Phần mềm tống tiền Qilin tấn công 28 công ty tài chính Hàn Quốc thông qua tấn công chuỗi cung ứng

Tóm tắt điều hành

Nhóm ransomware Qilin đã thực hiện một cuộc tấn công chuỗi cung ứng quy mô lớn nhắm vào lĩnh vực tài chính Hàn Quốc, dẫn đến việc rò rỉ dữ liệu ảnh hưởng đến 28 tổ chức. Bằng cách xâm phạm một nhà cung cấp dịch vụ được quản lý (MSP) duy nhất, những kẻ tấn công đã đánh cắp hơn 2 terabyte dữ liệu. Hoạt động này, được mệnh danh là "Vụ rò rỉ Hàn Quốc", được công khai đóng khung như một nỗ lực để phơi bày tham nhũng có hệ thống, với nghiên cứu cho thấy khả năng có sự tham gia của các tác nhân liên kết với nhà nước Triều Tiên.

Chi tiết sự kiện

Vụ vi phạm bắt đầu thông qua việc xâm phạm một Nhà cung cấp dịch vụ được quản lý (MSP) giấu tên, cung cấp cho những kẻ tấn công một cổng vào mạng của khách hàng. Vector chuỗi cung ứng này đã cho phép nhóm Qilin, hoạt động trên mô hình Ransomware-as-a-Service (RaaS), đồng thời xâm nhập 28 công ty tài chính riêng biệt. Những kẻ tấn công tuyên bố đã đánh cắp hơn 1 triệu tài liệu, tổng cộng hơn 2TB dữ liệu.

Trong các tuyên bố công khai, nhóm đã đóng khung cuộc tấn công như một dịch vụ công, nói rõ ý định phát hành các tệp có thể là "bằng chứng thao túng thị trường chứng khoán" và nêu tên "các chính trị gia và doanh nhân nổi tiếng ở Hàn Quốc". Chiến dịch kết thúc bằng một bài đăng tuyên bố các cuộc tấn công đã kết thúc và khẳng định rằng các nạn nhân là một phần của "một mạng lưới lừa đảo", chuyển trách nhiệm điều tra cho chính quyền Hàn Quốc.

Phân tích và quy kết tấn công

Sự cố này được định nghĩa bởi bản chất hỗn hợp của nó, kết hợp khả năng của một nhóm RaaS lớn với các động cơ địa chính trị tiềm tàng. Phân tích cho thấy khả năng hợp tác với Moonstone Sleet, một nhóm tin tặc được cho là có liên kết với Triều Tiên. Điều này nâng tầm sự kiện từ một cuộc tấn công ransomware thông thường có động cơ tài chính thành một chiến dịch chiến tranh thông tin có khả năng bị ảnh hưởng bởi nhà nước.

Phân tích kỹ thuật từ công ty an ninh mạng Darktrace về các cuộc tấn công Qilin tương tự đã xác định lưu lượng mạng bất thường, bao gồm hoạt động Server Message Block (SMB) và DCE-RPC bất thường, sử dụng Remote Desktop Protocol (RDP) khối lượng lớn và kết nối với các máy chủ command-and-control (C2) đã biết. Mô hình RaaS được Qilin sử dụng cho phép các cuộc tấn công tinh vi, quy mô lớn như vậy bằng cách cung cấp công cụ và cơ sở hạ tầng cho các chi nhánh.

Tác động thị trường

Hậu quả tức thời đối với thị trường tài chính Hàn Quốc là một đòn giáng mạnh vào uy tín thể chế và niềm tin của nhà đầu tư. Vụ vi phạm đã phơi bày những lỗ hổng nghiêm trọng trong sự phụ thuộc của ngành vào các nhà cung cấp dịch vụ bên thứ ba, điều này dự kiến sẽ gây ra sự giám sát chặt chẽ của cơ quan quản lý đối với các giao thức quản lý rủi ro nhà cung cấp. Câu chuyện của những kẻ tấn công, cáo buộc tham nhũng và thao túng thị trường, được thiết kế để làm xói mòn thêm lòng tin của công chúng vào hệ thống tài chính.

Thiệt hại tài chính sẽ vượt ra ngoài bất kỳ khoản thanh toán tiền chuộc tiềm năng nào, bao gồm chi phí liên quan đến ứng phó sự cố, điều tra pháp y, khắc phục hệ thống và các khoản phạt quy định tiềm năng. Việc nhắm mục tiêu vào một MSP làm tăng khả năng rủi ro hệ thống, vì một điểm lỗi duy nhất có thể làm tổn hại đến một loạt các tổ chức liên kết.

Bối cảnh rộng hơn

Sự kiện "Vụ rò rỉ Hàn Quốc" là một phần của xu hướng gia tăng các cuộc tấn công mạng phức tạp nhắm vào cơ sở hạ tầng quan trọng. Mặc dù năm 2025 đã chứng kiến nhiều vụ vi phạm dữ liệu tại các công ty như Ticketmaster và OpenSea, cuộc tấn công này nổi bật nhờ phương pháp chuỗi cung ứng và thông điệp chính trị công khai. Bằng cách đóng khung việc đánh cắp dữ liệu như một sự phơi bày và công khai yêu cầu "Các cơ quan thực thi pháp luật và các nhà báo độc lập ở Hàn Quốc có nghĩa vụ điều tra các tài liệu này", những kẻ tấn công đã biến dữ liệu bị đánh cắp thành vũ khí để tạo ra sự gián đoạn xã hội và chính trị, một chiến thuật đánh dấu một sự phát triển đáng kể trong các chiến dịch ransomware.