GDLockerSec Có Thật Sự Nhắm Vào AWS Không?

Giới thiệu

Một nhóm ransomware mới tên GDLockerSec xuất hiện vào tháng 1 năm 2025, tuyên bố rằng họ đang nhắm tới một tổ chức giá trị cao: dịch vụ AWS của Amazon. Liệu những tuyên bố đó có căn cứ? KELA đã tiến hành điều tra để xác thực.

GDLockerSec là ai?

GDLockerSec bắt đầu hoạt động từ tháng 1 năm 2025, theo dạng tổ chức ransomware, với website dạng onion và ID trên Tox – tương tự các nhóm ransomware lớn.
Trước đây nhóm được biết đến với tên “GhostSec-Devil”. Tên gọi này gợi ý có thể có liên hệ với nhóm GhostSec và ransomware GhostLocker, nhưng cho tới nay không có bằng chứng rõ ràng nào chứng minh điều đó.
Thiết kế website của họ chịu ảnh hưởng lớn từ nhóm RansomHub – ví dụ phần “About” (“Giới thiệu”) sao chép nguyên một số câu từ trang RansomHub.
GDLockerSec đã công bố bốn bộ dữ liệu nạn nhân đầy đủ (victim data dumps), mỗi file nhỏ hơn 10MB, đến từ ba quốc gia: Hong Kong, Nigeria, và Morocco. Một vài dữ liệu đã được đăng trước đó trên các diễn đàn về tội phạm mạng bởi người dùng khác.
Vụ việc được cho là đáng chú ý nhất là bộ dữ liệu liên quan tới AWS — nhóm này tuyên bố dataset họ sắp phát hành — khoảng 9GB — là lớn nhất từ trước đến nay cho nhóm. Họ cung cấp một mẫu CSV để chứng minh. Nhưng theo điều tra của KELA, mẫu CSV này là dữ liệu công khai và không liên quan đến dữ liệu nhạy cảm do AWS sở hữu.

Các dấu vết OSINT

Qua nền tảng OSINT, KELA phát hiện một người dùng Telegram liên quan đến nhóm (@Admfudhsvdg, ID 6527700340) đã quảng bá nhóm trên nhiều nhóm Telegram liên quan việc rò rỉ dữ liệu, từng sử dụng username GDLLockerSec.
Người này sử dụng nhiều bí danh khác nhau, bao gồm @vfsstart, @Bodasec, @vth3darkly, @tradervalide và @ghostsadmines.
Các thành viên của nhóm thường xuyên thay đổi alias và username. Họ tham gia trong nhiều cộng đồng liên quan tới cybersecurity, hacking, trí tuệ nhân tạo (AI), cryptocurrency, và lập trình.
Một tài khoản Telegram của nhóm từng vô ý chia sẻ screenshot lộ địa chỉ Gmail cá nhân, từ đó KELA xác định người dùng tên Saad từ Morocco có liên quan đến tài khoản X (@SGaming66355). Đây là một ví dụ về việc nhóm này có operational security (an ninh vận hành) yếu.

Sự thật đằng sau “rò rỉ AWS” (AWS leak)

Theo kiểm tra của KELA, dữ liệu được tuyên bố là từ AWS thực ra đến từ một S3 bucket (một kho lưu trữ trên AWS), nhưng dataset này được xác định là dùng cho mục đích training set, tập trung vào giáo dục data science, không phải là dữ liệu nhạy cảm của AWS.
Dataset này cũng được tìm thấy công khai trên Kaggle — một nền tảng cộng đồng học data science, nơi các training sets được chia sẻ thường xuyên cho mục đích học tập.
KELA kết luận rằng tuyên bố liên kết dataset này với một sự cố bảo mật (breach) AWS là không có cơ sở.

Kết luận

Cuộc điều tra của KELA cho thấy GDLockerSec là một nhóm nghiệp dư, phụ thuộc nhiều vào những tuyên bố phóng đại để thổi phồng danh tiếng của mình trong hệ sinh thái tội phạm mạng.
Chiến thuật của nhóm cho thấy sự thiếu tinh vi, với việc bảo mật vận hành kém, sao chép trang web ransomware khác và lặp lại mô hình đưa ra các tuyên bố không được xác minh.
Sự phụ thuộc vào việc tự quảng bá thay vì các thành tích đã được xác thực cho thấy họ đang gặp khó khăn trong việc giành lấy tính hợp pháp so với những nhóm ransomware có vị thế hơn.
Phân tích sâu hơn chỉ ra khả năng có liên hệ tới cả Ma-rốc và Algeria, dựa trên bí danh người dùng, hoạt động nhắn tin và một số dấu hiệu địa lý có thể gắn với các thành viên của nhóm.

Giải pháp cung cấp thông tin của hãng:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các công ty công nghệ nghệ thuật: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, An toàn, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Vui lòng chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!