Manpower bị RansomHub tấn công, hơn 500GB dữ liệu nhạy cảm “bốc hơi” trong đêm

404 Not Found · 09:27

Cuối tháng 12/2024, trong khi phần lớn thế giới đang chuẩn bị bước sang năm mới, hệ thống của Manpower – một trong những công ty nhân sự lớn nhất toàn cầu, đã bị âm thầm bị xâm nhập. Những kẻ tấn công đã ra vào mạng lưới công ty trong suốt hai tuần, thu thập các tệp chứa thông tin cá nhân nhạy cảm của hàng trăm nghìn người, mà không để lại dấu vết dễ nhận thấy.

Manpower là “ông lớn” trong ngành nhân sự, cùng với Experis và Talent Solutions thuộc ManpowerGroup. Tập đoàn này sở hữu hơn 600.000 nhân viên tại 2.700 văn phòng, phục vụ hơn 100.000 khách hàng trên toàn cầu, doanh thu năm ngoái đạt 17,9 tỷ USD với 3,1 tỷ USD lợi nhuận gộp.

Cuộc điều tra bắt đầu từ một sự cố hệ thống

29/12/2024 đến 12/1/2025: Một tác nhân chưa rõ danh tính đã xâm nhập hệ thống và có khả năng truy xuất các tệp chứa thông tin cá nhân nhạy cảm.
20/1/2025: Sự cố được phát hiện trong quá trình điều tra một gián đoạn hệ thống CNTT tại văn phòng Lansing, bang Michigan.
28/7/2025: Manpower Lansing xác nhận dữ liệu của 144.189 cá nhân bị ảnh hưởng. Công ty tuyên bố đã tăng cường các biện pháp bảo mật, đồng thời phối hợp với FBI để điều tra. Người bị ảnh hưởng được cung cấp miễn phí dịch vụ giám sát tín dụng và bảo vệ danh tính qua Equifax.

RansomHub lên tiếng nhận trách nhiệm

Dù Manpower chưa chính thức quy trách nhiệm cho nhóm nào, vào tháng 1/2025 nhóm ransomware RansomHub đã tuyên bố là thủ phạm sau khi công ty công bố bị tấn công. Nhóm này khẳng định đã đánh cắp khoảng 500 GB dữ liệu từ hệ thống. Số dữ liệu này bao gồm cơ sở dữ liệu khách hàng với bản scan hộ chiếu, CMND, số An sinh Xã hội, địa chỉ, thông tin liên hệ, kết quả kiểm tra. Ngoài ra còn có nhiều năm thư từ nội bộ, báo cáo tài chính, phân tích dữ liệu nhân sự, hợp đồng và thỏa thuận bảo mật.

Thông tin về Manpower sau đó bị gỡ khỏi trang rò rỉ dữ liệu trên dark web của RansomHub. Điều này làm dấy lên nghi vấn công ty có thể đã trả tiền chuộc để dữ liệu bị xóa.

Một nhóm ransomware “khét tiếng”

RansomHub hoạt động theo mô hình Ransomware-as-a-Service (RaaS). Nhóm này từng được biết đến với tên Cyclops và Knight, xuất hiện từ tháng 2/2024 và liên tục tấn công nhiều mục tiêu lớn. Các nạn nhân bao gồm tập đoàn dầu khí Halliburton, chuỗi nhà thuốc Rite Aid, bộ phận châu Âu của Kawasaki, nhà đấu giá Christie’s, nhà mạng Frontier Communications, tổ chức Planned Parenthood và câu lạc bộ bóng đá Bologna.

Nhóm này cũng đứng sau vụ rò rỉ dữ liệu Change Healthcare, được coi là vụ vi phạm dữ liệu y tế lớn nhất trong những năm gần đây. Vụ việc ảnh hưởng tới hơn 190 triệu người và có liên quan đến vụ “exit scam” của băng nhóm BlackCat/ALPHV. Năm 2024, FBI cho biết các nhóm liên kết với RansomHub đã tấn công hơn 200 tổ chức hạ tầng trọng yếu tại Mỹ.

Sự trỗi dậy nhanh chóng của RansomHub cảnh báo về một xu hướng mới trong thế giới tội phạm mạng. Các doanh nghiệp và cơ quan an ninh cần cảnh giác với những nhóm ransomware mới nổi, bởi chúng có thể gây ra thiệt hại nghiêm trọng tương tự như các nhóm tội phạm mạng lâu đời.

Tổng hợp