Chiến dịch ransomware Qilin leo thang tại Hàn Quốc: Các diễn viên Nga và Hàn Quốc đứng sau sự tàn phá ngành tài chính

Tháng 9 năm 2024 đánh dấu một bước ngoặt quan trọng khi các cuộc tấn công ransomware Qilin tại Hàn Quốc tăng vọt lên 25 vụ—một mức tăng gấp 12 lần so với trung bình hàng tháng thông thường là hai vụ. Chiến dịch phối hợp này, do các cybercriminal Nga và các tác nhân đe dọa liên kết với Hàn Quốc tổ chức, đã xâm phạm 24 tổ chức tài chính và dẫn đến việc trộm hơn 2TB dữ liệu nhạy cảm cao.

Cấu trúc của vụ vi phạm lớn nhất trong lĩnh vực tài chính tại Hàn Quốc

Theo Báo cáo Đánh giá Mối đe dọa Tháng 10 năm 2024 của Bitdefender, hoạt động Qilin đại diện cho một mô hình đe dọa lai pha trộn giữa ransomware-as-a-service (RaaS) hạ tầng với mục tiêu gián điệp do nhà nước tài trợ. Các nhà nghiên cứu an ninh đã xác định tổng cộng 33 vụ việc trong năm 2024, phần lớn tập trung trong một giai đoạn ba tuần tàn khốc bắt đầu từ ngày 14 tháng 9.

Phương thức tấn công rất đơn giản nhưng cực kỳ hiệu quả: các tác nhân đe dọa xâm nhập các nhà cung cấp dịch vụ quản lý (MSPs) đóng vai trò trung gian hạ tầng quan trọng cho các ngân hàng và công ty tài chính Hàn Quốc. Bằng cách xâm phạm các MSP này, kẻ tấn công có được quyền truy cập đặc quyền vào hàng chục khách hàng phía dưới cùng một lúc—một chiến lược tấn công chuỗi cung ứng mà gần như không thể bị phát hiện độc lập bởi các tổ chức tài chính riêng lẻ.

Phân tích của Bitdefender cho thấy dữ liệu bị rò rỉ diễn ra theo ba đợt phối hợp. Lần vi phạm đầu tiên vào ngày 14 tháng 9 năm 2024, đã tiết lộ các tập tin từ 10 công ty quản lý tài chính. Hai đợt rò rỉ tiếp theo trong khoảng từ ngày 17-19 tháng 9 và từ ngày 28 tháng 9 đến 4 tháng 10 đã thêm 18 nạn nhân nữa, tổng cộng khoảng 1 triệu tập tin chứa các ước tính tình báo quân sự, bản thiết kế kinh tế và hồ sơ công ty bí mật.

Liên minh đe dọa Nga-Hàn và những tác động của nó

Nhóm Qilin hoạt động từ đất Nga, với các thành viên sáng lập hoạt động trên các diễn đàn tội phạm mạng bằng tiếng Nga dưới các biệt danh như “BianLian.” Tuy nhiên, chiến dịch tại Hàn Quốc mang đặc trưng rõ rệt của sự tham gia của Bắc Triều Tiên, đặc biệt liên kết hoạt động này với nhóm tác nhân đe dọa Moonstone Sleet nổi tiếng với các hoạt động gián điệp qua mạng.

Liên minh này đã biến một kế hoạch tống tiền tài chính đơn thuần thành một hoạt động thu thập tình báo đa mục tiêu. Các hacker công khai biện hộ cho việc rò rỉ dữ liệu bằng cách tuyên bố các tài liệu bị đánh cắp có giá trị “chống tham nhũng”—một chiến thuật tuyên truyền nhằm che giấu việc thu thập tình báo cấp nhà nước. Trong một trường hợp đáng chú ý, hacker còn đề cập đến việc chuẩn bị các báo cáo tình báo cho lãnh đạo nước ngoài dựa trên các bản thiết kế cầu và nhà máy LNG bị đánh cắp.

Việc nhắm vào trung tâm tài chính của Hàn Quốc không phải là ngẫu nhiên. Nước này xếp thứ hai thế giới về số vụ ransomware trong năm 2024, với cơ sở hạ tầng ngân hàng tinh vi khiến nó trở thành mục tiêu hấp dẫn cho cả tội phạm thương mại và các tác nhân nhà nước tìm kiếm thông tin kinh tế.

Ảnh hưởng đến thị trường tài chính và hệ sinh thái Crypto

Việc trộm 2TB dữ liệu đặt ra các rủi ro phía sau cho các sàn giao dịch tiền điện tử và nền tảng fintech dựa vào hạ tầng ngân hàng truyền thống. Các hồ sơ tài chính bị xâm phạm, tài liệu KYC và dữ liệu giao dịch có thể bị lợi dụng để thao túng thị trường, trốn tránh quy định hoặc lừa đảo nhắm vào các nhà giao dịch crypto và nhà đầu tư tổ chức.

Nhóm NCC xác nhận rằng Qilin hiện chiếm 29% các vụ ransomware toàn cầu, với hơn 180 nạn nhân bị cáo buộc trong tháng 10 năm 2024. Khả năng của nhóm này trong việc kiếm tiền từ các vụ vi phạm qua các yêu cầu đòi tiền chuộc trung bình hàng triệu đô la tạo ra áp lực liên tục buộc các nạn nhân phải tuân thủ—thường trước khi dữ liệu được đưa lên các diễn đàn rò rỉ công khai.

Các biện pháp phòng thủ và tư thế an ninh đề xuất

Các tổ chức tài chính trong khu vực cần ngay lập tức thực hiện một số biện pháp bảo vệ quan trọng sau:

Xác minh & Giám sát MSP: Thiết lập các quy trình đánh giá nhà cung cấp nghiêm ngặt và giám sát liên tục quyền truy cập của bên thứ ba. Kiến trúc zero-trust xem tất cả lưu lượng mạng là đáng ngờ—bất kể nguồn gốc—đã chứng minh là cần thiết để hạn chế di chuyển ngang.

Phân đoạn mạng: Nếu các ngân hàng Hàn Quốc phân tách đúng cách các hệ thống quan trọng khỏi các mạng truy cập MSP, việc rò rỉ 2TB dữ liệu sẽ bị hạn chế đáng kể. Phân đoạn tạo ra trở ngại giúp mua thời gian phát hiện và phản ứng sự cố.

Tăng tốc phản ứng sự cố: Triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR) với phân tích hành vi. Cơ chế phân phối của Qilin dựa trên việc thiết lập các lối backdoor tồn tại lâu dài—các công cụ như bộ phần mềm bảo mật điểm cuối của Bitdefender có thể xác định các quá trình bất thường trước khi các tập tin bị mã hóa.

Đào tạo nhân viên: Việc xâm nhập MSP ban đầu có thể xuất phát từ phishing hoặc trộm cắp thông tin xác thực. Các mô phỏng tấn công thường xuyên và đào tạo nhận thức về an ninh giúp giảm thiểu các yếu tố dễ bị tấn công của con người.

Tác động chiến lược đối với ngành công nghiệp Crypto

Chiến dịch Qilin-Hàn Quốc cho thấy ransomware đã tiến hóa vượt ra ngoài hình thức tống tiền đơn thuần thành một mối đe dọa lai kết hợp hiệu quả tội phạm mạng với mục tiêu gián điệp cấp nhà nước. Sự tham gia của các tác nhân Hàn Quốc báo hiệu rằng căng thẳng địa chính trị ngày càng thể hiện qua các cuộc tấn công hạ tầng số nhắm vào lĩnh vực tài chính.

Các nền tảng tiền điện tử hoạt động tại hoặc phục vụ khách hàng Hàn Quốc đối mặt với rủi ro cao hơn từ cả các cuộc tấn công ransomware trực tiếp và sự xâm phạm gián tiếp qua các nhà cung cấp dịch vụ tài chính. Việc trộm 2TB dữ liệu có thể bao gồm hồ sơ khách hàng, mẫu giao dịch và các mối quan hệ tổ chức mà các tác nhân nước ngoài có thể khai thác để nhắm mục tiêu chọn lọc.

Thời gian để hành động phòng thủ đang thu hẹp. Các tổ chức không thực hiện các biện pháp an ninh chuỗi cung ứng và phân đoạn mạng trong quý này có thể đối mặt với các vụ vi phạm tương tự trong những tháng tới khi các tác nhân đe dọa tiếp tục khảo sát hạ tầng tài chính Hàn Quốc.

Như Báo cáo tháng 10 năm 2024 của Bitdefender kết luận: “Chiến dịch này nhấn mạnh sự hội tụ ngày càng phát triển của tội phạm mạng và mục tiêu địa chính trị trong các lĩnh vực tài chính quan trọng. Tính chất lai của các mối đe dọa đòi hỏi các chiến lược phòng thủ lai kết hợp kiểm soát kỹ thuật, quản lý nhà cung cấp và tích hợp tình báo mối đe dọa.”