Mở đầu

Cuộc tấn công ransomware gần đây nhằm vào Colt Technology Services, nhà cung cấp dịch vụ viễn thông toàn cầu hoạt động tại hơn 30 quốc gia, đã được nhóm ransomware Warlock nhận trách nhiệm. Vụ vi phạm bắt đầu vào ngày 12 tháng 8 năm 2025, được công khai vào ngày 14 tháng 8, và nhóm Warlock đã đưa Colt lên “leak site” (trang rò rỉ) và chào bán dữ liệu bị đánh cắp từ ngày 15 đến 16 tháng 8.

Phân tích tập tin: Dữ liệu nội bộ nhạy cảm ở quy mô lớn

KELA đã phân tích danh sách các tệp bị rò rỉ do Warlock đăng tải lên diễn đàn RAMP dưới bí danh “cnkjasdfgd”. Danh sách chứa 400.977 tên tập tin, trong khi Warlock tuyên bố đã đánh cắp 1 triệu tài liệu — cho thấy đây có thể chỉ là phần rò rỉ mẫu, không phải toàn bộ dữ liệu.

Các loại tệp:

Các tên tệp cho thấy hầu hết là Microsoft Office files, gồm:

• Excel (.xls, .xlsx): dữ liệu tài chính, thông tin khách hàng, kế hoạch dự án, tài liệu hạ tầng.
• Word (.doc, .docx): hợp đồng, tài liệu nhân sự (HR), báo cáo nội bộ, biên bản cuộc họp.
• PowerPoint (.pptx): bản trình bày liên quan đến doanh số, hiệu suất tài chính, kế hoạch nội bộ.
  

Chủ đề nội dung:

Các nội dung có vẻ bao phủ các hoạt động cốt lõi của Colt, như:

• Hạ tầng và hoạt động mạng: chứa IP, sơ đồ site, phần cứng, kiến trúc bảo mật mạng.
• Tài chính & kế toán: ngân sách, đối chiếu, chi tiết lương – tiền thưởng nhân viên.
• Nhân sự (HR): hợp đồng, đánh giá hiệu suất, có thể chứa PII (Personally Identifiable Information).
• Pháp lý & tuân thủ: hợp đồng, NDA, tài liệu pháp lý.
• Quản lý dự án & bảo mật: báo cáo trạng thái, theo dõi nhiệm vụ, tài liệu bảo mật nội bộ.
  

Dữ liệu có khả năng bị tiết lộ:

• PII của nhân viên và có thể cả khách hàng.
• Kiến trúc mạng nội bộ và cấu hình.
• Báo cáo tài chính và hồ sơ trả lương.
• Thỏa thuận pháp lý và NDA.
• Tài liệu liên quan đến khách hàng và hợp đồng.

Tổng hợp lại, đây là một vụ vi phạm nghiêm trọng có thể khiến Colt phải đối mặt với thiệt hại tài chính, rủi ro pháp lý, tổn hại uy tín và nguy cơ đối tác cùng khách hàng cũng bị ảnh hưởng.

Chiến lược khủng bố dữ liệu của Warlock

Warlock là nhóm ransomware mới nổi nhưng đang hoạt động mạnh, sử dụng cả web rõ ràng (clear web) và dark web để quảng bá các vụ rò rỉ. Họ giữ hình ảnh công khai trên các diễn đàn như RAMP.

Theo dữ liệu của KELA, Mỹ là quốc gia bị tấn công nhiều nhất trong số 32 nạn nhân được nhóm này nhắm đến; ngành Technology đứng đầu, kế đến là Manufacturing & Industrial Products, Telecommunications, và Professional Services. Một số mục tiêu khác ngoài Colt bao gồm: Orange, Infonica, webcids, và Advion.

Warlock đang chào bán bộ dữ liệu của Colt với giá 200.000 USD và ám chỉ sẽ rò rỉ thêm nếu không có người mua. Họ sử dụng chiến thuật phổ biến của ransomware: rò rỉ một phần dữ liệu làm “proof-of-theft”, thu hút người mua và gây áp lực lên nạn nhân. Việc chỉ rò rỉ một phần còn có nguy cơ ảnh hưởng đến các bên thứ ba được đề cập trong dữ liệu.

Hệ quả vượt ra ngoài danh sách tệp

Dù danh sách đã rò rỉ cung cấp góc nhìn ban đầu về loại dữ liệu bị xâm phạm, nhiều khả năng dữ liệu chưa được tiết lộ vẫn tồn tại. Warlock có thể giữ lại phần còn lại để kích thích mua bán — hoặc có thể công khai toàn bộ nếu không có người mua.

Chiến thuật “proof-of-theft” kết hợp với tiếp thị công khai, cho thấy tội phạm mạng ngày càng minh bạch hơn trong chiến lược kiếm tiền, làm tăng rủi ro cho nạn nhân cũng như các bên liên quan.

Tổ chức cần làm gì ngay bây giờ?

Đối với các tổ chức, đặc biệt trong lĩnh vực viễn thông, hạ tầng hoặc công nghệ, KELA đưa ra những khuyến nghị sau:

• Giám sát chặt chẽ dark web để phát hiện dữ liệu của tổ chức, ngay cả khi chưa được nêu tên trực tiếp trong rò rỉ ban đầu.
• Sử dụng các công cụ như Monitor và Investigate của KELA để xác định các mối đe dọa, tên tệp rò rỉ và hoạt động liên quan của threat actor.
• Theo dõi các nền tảng giao tiếp, hành vi và chiến lược kiếm tiền mới của nhóm threat actor.

Khách hàng KELA có thể truy cập nền tảng để tìm thêm thông tin, bao gồm theo dõi tên thương hiệu, tên lãnh đạo, mối quan hệ với vendors và các tài sản kỹ thuật liên quan.

Nếu bạn cần hỗ trợ xác định liệu tổ chức mình có bị ảnh hưởng trong sự cố này hoặc các vụ rò rỉ khác không, hãy liên hệ KELA hoặc sử dụng quyền truy cập Investigate để truy vấn ngay lập tức.

Kết luận: Đây là một vụ tấn công nghiêm trọng, với phạm vi dữ liệu bị phơi bày rất rộng và chiến lược rò rỉ rõ rệt từ nhóm ransomware Warlock. Các tổ chức trong ngành nghề dễ bị tổn thương cần chủ động theo dõi, bảo vệ và ứng phó để hạn chế thiệt hại.

Thông tin hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!