23pds — CISO của SlowMist — thông tin một cá nhân 19 tuổi thuộc nhóm ransomware Scattered Spider bị Bộ Tư pháp Hoa Kỳ bắt, bị cáo buộc thu khoảng 920,16 BTC từ các cuộc tấn công đòi tiền chuộc.
Nhóm này không khai thác lỗ hổng zero-day hay dùng mã độc mới, mà thực hiện thu thập thông tin (OSINT) từ LinkedIn, trang nhà đầu tư và gọi tới bộ phận hỗ trợ kỹ thuật để tạo lòng tin trước khi xâm nhập.
- Bị bắt: một thành viên 19 tuổi của Scattered Spider, bị cáo buộc thu khoảng 920,16 BTC.
- Phương thức: không dựa trên zero-day, dùng OSINT và social engineering qua cuộc gọi tới help desk.
- Phòng ngừa: củng cố quy trình xác thực help desk, MFA, hạn chế dữ liệu công khai và đào tạo nhân viên.
Tóm tắt vụ bắt và cáo buộc
Bộ Tư pháp Hoa Kỳ đã bắt một cá nhân 19 tuổi và cáo buộc liên quan tới các hoạt động ransomware của nhóm Scattered Spider, với khoản tiền chuộc được cho là khoảng 920,16 BTC.
Thông tin này do 23pds — CISO của SlowMist — đăng tải trên nền tảng X, mô tả các cáo buộc và phương thức tấn công liên quan tới nhóm. Các chi tiết điều tra tòa án được nêu là cơ sở cho cáo buộc.
Phương thức tấn công của Scattered Spider
Nhóm không khai thác zero-day hay phát triển mã độc mới; họ thực hiện thu thập thông tin cơ bản từ mạng social và website công ty, sau đó gọi giả danh để tạo lòng tin với bộ phận hỗ trợ.
Chiến thuật này dựa vào social engineering: sử dụng thông tin công khai để xác định mục tiêu và cá nhân liên quan, rồi lợi dụng các kênh hỗ trợ ít kiểm soát để chiếm quyền truy cập hoặc kích hoạt hành vi dẫn tới tấn công.
Hệ quả và khuyến nghị cho doanh nghiệp
Doanh nghiệp cần coi cuộc gọi tới help desk là điểm tấn công trọng yếu và thiết kế quy trình xác thực chặt để ngăn lừa đảo qua điện thoại hoặc chat hỗ trợ.
Biện pháp thực tiễn: áp dụng xác thực đa yếu tố cho truy cập nhạy cảm, giới hạn thông tin cá nhân công khai, đào tạo nhân viên nhận diện social engineering và giám sát nhật ký truy cập để phát hiện hành vi bất thường.
Scattered Spider là nhóm như thế nào?
Scattered Spider được biết đến với tấn công dựa trên social engineering, khai thác thông tin công khai để giả danh và lừa bộ phận hỗ trợ nhằm truy cập hệ thống.
Tại sao help desk bị nhắm mục tiêu?
Bộ phận hỗ trợ thường có quyền trợ giúp truy cập hoặc đặt lại mật khẩu; kẻ tấn công lợi dụng kẽ hở trong quy trình xác thực để chiếm quyền hoặc tạo backdoor.
Doanh nghiệp nên làm bước đầu tiên nào?
Kiểm soát ngay quy trình xác thực của help desk: yêu cầu bằng chứng nhiều yếu tố, ghi nhận cuộc gọi, và huấn luyện nhân viên về dấu hiệu social engineering.
