Bí mật thành công: Cách liên minh 'slh' đánh bại bộ lọc bằng chiến lược truyền thông của giới hacker

[Nguyễn Đức Thao]

Thế giới tội phạm mạng đang chứng kiến một vụ sáp nhập lịch sử. Ba nhóm tin tặc nổi tiếng – Scattered Spider, LAPSUS$ và ShinyHunters – đã hợp nhất thành một tổ chức duy nhất, được gọi là Scattered LAPSUS$ Hunters (SLH).

Theo Trustwave SpiderLabs, một công ty của LevelBlue, liên minh mới này đã thể hiện năng lực kỹ thuật đáng gờm và chiến lược truyền thông tinh vi kể từ khi ra mắt vào đầu tháng 8 năm 2025. Nhóm đã tạo ra không dưới 16 kênh Telegram dưới nhiều tên gọi khác nhau để duy trì sự hiện diện công khai bất chấp nỗ lực kiểm duyệt.

Từ tống tiền dữ liệu đến xây dựng 'Thương Hiệu'​

SLH không chỉ thực hiện các cuộc tấn công tống tiền dữ liệu nhắm vào các tổ chức lớn (bao gồm cả những tổ chức sử dụng Salesforce) mà còn cung cấp Dịch vụ Tống tiền dưới dạng Dịch vụ (EaaS).

• Dịch vụ Tống tiền (EaaS): SLH cho phép các chi nhánh khác sử dụng "thương hiệu" và danh tiếng hợp nhất của mình để yêu cầu thanh toán từ các mục tiêu.
• Sự Hợp tác Linh hoạt: Cả ba nhóm thành viên đều có liên kết lỏng lẻo với một doanh nghiệp tội phạm mạng được gọi là The Com, được đánh dấu bằng "sự hợp tác linh hoạt và chia sẻ thương hiệu," và đã thể hiện mối liên hệ với các nhóm như CryptoChameleon và Crimson Collective.

Các kênh Telegram của SLH đóng vai trò là nơi trung tâm để phối hợp hoạt động và là "loa phóng thanh" để truyền bá thông điệp, cáo buộc các tác nhân nhà nước, và mời người đăng ký tham gia các chiến dịch gây áp lực. Trustwave lưu ý rằng việc sử dụng các chức vụ hành chính có chữ ký "Trung tâm Điều hành SLH/SLSH" mang tính biểu tượng, nhằm tạo ra tính hợp pháp cho các hoạt động của nhóm.

Sh1nySp1d3r: Tham vọng Ransomware​

Mặc dù trộm cắp dữ liệu và tống tiền vẫn là hoạt động chính, SLH đã ám chỉ đến một họ Ransomware tùy chỉnh có tên Sh1nySp1d3r (hay còn gọi là ShinySp1d3r). Động thái này cho thấy tham vọng của SLH là cạnh tranh với các nhóm lớn như LockBit và DragonForce, báo hiệu các hoạt động Ransomware quy mô lớn trong tương lai.

Xu hướng "Liên Minh" tội phạm mạng​

Tiết lộ này được đưa ra trong bối cảnh các nhóm tội phạm mạng đang có xu hướng "liên minh hóa" để củng cố năng lực.

• DragonForce (nhóm liên kết với Scattered Spider) cũng đã hợp tác với Qilin và LockBit.
• DragonForce gần đây đã tung ra một biến thể phần mềm độc hại mới sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), khai thác các trình điều khiển dễ bị tấn công như truesight.sys và rentdrv2.sys để vô hiệu hóa phần mềm bảo mật, cho thấy sự gia tăng về năng lực kỹ thuật trong các liên minh này.

Các chuyên gia của Acronis cho biết các liên minh này giảm bớt rào cản kỹ thuật, cho phép các nhóm thực hiện hoạt động mà không cần xây dựng một hệ sinh thái Ransomware hoàn chỉnh từ đầu. ( thehackernews )

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview