Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch tống tiền trộm dữ liệu vì mục tiêu tài chính, nhắm vào hàng chục tổ chức thuộc các lĩnh vực dịch vụ chuyên môn, pháp lý và tài chính tại Hoa Kỳ từ tháng 1 đến tháng 5 năm 2026.
Hoạt động này được Google Mandiant và Google Threat Intelligence Group (GTIG) gán cho một nhóm đe dọa có biệt danh là UNC3753, còn được biết đến với các tên gọi khác như Chatty Spider, Luna Moth và Silent Ransom Group (SRG).
"UNC3753 tận dụng kỹ thuật Voice Phishing (vishing) và lừa đảo Social Engineering để giành quyền truy cập từ xa vào môi trường doanh nghiệp," các nhà nghiên cứu Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer và Tyler McLellan cho biết.
"Sử dụng các cái cớ như di cư dữ liệu hoặc email liên quan đến hóa đơn, các tác nhân đe dọa bắt đầu các cuộc hội thoại điện thoại, giả danh hỗ trợ IT và thuyết phục mục tiêu thực hiện các phiên chia sẻ màn hình và tải xuống các tiện ích Remote Monitoring and Management (RMM)."
Sau khi giành được quyền truy cập, các kẻ tấn công sẽ trực tiếp tìm kiếm để định vị và đánh cắp các tệp tin quan trọng hoặc lừa nạn nhân thực hiện các hành động này thay cho chúng. Thông tin bị đánh cắp bao gồm các thỏa thuận pháp lý độc quyền, thông tin nhận dạng cá nhân (PII) và hồ sơ tài chính.
Sự gia tăng nguy hiểm: Xâm nhập vật lý trực tiếp
Trong một số trường hợp, những kẻ tấn công thậm chí đã truy cập trực tiếp vào hệ thống của nạn nhân tại hiện trường, tương ứng với một cảnh báo được Cục Điều tra Liên bang Hoa Kỳ (FBI) ban hành vào tháng trước. Những cuộc xâm nhập vật lý này liên quan đến việc các tác nhân đe dọa đóng giả làm kỹ thuật viên IT để vào văn phòng công ty và cố gắng đánh cắp dữ liệu bằng phương tiện USB có thể tháo rời.
"Bằng cách cử người trực tiếp đến vị trí của nạn nhân để tạo điều kiện cho cuộc xâm nhập, các tác nhân SRG trích xuất dữ liệu sang ổ cứng ngoài hoặc ổ USB do kẻ tấn công cắm vào máy tính của nạn nhân," FBI cho biết về bước leo thang mới trong khả năng của UNC3753.
Google cho biết UNC3753 có những điểm tương đồng về mặt chiến thuật với UNC2686, một nhóm đe dọa trước đây nổi tiếng với việc thực hiện các chiến dịch theo phong cách BazarCall vào năm 2021. Mặc dù nhóm này từng bị phát hiện triển khai Ransomware LockBit Black trong quá khứ, nhưng từ năm 2022, chúng chủ yếu tập trung vào các hoạt động chỉ tống tiền, gây áp lực buộc nạn nhân phải trả tiền hoặc đối mặt với rủi ro dữ liệu bị công bố trên trang web rò rỉ dữ liệu LEAKEDDATA.
Cả UNC3753 và UNC2686 đều được đánh giá là các nhánh của băng đảng Ransomware Conti đã tan rã, với các phiên bản đầu tiên của chiến dịch sử dụng mồi nhử hủy đăng ký dịch vụ như một phần của các cuộc tấn công Callback Phishing nhằm cài đặt phần mềm truy cập từ xa trên máy nạn nhân.
Quy trình tấn công tinh vi
Bắt đầu từ khoảng tháng 3 năm 2025, nhóm tin tặc đã mạo danh nhân viên hỗ trợ IT nội bộ của công ty để lừa nạn nhân tham gia phiên chia sẻ màn hình trên các nền tảng liên lạc doanh nghiệp như Zoom, Microsoft Teams hoặc Quick Assist, vượt qua các kiểm soát bảo mật truyền thống một cách hiệu quả.
"Nhóm đe dọa thường xuyên khởi động các chiến dịch bằng cách sử dụng các mồi nhử email chủ đề hóa đơn lành tính được gửi từ các tài khoản email cá nhân do kẻ tấn công kiểm soát," Google cho biết. "Những thông báo này không chứa liên kết hoạt động hay tệp đính kèm độc hại. Thay vào đó, chúng thường chứa một thông điệp ngắn gọn, chung chung. Mục đích chính của các email này là thiết lập một cái cớ, làm dấy lên lo ngại về bảo mật nội bộ của mục tiêu để họ dễ bị lừa hơn trong các cuộc gọi thoại tiếp theo."
Sau khi phiên làm việc được thiết lập, những kẻ tấn công cố gắng tạo chỗ đứng lâu dài bằng cách hướng dẫn nạn nhân cài đặt các phần mềm Remote Desktop hợp pháp như AnyDesk, Bomgar, SuperOps RMM hoặc Zoho Assist. Hướng dẫn cài đặt các chương trình này được chia sẻ qua một dịch vụ hợp pháp có tên là privnote[.]com, cho phép người dùng gửi các ghi chú tự hủy sau khi người nhận đọc xong.
UNC3753 cũng bị quan sát thấy việc thiết lập các phiên Zoom trực tiếp trên máy tính xách tay cá nhân của mục tiêu để truy cập vào hạ tầng Virtual Desktop Infrastructure (VDI) của doanh nghiệp và thâm nhập sâu hơn vào hệ thống tệp tin công ty. Mục tiêu là liệt kê các thư mục cục bộ và đám mây, quét các ổ đĩa mạng và thu thập dữ liệu từ các thư mục cực kỳ nhạy cảm, bao gồm những thư mục liên quan đến tờ khai thuế, kiểm toán, thỏa thuận khách hàng doanh nghiệp và số An sinh Xã hội (SSN).
Giai đoạn tống tiền
Ở giai đoạn cuối, dữ liệu thu thập được sẽ được gửi cho các tác nhân đe dọa thông qua WinSCP hoặc Rclone, hoặc đến các địa chỉ email do kẻ tấn công kiểm soát từ hộp thư của mục tiêu. Sau đó, những kẻ tấn công sẽ gửi yêu cầu tống tiền dưới dạng một thông điệp email, thường là trong vòng 30 phút sau khi thoát khỏi môi trường mục tiêu.
Các thông điệp email này cho nạn nhân thời hạn ba ngày để bắt đầu đàm phán tiền chuộc. Chúng cũng đe dọa sẽ gọi điện và gửi email trực tiếp cho nhân viên và khách hàng bên ngoài để thông báo về vụ vi phạm dữ liệu nếu nạn nhân không phản hồi, chưa kể đến việc công bố toàn bộ thông tin bị đánh cắp lên trang web rò rỉ dữ liệu.
Google nhận định: "Các công ty dịch vụ pháp lý đại diện cho các mục tiêu giá trị cao đối với các tác nhân tống tiền. Họ duy trì các kho lưu trữ tập trung các tệp giao dịch khách hàng cực kỳ nhạy cảm, kế hoạch sáp nhập và mua lại, bí mật thương mại của khách hàng và các báo cáo quy định của doanh nghiệp."
"Các nhóm đe dọa nhận ra rằng các thực thể pháp lý phải đối mặt với áp lực lớn về danh tiếng và quy định, do đó có thể rất muốn giải quyết các tình huống tống tiền một cách âm thầm để bảo vệ uy tín chuyên môn. Những kẻ tấn công nhận ra rằng việc nhắm vào yếu tố con người - cụ thể là sử dụng Social Engineering qua giọng nói - cho phép chúng dễ dàng vượt qua các rào cản kỹ thuật mạnh mẽ, Web Security Gateways và các cấu hình MFA."