Nguyễn Tiến Đạt
Intern Writer
Một báo cáo mới từ nhóm Symantec và Carbon Black Threat Hunter thuộc Broadcom cho biết nhóm tin tặc có liên hệ với Triều Tiên Lazarus Group (còn gọi là Diamond Sleet và Pompilus) đã sử dụng ransomware Medusa ransomware trong một cuộc tấn công nhằm vào một tổ chức tại Trung Đông, đồng thời thực hiện một nỗ lực xâm nhập không thành công vào một cơ sở chăm sóc sức khỏe tại Mỹ.
Theo báo cáo, Medusa là một chiến dịch mã độc tống tiền hoạt động theo mô hình Ransomware-as-a-Service (RaaS), do nhóm Spearwing triển khai từ năm 2023. Đến nay, nhóm này đã nhận trách nhiệm hơn 366 vụ tấn công.
Dữ liệu từ trang rò rỉ của Medusa cho thấy kể từ đầu tháng 11/2025 đã có bốn tổ chức chăm sóc sức khỏe và phi lợi nhuận tại Mỹ bị nhắm mục tiêu. Trong số này có một tổ chức phi lợi nhuận về sức khỏe tâm thần và một cơ sở giáo dục dành cho trẻ tự kỷ. Mức tiền chuộc trung bình trong giai đoạn đó là 260.000 USD (khoảng 6,5 tỷ VNĐ). Hiện chưa thể xác định tất cả các vụ việc này có liên quan trực tiếp đến Lazarus hay do các chi nhánh khác của Medusa thực hiện.
Tuy nhiên, từ cuối năm 2024, các nhóm liên quan đến Triều Tiên bắt đầu có xu hướng sử dụng ransomware có sẵn như Play, Qilin và nay là Medusa thay vì tự xây dựng công cụ riêng. Theo giới phân tích, động cơ mang tính thực dụng: sử dụng nền tảng đã được kiểm chứng giúp tiết kiệm nguồn lực, rút ngắn thời gian triển khai và mở rộng quy mô tấn công nhanh hơn.
Chiến dịch Medusa được Lazarus triển khai với nhiều công cụ hỗ trợ đi kèm, bao gồm:
Việc nhắm vào hệ thống y tế có thể tạo áp lực lớn buộc nạn nhân phải trả tiền chuộc nhanh chóng, do nguy cơ gián đoạn dịch vụ thiết yếu và rò rỉ dữ liệu bệnh nhân.
Các chuyên gia đánh giá, việc một nhóm có liên hệ nhà nước tham gia sâu vào hệ sinh thái ransomware thương mại cho thấy sự giao thoa ngày càng rõ giữa tội phạm mạng và hoạt động tình báo. Xu hướng này được dự báo sẽ tiếp tục gia tăng, đặc biệt khi các mục tiêu thuộc lĩnh vực nhạy cảm như tài chính, y tế và phi lợi nhuận ngày càng phụ thuộc vào hạ tầng số. (thehackernews)
Theo báo cáo, Medusa là một chiến dịch mã độc tống tiền hoạt động theo mô hình Ransomware-as-a-Service (RaaS), do nhóm Spearwing triển khai từ năm 2023. Đến nay, nhóm này đã nhận trách nhiệm hơn 366 vụ tấn công.
Dữ liệu từ trang rò rỉ của Medusa cho thấy kể từ đầu tháng 11/2025 đã có bốn tổ chức chăm sóc sức khỏe và phi lợi nhuận tại Mỹ bị nhắm mục tiêu. Trong số này có một tổ chức phi lợi nhuận về sức khỏe tâm thần và một cơ sở giáo dục dành cho trẻ tự kỷ. Mức tiền chuộc trung bình trong giai đoạn đó là 260.000 USD (khoảng 6,5 tỷ VNĐ). Hiện chưa thể xác định tất cả các vụ việc này có liên quan trực tiếp đến Lazarus hay do các chi nhánh khác của Medusa thực hiện.
Chuyển dịch chiến thuật: từ tự phát triển sang sử dụng ransomware thương mại
Việc các nhóm tin tặc Triều Tiên sử dụng ransomware không phải là điều mới. Trước đây, nhánh Andariel (Stonefly) thuộc Lazarus từng triển khai các biến thể tự phát triển như SHATTEREDGLASS, Maui và H0lyGh0st trong các cuộc tấn công nhằm vào Hàn Quốc, Nhật Bản và Mỹ.Tuy nhiên, từ cuối năm 2024, các nhóm liên quan đến Triều Tiên bắt đầu có xu hướng sử dụng ransomware có sẵn như Play, Qilin và nay là Medusa thay vì tự xây dựng công cụ riêng. Theo giới phân tích, động cơ mang tính thực dụng: sử dụng nền tảng đã được kiểm chứng giúp tiết kiệm nguồn lực, rút ngắn thời gian triển khai và mở rộng quy mô tấn công nhanh hơn.
Chiến dịch Medusa được Lazarus triển khai với nhiều công cụ hỗ trợ đi kèm, bao gồm:
- RP_Proxy (tiện ích proxy tùy chỉnh)
- Mimikatz (đánh cắp thông tin đăng nhập)
- Comebacker (cửa hậu tùy chỉnh)
- InfoHook (phần mềm đánh cắp dữ liệu)
- BLINDINGCAN/AIRDRY/ZetaNile (Trojan truy cập từ xa)
- ChromeStealer (trích xuất mật khẩu trình duyệt Chrome)
Lĩnh vực y tế tiếp tục là mục tiêu nhạy cảm
Báo cáo nhận định việc Lazarus nhắm vào tổ chức chăm sóc sức khỏe là dấu hiệu đáng lo ngại. Trong khi một số nhóm tội phạm mạng tuyên bố tránh tấn công bệnh viện do lo ngại thiệt hại về uy tín, Lazarus dường như không bị ràng buộc bởi những giới hạn này.Việc nhắm vào hệ thống y tế có thể tạo áp lực lớn buộc nạn nhân phải trả tiền chuộc nhanh chóng, do nguy cơ gián đoạn dịch vụ thiết yếu và rò rỉ dữ liệu bệnh nhân.
Các chuyên gia đánh giá, việc một nhóm có liên hệ nhà nước tham gia sâu vào hệ sinh thái ransomware thương mại cho thấy sự giao thoa ngày càng rõ giữa tội phạm mạng và hoạt động tình báo. Xu hướng này được dự báo sẽ tiếp tục gia tăng, đặc biệt khi các mục tiêu thuộc lĩnh vực nhạy cảm như tài chính, y tế và phi lợi nhuận ngày càng phụ thuộc vào hạ tầng số. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview