Duy Linh
Writer
Một nhóm tội phạm mạng mới mang tên Pink (CL-CRI-1147) đang nổi lên như một mối đe dọa đáng chú ý đối với các tổ chức doanh nghiệp. Mục tiêu chính của nhóm là chiếm đoạt thông tin đăng nhập các dịch vụ đám mây và tìm cách vượt qua cơ chế xác thực đa yếu tố (MFA) để tiếp cận dữ liệu nội bộ.
Trang web chuyên công bố dữ liệu rò rỉ của Pink được ghi nhận bắt đầu hoạt động từ ngày 31/5/2026. Khác với nhiều nhóm tống tiền truyền thống, Pink kết hợp các kỹ thuật thao túng tâm lý với những chiến dịch đánh cắp thông tin đăng nhập quen thuộc nhằm nhanh chóng biến các tài khoản bị xâm phạm thành công cụ phục vụ hoạt động tống tiền.
Sau khi tạo được lòng tin và cảm giác cấp bách, kẻ tấn công sẽ gửi các liên kết hoặc tin nhắn tiếp theo. Những liên kết này thường dẫn tới các trang web giả mạo được thiết kế gần như giống hệt cổng đăng nhập một lần (SSO) hoặc hệ thống lưu trữ đám mây mà doanh nghiệp đang sử dụng.
Đối với các tổ chức đã triển khai xác thực đa yếu tố, Pink không dừng lại ở việc đánh cắp mật khẩu. Nhóm còn sử dụng nhiều phương pháp nhằm lấy được yếu tố xác thực thứ hai, bao gồm gửi yêu cầu xác nhận MFA liên tục trong thời gian thực, khai thác hiện tượng "mệt mỏi MFA" thông qua các thông báo đẩy dồn dập hoặc tìm cách thu thập mã xác thực dùng một lần.
Khi đã có quyền truy cập, các đối tượng sẽ tiến hành tìm kiếm dữ liệu trên các nền tảng lưu trữ đám mây và bộ công cụ làm việc của doanh nghiệp. Mục tiêu của chúng là các tài liệu quan trọng, tài sản sở hữu trí tuệ và những bản sao lưu dữ liệu có giá trị.
Những thông tin được công bố trên trang web rò rỉ của Pink không chỉ nhằm gây áp lực buộc nạn nhân phải trả tiền mà còn được sử dụng như một cách quảng bá năng lực của nhóm để thu hút thêm nạn nhân hoặc các đối tác tiềm năng.
Theo Palo Alto, các thành viên Pink thường sao chép hoặc đánh cắp thư mục và tệp tin có thể chứng minh việc xâm nhập đã diễn ra. Sau đó, chúng thông báo cho nạn nhân thông qua trang web công khai và các tin nhắn tống tiền trực tiếp, yêu cầu thanh toán để tránh việc dữ liệu bị phát tán.
Điểm đáng chú ý của chiến dịch này là sự tập trung vào việc khai thác yếu tố con người thay vì triển khai các đợt lừa đảo hàng loạt quy mô lớn như nhiều nhóm khác.
Nhóm này cũng cho thấy sự hiểu biết khá sâu về môi trường làm việc của doanh nghiệp. Chúng chủ động rà soát các ổ đĩa chia sẻ, nền tảng cộng tác và hệ thống email lưu trữ để tìm kiếm dữ liệu có giá trị. Vì vậy, những tài khoản có quyền truy cập rộng hoặc cơ chế quản lý phiên làm việc chưa chặt chẽ thường trở thành mục tiêu có rủi ro cao nhất.
Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp nên giả định rằng kẻ tấn công có thể sở hữu thông tin đăng nhập hợp lệ ngay từ đầu. Để giảm thiểu nguy cơ, các tổ chức nên triển khai các giải pháp MFA có khả năng chống lừa đảo như khóa bảo mật phần cứng hoặc FIDO2; áp dụng chính sách truy cập có điều kiện nhằm ngăn chặn các phiên đăng nhập bất thường; kích hoạt kiểm soát phiên và rút ngắn thời gian hiệu lực của mã thông báo đối với các dịch vụ đám mây; đồng thời yêu cầu xác thực bổ sung khi truy cập vào những kho dữ liệu nhạy cảm.
Bên cạnh đó, việc thường xuyên rà soát quyền truy cập lưu trữ, loại bỏ các quyền không cần thiết, kích hoạt nhật ký truy cập và lưu giữ lịch sử tệp sẽ hỗ trợ đáng kể cho công tác điều tra số khi xảy ra sự cố. Hoạt động đào tạo nhân viên nhận biết các hình thức lừa đảo qua điện thoại, bao gồm các bài diễn tập giả lập giọng nói, cũng được xem là biện pháp phòng thủ quan trọng.
Trong trường hợp bị tấn công, việc nhanh chóng thu hồi thông tin đăng nhập đã bị lộ, thay đổi các khóa truy cập và cô lập các khu vực lưu trữ bị ảnh hưởng có thể giúp hạn chế lượng dữ liệu bị đánh cắp.
Hiện công tác xác định nguồn gốc của Pink vẫn đang được tiếp tục. Tuy nhiên, các nhà phân tích cho rằng đây là một nhóm tội phạm tống tiền có liên hệ với Com và hoạt động theo mô hình tương tự tiếp thị liên kết. Hạ tầng rò rỉ dữ liệu cùng các kỹ thuật được ghi nhận cho thấy Pink đang đi theo xu hướng mới của tội phạm mạng: chuyển trọng tâm từ triển khai mã độc tống tiền sang các chiến dịch tống tiền dữ liệu nhắm mục tiêu cụ thể vì động cơ tài chính.
Trong bối cảnh đó, các tổ chức cần xem các mối đe dọa tống tiền dữ liệu là một phần trong kế hoạch ứng phó sự cố tổng thể. Việc phối hợp giữa bộ phận an ninh mạng, pháp lý và truyền thông sẽ giúp tránh những quyết định chi trả vội vàng, vốn có thể tạo động lực cho các vụ tấn công tương tự tiếp tục xảy ra trong tương lai.
Trang web chuyên công bố dữ liệu rò rỉ của Pink được ghi nhận bắt đầu hoạt động từ ngày 31/5/2026. Khác với nhiều nhóm tống tiền truyền thống, Pink kết hợp các kỹ thuật thao túng tâm lý với những chiến dịch đánh cắp thông tin đăng nhập quen thuộc nhằm nhanh chóng biến các tài khoản bị xâm phạm thành công cụ phục vụ hoạt động tống tiền.
Chiến dịch tấn công bắt đầu từ các cuộc gọi giả mạo
Theo các quan sát, quá trình tấn công thường mở đầu bằng những cuộc gọi điện lừa đảo. Tin tặc đóng giả nhân viên hỗ trợ CNTT hoặc chuyên gia an ninh của doanh nghiệp, thông báo rằng tài khoản hoặc thiết bị của người dùng đang gặp sự cố và cần được xử lý khẩn cấp.Sau khi tạo được lòng tin và cảm giác cấp bách, kẻ tấn công sẽ gửi các liên kết hoặc tin nhắn tiếp theo. Những liên kết này thường dẫn tới các trang web giả mạo được thiết kế gần như giống hệt cổng đăng nhập một lần (SSO) hoặc hệ thống lưu trữ đám mây mà doanh nghiệp đang sử dụng.
Đối với các tổ chức đã triển khai xác thực đa yếu tố, Pink không dừng lại ở việc đánh cắp mật khẩu. Nhóm còn sử dụng nhiều phương pháp nhằm lấy được yếu tố xác thực thứ hai, bao gồm gửi yêu cầu xác nhận MFA liên tục trong thời gian thực, khai thác hiện tượng "mệt mỏi MFA" thông qua các thông báo đẩy dồn dập hoặc tìm cách thu thập mã xác thực dùng một lần.
Khi đã có quyền truy cập, các đối tượng sẽ tiến hành tìm kiếm dữ liệu trên các nền tảng lưu trữ đám mây và bộ công cụ làm việc của doanh nghiệp. Mục tiêu của chúng là các tài liệu quan trọng, tài sản sở hữu trí tuệ và những bản sao lưu dữ liệu có giá trị.
Những thông tin được công bố trên trang web rò rỉ của Pink không chỉ nhằm gây áp lực buộc nạn nhân phải trả tiền mà còn được sử dụng như một cách quảng bá năng lực của nhóm để thu hút thêm nạn nhân hoặc các đối tác tiềm năng.
Theo Palo Alto, các thành viên Pink thường sao chép hoặc đánh cắp thư mục và tệp tin có thể chứng minh việc xâm nhập đã diễn ra. Sau đó, chúng thông báo cho nạn nhân thông qua trang web công khai và các tin nhắn tống tiền trực tiếp, yêu cầu thanh toán để tránh việc dữ liệu bị phát tán.
Điểm đáng chú ý của chiến dịch này là sự tập trung vào việc khai thác yếu tố con người thay vì triển khai các đợt lừa đảo hàng loạt quy mô lớn như nhiều nhóm khác.
Doanh nghiệp cần chuẩn bị cho nguy cơ tống tiền dữ liệu
Việc kết hợp giữa các cuộc gọi lừa đảo, các cổng xác thực giả được thiết kế riêng và khả năng khai thác nhanh các dịch vụ đám mây giúp Pink nâng cao đáng kể tỷ lệ thành công khi nhắm mục tiêu vào các tổ chức vẫn phụ thuộc nhiều vào xác thực bằng mật khẩu và các biện pháp phát hiện phản ứng truyền thống.Nhóm này cũng cho thấy sự hiểu biết khá sâu về môi trường làm việc của doanh nghiệp. Chúng chủ động rà soát các ổ đĩa chia sẻ, nền tảng cộng tác và hệ thống email lưu trữ để tìm kiếm dữ liệu có giá trị. Vì vậy, những tài khoản có quyền truy cập rộng hoặc cơ chế quản lý phiên làm việc chưa chặt chẽ thường trở thành mục tiêu có rủi ro cao nhất.
Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp nên giả định rằng kẻ tấn công có thể sở hữu thông tin đăng nhập hợp lệ ngay từ đầu. Để giảm thiểu nguy cơ, các tổ chức nên triển khai các giải pháp MFA có khả năng chống lừa đảo như khóa bảo mật phần cứng hoặc FIDO2; áp dụng chính sách truy cập có điều kiện nhằm ngăn chặn các phiên đăng nhập bất thường; kích hoạt kiểm soát phiên và rút ngắn thời gian hiệu lực của mã thông báo đối với các dịch vụ đám mây; đồng thời yêu cầu xác thực bổ sung khi truy cập vào những kho dữ liệu nhạy cảm.
Bên cạnh đó, việc thường xuyên rà soát quyền truy cập lưu trữ, loại bỏ các quyền không cần thiết, kích hoạt nhật ký truy cập và lưu giữ lịch sử tệp sẽ hỗ trợ đáng kể cho công tác điều tra số khi xảy ra sự cố. Hoạt động đào tạo nhân viên nhận biết các hình thức lừa đảo qua điện thoại, bao gồm các bài diễn tập giả lập giọng nói, cũng được xem là biện pháp phòng thủ quan trọng.
Trong trường hợp bị tấn công, việc nhanh chóng thu hồi thông tin đăng nhập đã bị lộ, thay đổi các khóa truy cập và cô lập các khu vực lưu trữ bị ảnh hưởng có thể giúp hạn chế lượng dữ liệu bị đánh cắp.
Hiện công tác xác định nguồn gốc của Pink vẫn đang được tiếp tục. Tuy nhiên, các nhà phân tích cho rằng đây là một nhóm tội phạm tống tiền có liên hệ với Com và hoạt động theo mô hình tương tự tiếp thị liên kết. Hạ tầng rò rỉ dữ liệu cùng các kỹ thuật được ghi nhận cho thấy Pink đang đi theo xu hướng mới của tội phạm mạng: chuyển trọng tâm từ triển khai mã độc tống tiền sang các chiến dịch tống tiền dữ liệu nhắm mục tiêu cụ thể vì động cơ tài chính.
Trong bối cảnh đó, các tổ chức cần xem các mối đe dọa tống tiền dữ liệu là một phần trong kế hoạch ứng phó sự cố tổng thể. Việc phối hợp giữa bộ phận an ninh mạng, pháp lý và truyền thông sẽ giúp tránh những quyết định chi trả vội vàng, vốn có thể tạo động lực cho các vụ tấn công tương tự tiếp tục xảy ra trong tương lai.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
