhận giữa tháng 9 năm 2024 và tháng 8 của năm nay. Trong số các cuộc tấn công này, 24 cuộc tấn công nhằm vào các tổ chức tài chính, điều này cho thấy mức độ lập kế hoạch và phối hợp cao. Theo dữ liệu mới nhất, Hàn Quốc hiện là quốc gia bị tấn công bằng ransomware nhiều thứ hai trên thế giới — chỉ sau Hoa Kỳ.

Qilin: Một trong những Nhóm Ransomware Hung Hãn Nhất Năm 2024 Nhóm ransomware Qilin, hoạt động dưới mô hình Ransomware-as-a-Service, là một trong những tác nhân đe dọa hoạt động tích cực nhất trong năm. Chỉ trong tháng Mười, Qilin đã gây ra hơn 180 nạn nhân, và theo NCC Group, nhóm này đứng sau 29% tất cả các cuộc tấn công ransomware toàn cầu. Phân tích của Bitdefender cho thấy Qilin có nguồn gốc từ Nga: thành viên sáng lập BianLian giao tiếp bằng tiếng Nga và tiếng Anh, hoạt động trên các diễn đàn tội phạm mạng tiếng Nga, và nhóm này tránh tấn công các tổ chức ở các nước CIS — một quy tắc phổ biến trong các tập đoàn tội phạm mạng Nga. Cấu trúc nội bộ của Qilin được tổ chức rất tốt: nó tuyển dụng các hacker bên ngoài để thực hiện các cuộc tấn công, các nhà điều hành cốt lõi nhận một phần trăm từ các khoản thanh toán tiền chuộc, và nhóm này thậm chí còn duy trì một “đội ngũ nhà báo nội bộ” để soạn thảo các thông điệp tống tiền và tuyên truyền cho nền tảng rò rỉ của mình. Tuyên truyền và Chiến tranh Tâm lý: Tin tặc giả mạo là “Nhà hoạt động” Báo cáo về rò rỉ Hàn Quốc của Bitdefender cho thấy chiến dịch này không phải là một hoạt động ransomware tiêu chuẩn. Những kẻ tấn công đã kết hợp tội phạm mạng với thông điệp chính trị, sử dụng: ngôn ngữ kiểu nhà hoạt động, tư tưởng yêu nước và chủ nghĩa dân tộc, và những đề cập lặp đi lặp lại đến việc chia sẻ dữ liệu bị đánh cắp với lãnh đạo Triều Tiên. Một thông tin rò rỉ cho biết: “Một báo cáo về các tài liệu được phát hiện đang được chuẩn bị cho Đồng chí Kim Jong-un.” Sự kết hợp giữa tuyên truyền và các chiến thuật ransomware cho thấy một hoạt động lai mà vượt ra ngoài động cơ tội phạm thông thường.

Ba đợt tấn công: Hơn 1 triệu tệp và 2 TB dữ liệu bị đánh cắp Chiến dịch Korean Leaks diễn ra trong ba làn sóng khác nhau: 14 tháng 9 – làn sóng đầu tiên nhắm vào 10 công ty quản lý tài chính 17–19 tháng 9 – làn sóng thứ hai thêm 9 nạn nhân nữa 28 tháng 9 – 4 tháng 10 – làn sóng thứ ba nhắm vào 9 tổ chức bổ sung Tổng cộng, những kẻ tấn công đã đánh cắp hơn 1 triệu tệp và 2 TB dữ liệu nhạy cảm.

Bốn tên công ty bổ sung đã bị xóa sau đó khỏi trang rò rỉ của Qilin, có thể do các khoản thanh toán tiền chuộc hoặc quyết định nội bộ của các nhà điều hành. Trong làn sóng thứ hai, các hacker đã đưa ra một mối đe dọa rùng rợn: “Chúng tôi có dữ liệu sẽ gây tổn thất nghiêm trọng cho toàn bộ thị trường Hàn Quốc. Nếu không thanh toán, chúng tôi sẽ công bố nó.”

Lỗ Hổng Chuỗi Cung Ứng: Điểm Vào Cốt Lõi Theo báo cáo từ JoongAng Daily, hơn 20 công ty quản lý tài sản đã bị xâm phạm sau khi tin tặc tấn công GJTec, một nhà cung cấp dịch vụ được quản lý.

Điều này một lần nữa nhấn mạnh cách mà các cuộc tấn công vào chuỗi cung ứng có thể khuếch đại thiệt hại trên toàn bộ một lĩnh vực.

Kết luận: Một hoạt động hybrid kết hợp các kỹ thuật của Nga và thông điệp của Triều Tiên Cuộc tấn công Korean Leaks đứng trong số những hoạt động ransomware quan trọng nhất năm nay — không chỉ vì khối lượng dữ liệu bị đánh cắp, mà còn do tính chất lai của chiến dịch, kết hợp giữa ransomware, chiến thuật ảnh hưởng chính trị và khai thác hệ thống những điểm yếu trong chuỗi cung ứng. Các chuyên gia cảnh báo rằng sự cố này là một lời nhắc nhở rõ ràng về một xu hướng toàn cầu đang gia tăng:

các nhóm mạng liên kết với nhà nước đang ngày càng ưu tiên việc xâm nhập chuỗi cung ứng như một vector tấn công chính.

#cyberattack , #An ninh mạng , #russia , #An ninh toàn cầu , #Tin tức Crypto

Đi trước một bước – theo dõi hồ sơ của chúng tôi và cập nhật thông tin về mọi điều quan trọng trong thế giới tiền điện tử! Thông báo: ,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được coi là lời khuyên tài chính, đầu tư, hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng việc đầu tư vào tiền điện tử có thể rủi ro và có thể dẫn đến thiệt hại tài chính.“