Phần mềm tống tiền tổ chức Qilin phát động cuộc tấn công chuỗi cung ứng "Korean Leaks" vào ngành tài chính Hàn Quốc! 28 doanh nghiệp bị ảnh hưởng, 2TB dữ liệu nhạy cảm bị rò rỉ.

Qilin, một tổ chức ransomware khét tiếng, đã phát động một cuộc tấn công chuỗi cung ứng có tên mã là “Korean Leaks” bằng cách xâm nhập thành công GJTec, một nhà cung cấp dịch vụ lưu trữ CNTT ở Hàn Quốc, đã đánh cắp 28 tổ chức tài chính Hàn Quốc trong một lần, tổng cộng hơn 1 triệu tệp và 2TB dữ liệu nhạy cảm. (Tóm tắt nội dung: Công ty bảo mật: Tin tặc Triều Tiên đã xâm nhập vào 15 ~ 20% các công ty tiền điện tử) (Bổ sung cơ bản: Dự án AI Cầu nối chuỗi chéo Port3 đã bị vi phạm: tin tặc in 1 tỷ đồng tiền và bán đi, giá tiền xu giảm 80%) Theo The Hacker News, tổ chức ransomware khét tiếng Qilin đã phát động một cuộc tấn công chuỗi cung ứng có tên mã là “Korean Leaks” bằng cách xâm nhập thành công GJTec, một nhà cung cấp dịch vụ lưu trữ CNTT ở Hàn Quốc và thực hiện 28 đồng thời Tổng cộng hơn 1 triệu tệp và 2TB thông tin nhạy cảm đã bị đánh cắp từ các tổ chức tài chính Hàn Quốc. Đây là cuộc khủng hoảng mạng tồi tệ nhất đối với lĩnh vực tài chính Hàn Quốc kể từ năm 2025. Ai là kẻ giết người? Nạn nhân là ai? Chủ mưu là nhóm ransomware nổi tiếng quốc tế Qilin (còn được gọi là Agenda), một nhóm ransomware-as-a-service (RaaS) cực kỳ tích cực, rất có thể có nguồn gốc Nga đằng sau nó, nhưng họ tự gọi mình là “các nhà hoạt động chính trị”. Năm nay, Qilin đã trở thành nhóm ransomware tích cực nhất trên thế giới, tuyên bố đã tấn công hơn 180 mục tiêu chỉ trong tháng 10. Đặc biệt, hoạt động này có khả năng liên quan đến nhóm hacker do nhà nước Triều Tiên (Triều Tiên) hậu thuẫn “Moonstone Sleet”, tạo thành mô hình chung hiếm hoi của “nhóm tội phạm + hacker nhà nước”. Các nạn nhân đều là các công ty quản lý tài sản của Hàn Quốc, bao gồm LX, Human, Bridge, Majesty và các nhà khai thác nổi tiếng khác, tổng cộng 28. Tin tặc không chỉ mã hóa máy tính của các công ty nạn nhân mà còn đánh cắp thông tin khách hàng, email nội bộ, danh mục đầu tư và thậm chí cả bằng chứng bị nghi ngờ có liên quan đến thao túng thị trường chứng khoán. Tin tặc làm điều đó như thế nào? Theo cuộc điều tra, tin tặc chỉ xâm nhập vào một nhà cung cấp dịch vụ CNTT có tên là GJTec, chuyên giúp các tổ chức tài chính vừa và nhỏ quản lý máy tính, sao lưu dữ liệu và duy trì hệ thống. Sau khi GJTec bị tấn công, tin tặc đã trực tiếp đăng nhập vào hệ thống của 28 khách hàng, triển khai ransomware Qilin và bắt đầu tống tiền kép: tiết lộ dữ liệu mà không trả tiền + phá hủy hệ thống. Điều đáng nói là toàn bộ hoạt động đã rò rỉ dữ liệu trên dark web thành ba đợt: Làn sóng đầu tiên: 14/9/2025, 10 nạn nhân Làn sóng thứ hai: 17-19/9/2025, 9 nạn nhân Làn sóng thứ ba: 28/9-4/10/2025, 9 nạn nhân Điều đáng chú ý là khi tin tặc rò rỉ dữ liệu trong hai đợt đầu tiên, chúng đầy tuyên truyền chính trị, tuyên bố “vạch trần tham nhũng tài chính ở Hàn Quốc”, “có thể ảnh hưởng nặng nề đến thị trường chứng khoán Hàn Quốc”, thậm chí còn nêu tên “các nhân vật chính trị và kinh doanh nổi tiếng”. Chỉ trong làn sóng thứ ba, giọng điệu tống tiền truyền thống mới được khôi phục, cho thấy rằng các lực lượng khác nhau có thể đang thao túng thông điệp đằng sau nó. Cuộc tấn công này nghiêm trọng như thế nào? 2TB dữ liệu nghe có vẻ trừu tượng, nhưng nó có nghĩa là hàng triệu hợp đồng, số ID khách hàng, tài khoản ngân hàng và hồ sơ đầu tư đều bị đánh cắp. Một khi tất cả chúng thực sự được công khai, chúng có thể gây ra những hậu quả nghiêm trọng, bao gồm: Rò rỉ thông tin cá nhân của khách hàng dẫn đến gian lận và đánh cắp danh tính Bằng chứng thao túng thị trường chứng khoán bị lộ, gây hoảng loạn thị trường và thậm chí là thảm họa thị trường chứng khoán Các tổ chức tài chính bị các đơn vị quản lý phạt nặng, và khách hàng cùng yêu cầu bồi thường Danh tiếng tài chính tổng thể của Hàn Quốc bị tổn hại, đầu tư nước ngoài bị ngăn cản Nguy hiểm hơn, điều này cho thấy “tấn công chuỗi cung ứng” đã trở thành mục yêu thích mới của tin tặc: không chiến đấu từng cái một, chỉ cần bạn đột phá các nhà cung cấp dịch vụ CNTT ở giữa, bạn có thể thu hoạch hàng chục, thậm chí hàng trăm doanh nghiệp cùng một lúc, với chi phí thấp và lợi nhuận cao. Doanh nghiệp nói chung tự bảo vệ mình như thế nào? Đối mặt với cuộc tấn công này, các biện pháp sau có thể được thực hiện để tránh xâm nhập một cách hiệu quả: Đảm bảo ký “điều khoản trách nhiệm bảo mật” với tất cả các nhà cung cấp CNTT bên ngoài, yêu cầu họ buộc xác thực đa yếu tố (MFA) và tiến hành quét lỗ hổng thường xuyên. Đừng đặt tất cả các thông tin quan trọng trong cùng một hệ thống, hãy sử dụng “nguyên tắc đặc quyền tối thiểu”: ai không cần xem nó sẽ không hiển thị nó. Dữ liệu quan trọng phải được “sao lưu bên ngoài” và “lưu trữ ngoại tuyến”, ngay cả khi tin tặc mã hóa máy chủ. Thường xuyên mô phỏng các cuộc diễn tập “nhà cung cấp bị tấn công” để xem liệu bạn có thể nhanh chóng ngắt kết nối và khôi phục hệ thống của mình hay không. Các báo cáo liên quan: DWF Labs được đồn đại là đã bị tin tặc Triều Tiên cướp bóc 44 triệu đô la, nhưng nó đã được che giấu cho đến nay! ZachXBT: Không có gì đáng ngạc nhiên về một vụ hack giao thức DeFi khác? Thỏa thuận cho vay Moonwell bị nghi bị hack, mất hơn 1 triệu USD Chết cười! Tin tặc UXLINK đã đánh cắp 11,3 triệu đô la Mỹ nhưng bị tấn công bởi lừa đảo, và vòng tròn tiền tệ là màu đen và không thể ngăn chặn được [Tổ chức ransomware Qilin đã phát động một cuộc tấn công chuỗi cung ứng “rò rỉ Hàn Quốc” vào ngành tài chính Hàn Quốc! 28 nhà khai thác được tuyển dụng, dữ liệu nhạy cảm 2TB bị rò rỉ" Bài viết này được xuất bản lần đầu tiên trong “Xu hướng động - Phương tiện truyền thông tin tức blockchain có ảnh hưởng nhất” của BlockTempo.