World Leaks tuyên bố đánh cắp 1,3TB dữ liệu từ Dell, cho tải miễn phí trên dark web
World Leaks (nhóm ransomware từng mang tên Hunters International) tuyên bố đã xâm nhập và đánh cắp 1,3TB dữ liệu từ Dell Technologies, gồm hơn 400.000 file chứa công cụ nội bộ và dữ liệu người dùng.
World Leaks vừa phát tán 1,3TB dữ liệu nội bộ mà nhóm ransomware này khẳng định thuộc về Dell Technologies - tập đoàn công nghệ đa quốc gia của Mỹ.
Thông báo được World Leaks đăng trên trang rò rỉ dữ liệu chính thức của nhóm trên dark web (web tối). Vụ rò rỉ bao gồm 416.103 file, tất cả đều được công khai để người khác tải về miễn phí, theo trang HR. Nhiều file đề cập trực tiếp đến Dell Technologies và có vẻ như phù hợp với dữ liệu nội bộ của doanh nghiệp.
1. Dark web là phần internet ẩn và không thể truy cập bằng trình duyệt thông thường như Google Chrome, Girefox hay Safari. Bạn cần phần mềm đặc biệt, phổ biến nhất là Tor, để vào được dark web.
Dark web là một phần nhỏ của deep web (web chìm), tức là toàn bộ nội dung không hiển thị trên Google hay các công cụ tìm kiếm phổ biến.
2. Nhóm ransomware là tổ chức hoặc mạng lưới tội phạm mạng chuyên phát triển, phát tán và sử dụng ransomware (mã độc tống tiền) để thực hiện các cuộc tấn công nhằm thu lợi bất chính. Thay vì một cá nhân riêng lẻ, các cuộc tấn công ransomware ngày nay thường được thực hiện bởi các nhóm có cấu trúc và hoạt động chuyên nghiệp.
Cách thức hoạt động của các nhóm ransomware
Các nhóm ransomware không chỉ đơn thuần là những kẻ tấn công đơn lẻ, mà hoạt động với một mô hình phức tạp và có tổ chức:
Phân công vai trò: Trong một nhóm ransomware, có các thành viên chuyên về nghiên cứu và phát triển mã độc, những người khác tập trung vào việc tìm kiếm và khai thác lỗ hổng bảo mật, kẻ chuyên thâm nhập mạng lưới và chuyên đàm phán tiền chuộc.
Mô hình ransomware-as-a-service (RaaS): Nhiều nhóm hoạt động theo mô hình RaaS. Theo đó, những kẻ phát triển ransomware sẽ tạo ra các công cụ và hạ tầng cần thiết, sau đó cho thuê hoặc bán chúng cho những kẻ tấn công khác (thường được gọi là đối tác liên kết). Các đối tác liên kết này sẽ trực tiếp thực hiện cuộc tấn công và chia sẻ lợi nhuận với nhà phát triển ransomware. Điều này giúp mở rộng quy mô và tần suất các cuộc tấn công.
Gây áp lực tống tiền: Đây là chiến thuật phổ biến mà các nhóm ransomware sử dụng. Ngoài việc mã hóa dữ liệu, chúng còn đánh cắp dữ liệu nhạy cảm của nạn nhân. Nếu nạn nhân không trả tiền chuộc, các nhóm ransomware sẽ đe dọa công khai hoặc bán dữ liệu đó trên dark web (web tối), tạo thêm áp lực để nạn nhân phải trả tiền.
Chiến thuật tinh vi: Các nhóm này thường sử dụng các kỹ thuật tấn công phi kỹ thuật như gửi email lừa đảo (phishing), khai thác lỗ hổng trong phần mềm và hệ điều hành, hoặc mua lại thông tin đăng nhập đã bị đánh cắp để giành quyền truy cập vào mạng lưới của nạn nhân.
Cơ sở hạ tầng dark web: Chúng thường quảng bá dịch vụ, liên lạc với các đối tác liên kết và thực hiện giao dịch trên dark web để duy trì tính ẩn danh.
Phân tích danh sách các file bị rò rỉ
Xem xét kỹ hơn danh sách các file bị rò rỉ cho thấy đây có vẻ là dữ liệu nội bộ từ nhiều hệ thống trong mạng lưới toàn cầu của Dell Technologies. Các file đến từ những hệ thống khu vực khác nhau như châu Mỹ, châu Âu và châu Á - Thái Bình Dương, bao phủ từ thư mục nhân viên, công cụ phần mềm đến tập lệnh hạ tầng và dữ liệu sao lưu.
Nhiều file đề cập đến Dell Technologies và các sản phẩm như PowerPath, PowerStore cùng phần mềm điều khiển phần cứng mang thương hiệu hãng này. Ngoài ra, trong đó còn có các tài liệu liên quan đến công cụ VMware, tập lệnh tự động hóa viết bằng Terraform, những file liên quan đến giám sát hệ thống và thử nghiệm nội bộ.
PowerPath là phần mềm quản lý đường dẫn I/O giúp tối ưu hóa và cân bằng tải dữ liệu giữa máy chủ và hệ thống lưu trữ.
PowerStore là dòng thiết bị lưu trữ thông minh do Dell phát triển, dùng cho doanh nghiệp với yêu cầu cao về hiệu suất và khả năng mở rộng.
Terraform là công cụ hạ tầng dưới dạng mã do hãng phần mềm HashiCorp (Mỹ) phát triển. Nó cho phép bạn tự động tạo, cấu hình và quản lý hạ tầng CNTT (máy chủ, mạng, dịch vụ đám mây...) bằng cách viết mã, thay vì làm thủ công qua giao diện.
Một số đường dẫn trong dữ liệu chỉ đến hồ sơ trình duyệt, file nhật ký và các gói phần mềm được sử dụng trong môi trường phát triển hoặc hỗ trợ kỹ thuật. Điều đáng chú ý là tên Dell Technologies và các công cụ của hãng xuất hiện thường xuyên trong toàn bộ cấu trúc thư mục, cùng với cách đặt tên có hệ thống. Điều đó cho thấy dữ liệu có thể đã được lấy trực tiếp từ hệ thống thật sự của doanh nghiệp. Tất cả những yếu tố này củng cố cho tuyên bố của World Leaks rằng đây là dữ liệu từ đến từ bên trong hệ thống của Dell Technologies.
Cần lưu ý rằng World Leaks không tiết lộ vụ tấn công vào Dell Technologies diễn ra khi nào, cách thức thực hiện hay phản ứng của công ty Mỹ ra sao.
Phản hồi từ Dell
Trong phản hồi gửi đến trang HR, Dell Technologies xác nhận rằng một tác nhân đe dọa đã truy cập vào trung tâm giải pháp của hãng - môi trường được sử dụng để trình diễn và thử nghiệm sản phẩm. Công ty Mỹ nhấn mạnh rằng hệ thống này được tách biệt với mạng lưới của khách hàng và đối tác, không phải là một phần của hạ tầng dịch vụ chính thức.
Theo Dell Technologies, dữ liệu bị truy cập chủ yếu là những file tổng hợp, công khai hoặc liên quan đến các tập lệnh nội bộ và đầu ra thử nghiệm.
Dù Dell Technologies không dùng từ “rò rỉ dữ liệu”, phản hồi của công ty cho thấy đã có hành vi truy cập trái phép. Hiện Dell Technologies vẫn tiếp tục điều tra vụ việc.
Dell nổi tiếng toàn cầu với các sản phẩm như máy tính cá nhân (PC), đặc biệt là dòng Dell XPS, Inspiron và Latitude; máy chủ, thiết bị lưu trữ, phần cứng doanh nghiệp, màn hình, thiết bị ngoại vi, giải pháp hạ tầng CNTT, dịch vụ điện toán đám mây và ảo hóa, đặc biệt thông qua các công nghệ như VMware (mà từng nắm cổ phần lớn).
Được doanh nhân Michael Dell thành lập năm 1984, Dell ban đầu tập trung vào bán máy tính trực tiếp đến người tiêu dùng. Hiện nay, Dell là một trong những nhà cung cấp hạ tầng CNTT lớn trên thế giới, cạnh tranh với các tên tuổi như HP, Lenovo, IBM và Apple.
Dell sáp nhập với EMC Corporation năm 2016 - thương vụ công nghệ lớn nhất thời điểm đó, trị giá khoảng 67 tỉ USD, từ đó mở rộng mạnh mẽ vào lĩnh vực lưu trữ dữ liệu và đám mây doanh nghiệp.
World Leaks thay đổi chiến thuật tống tiền để giảm khả năng bị bắt
Đầu tháng 7.2025, trang HR đưa tin World Leaks là cái tên mới của nhóm ransomware Hunters International. Nhóm này đã thay đổi chiến thuật, chuyển sang chỉ tập trung vào hành vi đánh cắp dữ liệu và tống tiền, thay vì triển khai ransomware. World Leaks hiện tập trung vào việc đánh cắp dữ liệu nhạy cảm và đe dọa công khai chúng nếu không nhận được tiền chuộc từ nạn nhân.
Chiến lược này khác hẳn với cách hoạt động trước đây của Hunters International, vốn sử dụng ransomware mã hóa dữ liệu kết hợp với đe dọa. Giờ đây, World Leaks loại bỏ hoàn toàn bước mã hóa, đặt cược tất cả vào sức ép đến từ nguy cơ bị công khai thông tin.
Sự thay đổi này có thể mang tính chiến lược, đặc biệt khi các cơ quan thực thi pháp luật ngày càng mạnh tay và lợi nhuận từ ransomware gặp nhiều rào cản hơn. Bằng cách cắt bỏ bước mã hóa, World Leaks giảm khả năng bị bắt trong khi vẫn kiếm lợi từ dữ liệu bị đánh cắp.
World Leaks hiện sử dụng công cụ trích xuất tùy chỉnh giúp tự động lấy số lượng lớn dữ liệu từ các mạng bị xâm nhập. Công cụ này dường như là phiên bản nâng cấp của phần mềm đánh cắp dữ liệu từng được các nhánh của Hunters International sử dụng trước đây.
Các sự cố an ninh mạng của Dell
Dell luôn là mục tiêu hấp dẫn của hacker và đây không phải lần đầu tiên hãng bị xâm nhập hệ thống. Ngày 9.5.2024, hacker có biệt danh Menelik tuyên bố rao bán dữ liệu từ 49 triệu tài khoản khách hàng của Dell Technologies.
Hôm sau đó, ngày 10.5.2024, Dell Technologies xác nhận vụ xâm nhập nhưng giảm nhẹ mức độ nghiêm trọng, tuyên bố dữ liệu bị lộ “không gây rủi ro đáng kể”. Thông tin bị rò rỉ gồm họ tên đầy đủ, địa chỉ, thông tin thiết bị phần cứng và đơn hàng của Dell Technologies, mã dịch vụ, mô tả sản phẩm, ngày đặt hàng, thông tin bảo hành và nhiều hơn thế.
Mã dịch vụ là mã định danh duy nhất được Dell Technologies gán cho mỗi thiết bị phần cứng mà hãng sản xuất, ví dụ laptop, máy chủ, máy tính để bàn bàn, màn hình…
Tháng 9.2024, hacker khác có biệt danh grep công bố ba vụ rò rỉ dữ liệu khác nhau liên quan đến Dell Technologies. Một trong số đó được cho là đã làm lộ thông tin của hơn 10.000 nhân viên công ty này.