Khủng hoảng Ransomware tại Hàn Quốc: Cách mối đe dọa Qilin phơi bày các lỗ hổng tài chính

Một cuộc tấn công mạng phối hợp nhằm vào lĩnh vực tài chính của Hàn Quốc đã dẫn đến việc đánh cắp dữ liệu chưa từng có và tiết lộ những điểm yếu nghiêm trọng trong an ninh chuỗi cung ứng. Sự cố này, liên quan đến các tác nhân đe dọa tinh vi hoạt động xuyên nhiều khu vực pháp lý, đã xâm phạm 24 tổ chức tài chính và trích xuất hơn 2TB thông tin nhạy cảm.

Sự gia tăng vào tháng 9 năm 2024: Khi các cuộc tấn công vượt quá khả năng phòng thủ

Hàn Quốc đã đối mặt với một đợt tăng đột biến đáng báo động về các vụ ransomware trong tháng 9 năm 2024, với 25 trường hợp được ghi nhận chỉ trong một tháng—một sự khác biệt rõ rệt so với trung bình hàng tháng chỉ khoảng hai vụ. Sự gia tăng đột biến này đã đánh dấu một bước ngoặt quan trọng cho cảnh quan an ninh mạng của quốc gia, nâng Hàn Quốc lên vị trí thứ hai toàn cầu về mục tiêu tấn công ransomware trong năm 2024.

Quy mô của sự xâm phạm thật đáng kinh ngạc: trong tổng số 33 vụ việc được các nhà nghiên cứu an ninh ghi nhận, 24 vụ nhắm vào các tổ chức tài chính, khiến lĩnh vực này trở nên đặc biệt dễ bị tổn thương. Các tác nhân tấn công, hoạt động theo mô hình ransomware như dịch vụ Qilin (RaaS), đã thể hiện khả năng phối hợp nâng cao và chiến lược nhắm mục tiêu chính xác. Điều làm các cuộc tấn công này đặc biệt đáng lo ngại là sự tham gia của nhiều tác nhân đe dọa—một sự kết hợp cho thấy cả mục tiêu tội phạm lẫn gián điệp cấp nhà nước đang phối hợp hoạt động.

Quá trình xảy ra vi phạm: Chuỗi cung ứng là điểm vào

Phương pháp tấn công có vẻ đơn giản nhưng lại cực kỳ hiệu quả: các tác nhân đe dọa đã xâm nhập các nhà cung cấp dịch vụ quản lý (MSPs) phục vụ các tổ chức tài chính. Bằng cách xâm nhập các nhà cung cấp trung gian này, các tác nhân tấn công đã có được các thông tin xác thực hợp pháp và kiến thức hệ thống, cho phép họ di chuyển ngang qua các mạng lưới khách hàng với ít bị phát hiện.

Chiến dịch “Rò rỉ Hàn Quốc” diễn ra qua ba đợt rõ rệt:

Đợt Một (Ngày 14 tháng 9 năm 2024): 10 công ty quản lý tài chính bị xâm phạm, các tập tin bị đánh cắp lần đầu tiên xuất hiện.

Các đợt Hai và Ba (Ngày 17-19 tháng 9 và 28 tháng 9 - 4 tháng 10): Thêm 18 nạn nhân nữa bị xâm phạm, nâng tổng số tổ chức bị xâm phạm qua tất cả các giai đoạn lên 28.

Tổng cộng, các tác nhân đã trích xuất hơn 1 triệu tập tin chứa đựng những tài liệu mà các nhà phân tích an ninh mô tả là có “giá trị tình báo đáng kể”—một phân loại vượt ra ngoài dữ liệu tài chính thông thường để bao gồm các tài liệu có ý nghĩa địa chính trị rộng lớn hơn.

Các tác nhân đe dọa đứng sau hoạt động này

Nhóm ransomware Qilin hoạt động như một tập thể có nguồn gốc từ Nga, vận hành theo mô hình RaaS, trong đó các nhà phát triển cốt lõi cung cấp hạ tầng và hỗ trợ đòi tiền chuộc cho các tác nhân đe dọa liên kết. Nhóm này duy trì chính sách cố ý tránh một số khu vực địa lý nhất định, thể hiện qua phạm vi hoạt động tập trung vào các mục tiêu cụ thể.

Điều làm chiến dịch này đặc biệt khác biệt là bằng chứng cho thấy sự tham gia của các tác nhân đe dọa bổ sung ngoài mạng lưới Qilin truyền thống—các tác nhân được cho là có liên hệ với các mục tiêu cấp nhà nước. Sự hội tụ của các hoạt động RaaS tội phạm với các mục đích thu thập tình báo rõ ràng đã tạo ra một hồ sơ đe dọa lai tạo, nâng cao rủi ro vượt quá các kịch bản đòi tiền chuộc thông thường.

Các tác nhân đã sử dụng một câu chuyện kiểu tuyên truyền, mô tả việc đánh cắp dữ liệu như một nỗ lực chống tham nhũng. Trong một số trường hợp, các tài liệu bị đánh cắp bị xuyên tạc thành bằng chứng tham nhũng hoặc các hoạt động không đúng đắn, một chiến thuật xã hội kỹ thuật nhằm biện minh cho việc công khai dữ liệu và có thể làm phức tạp phản ứng của các nạn nhân.

Ngành tài chính đang ở mức nguy hiểm nghiêm trọng

24 tổ chức tài chính bị xâm phạm bao gồm các công ty quản lý tài sản, hoạt động ngân hàng và các nhà cung cấp dịch vụ tài chính liên quan. Việc xâm phạm GJTec, một nhà cung cấp dịch vụ lớn, đã lan rộng qua hơn 20 nhà quản lý tài sản—một điểm yếu cố định cho thấy mức độ dễ tổn thương hệ thống trong cách các tổ chức tài chính phụ thuộc vào hạ tầng của bên thứ ba.

2TB dữ liệu bị đánh cắp không chỉ đe dọa từng tổ chức riêng lẻ mà còn đe dọa sự ổn định của thị trường. Các tác nhân đe dọa đã đe dọa rõ ràng sẽ làm gián đoạn thị trường chứng khoán Hàn Quốc thông qua các đợt phát hành dữ liệu chiến lược liên quan đến cáo buộc thao túng thị trường và tham nhũng tổ chức—những mối đe dọa thể hiện sự hiểu biết về cách tiết lộ thông tin có mục tiêu có thể tạo ra sự gián đoạn thị trường.

Tại sao điều này lại quan trọng đối với hệ sinh thái tài chính rộng lớn hơn

Sự cố này làm nổi bật một điểm yếu nghiêm trọng trong cách hạ tầng tài chính, bao gồm các nền tảng hỗ trợ giao dịch tiền điện tử và tài sản kỹ thuật số, phụ thuộc vào các nhà cung cấp dịch vụ liên kết. Một cuộc xâm phạm ảnh hưởng đến một MSP có thể lan rộng qua hàng chục tổ chức tài chính cùng lúc, tạo ra rủi ro hệ thống vượt quá tác động của từng tổ chức riêng lẻ.

Đối với các tổ chức hoạt động trong hoặc gần thị trường tài chính Hàn Quốc—bao gồm các nền tảng trao đổi tiền điện tử và dịch vụ fintech—những hậu quả là ngay lập tức: các điểm yếu trong chuỗi cung ứng có thể bị khai thác để truy cập dữ liệu khách hàng nhạy cảm, thông tin giao dịch và hồ sơ tổ chức.

Củng cố phòng thủ: Các khuyến nghị thực tế

Các chuyên gia an ninh và các tổ chức phòng thủ có thể thực hiện một số biện pháp để giảm thiểu các rủi ro tương tự:

Hành động ngay lập tức:

• Thực hiện kiểm tra kỹ lưỡng tất cả các nhà cung cấp dịch vụ quản lý, bao gồm kiểm tra an ninh và quy trình phản ứng sự cố
• Triển khai xác thực đa yếu tố trên tất cả các hệ thống quan trọng và điểm truy cập quản trị
• Áp dụng phân đoạn mạng để giới hạn khả năng di chuyển ngang ngay cả khi xảy ra xâm phạm ban đầu

Các biện pháp chiến lược:

• Thiết lập nguyên tắc kiến trúc zero-trust, trong đó mọi yêu cầu truy cập đều phải xác thực bất kể nguồn gốc
• Thường xuyên tiến hành kiểm thử xâm nhập mô phỏng các vector tấn công chuỗi cung ứng
• Nâng cao đào tạo nhân viên về cách nhận diện các nỗ lực xã hội kỹ thuật và hoạt động đáng ngờ của tài khoản
• Thực hiện giám sát liên tục các chỉ số liên quan đến hoạt động RaaS và các mẫu trích xuất dữ liệu bất thường

Sẵn sàng phản ứng:

• Phát triển các kịch bản phản ứng sự cố riêng cho các tình huống ransomware
• Thiết lập các quy trình sao lưu và khôi phục dữ liệu nhanh để giảm thiểu thời gian chết
• Xây dựng các quy trình truyền thông để thông báo cho cơ quan quản lý và minh bạch với các bên liên quan

Nhìn về phía trước: Bức tranh mối đe dọa đang tiến hóa

Qilin duy trì hoạt động tích cực với các nạn nhân tiếp tục xuất hiện đến năm 2025, chiếm khoảng 29% các vụ ransomware toàn cầu đã được ghi nhận. Hiệu quả hoạt động, độ tinh vi kỹ thuật và mối quan hệ rõ ràng với các tác nhân cấp nhà nước của nhóm này khiến nó trở thành một mối đe dọa dai dẳng đối với hạ tầng tài chính quan trọng.

Sự cố tại Hàn Quốc là một nghiên cứu điển hình quan trọng cho thấy cách các điểm yếu trong chuỗi cung ứng, mục tiêu do nhà nước tài trợ và hoạt động RaaS tội phạm có thể hội tụ để tạo ra tác động không cân xứng đối với sự ổn định tài chính quốc gia. Các tổ chức phải nhận thức rằng việc duy trì an ninh cá nhân là chưa đủ—cần có các cải tiến an ninh tập thể trên toàn bộ hệ sinh thái dịch vụ để đảm bảo khả năng chống chịu.

Con đường phía trước đòi hỏi đầu tư bền vững vào năng lực phòng thủ, chia sẻ thông tin mối đe dọa chủ động và nhận thức rằng các tổ chức tài chính hoạt động trong các mạng lưới liên kết phải chịu trách nhiệm chung về an ninh hệ sinh thái. Chỉ bằng các chiến lược phòng thủ toàn diện, phối hợp mới có thể giảm thiểu các rủi ro ngày càng tăng do các tác nhân đe dọa tinh vi hoạt động tại giao điểm của tội phạm mạng và căng thẳng địa chính trị.