Hãng an ninh mạng Resecurity: Giăng bẫy mồi khiến hacker đánh cắp dữ liệu giả

Tuy nhiên, Resecurity khẳng định những kẻ tấn công chỉ truy cập vào một bẫy mồi (honeypot) được triển khai có chủ đích, chứa dữ liệu giả nhằm theo dõi hoạt động của chúng.

Resecurity là hãng an ninh mạng nổi tiếng Mỹ, chuyên cung cấp các giải pháp bảo vệ và tình báo mối đe dọa cho doanh nghiệp lớn lẫn cơ quan chính phủ trên thế giới. Resecurity được thành lập năm 2016 với mục tiêu giúp các tổ chức đối phó với các mối đe dọa mạng, dù phức tạp đến đâu. Sứ mệnh của Resecurity là bảo vệ doanh nghiệp, cơ quan chính phủ và lực lượng thực thi pháp luật khỏi các cuộc tấn công mạng bằng cách cung cấp thông tin tình báo, quản lý rủi ro và giải pháp bảo mật tiên tiến.

Hôm 5.1, nhóm hacker tự xưng là Scattered Lapsus$ Hunters đăng tải ảnh chụp màn hình trên Telegram về vụ xâm nhập Resecurity được cho đã xảy ra, thông báo đã đánh cắp dữ liệu nhân viên, thông tin liên lạc nội bộ, nhiều báo cáo tình báo về mối đe dọa và thông tin khách hàng.

“Chúng tôi xin thông báo rằng đã giành được quyền truy cập hoàn toàn vào hệ thống của REsecurity”, Scattered Lapsus$ Hunters viết trên Telegram, tuyên bố đã lấy được “tất cả cuộc trò chuyện và nhật ký nội bộ, toàn bộ dữ liệu nhân viên, các báo cáo liên quan đến tình báo mối đe dọa và danh sách khách hàng đầy đủ với thông tin chi tiết”.

Để chứng minh tuyên bố của mình, Scattered Lapsus$ Hunters công bố ảnh chụp màn hình mà họ cho là đã đánh cắp từ Resecurity, gồm cả một phiên bản cộng tác Mattermost dường như hiển thị các trao đổi giữa nhân viên Resecurity và nhân sự của Pastebin về nội dung độc hại được lưu trữ trên nền tảng chia sẻ văn bản này.

Mattermost là nền tảng giao tiếp và cộng tác mã nguồn mở, tự lưu trữ, được thiết kế dành riêng cho doanh nghiệp để chat, chia sẻ file và quản lý dự án an toàn. Đây là giải pháp thay thế bảo mật, hiệu quả cho Slack hoặc Microsoft Teams.

Pastebin là dịch vụ chia sẻ văn bản trực tuyến, cho phép người dùng dán và lưu trữ các đoạn văn bản rồi chia sẻ bằng link.

Scattered Lapsus$ Hunters cho biết cuộc tấn công là hành động trả đũa các nỗ lực dùng kỹ thuật xã hội liên tục từ Resecurity nhằm tiếp cận để tìm hiểu thêm về hoạt động của nhóm hacker này.

Scattered Lapsus$ Hunters kể rằng nhân viên Resecurity đã giả làm người mua khi một cơ sở dữ liệu bị cho thuộc hệ thống tài chính Việt Nam đang được rao bán, nhằm xin dữ liệu mẫu miễn phí và thu thập thêm thông tin.

Dù trước đây luôn tuyên bố là một phần của Scattered Lapsus$ Hunters, ShinyHunters cho biết không tham gia vào vụ xâm nhập hệ thống Resecurity, theo trang BC.

Resecurity: Chỉ là bẫy mồi

Resecurity bác bỏ các tuyên bố từ Scattered Lapsus$ Hunters, nói rằng những hệ thống được cho đã bị xâm nhập không thuộc hạ tầng sản xuất hợp pháp của công ty. Theo Resecurity, đó thực chất là bẫy mồi được thiết kế để thu hút và theo dõi các hacker.

Resecurity đã chia sẻ một báo cáo công bố ngày 24.12.2025, trong đó cho biết công ty lần đầu phát hiện một tác nhân đe dọa dò xét các hệ thống công khai của mình ngày 21.11.2025.

Công ty Mỹ cho biết đội điều tra số và ứng phó sự cố đã sớm phát hiện các dấu hiệu trinh sát và ghi nhận nhiều địa chỉ IP liên quan đến kẻ tấn công, gồm cả các IP xuất phát từ Ai Cập và dịch vụ VPN (mạng riêng ảo) Mullvad.

Resecurity tiết lộ đã phản ứng bằng cách triển khai một tài khoản bẫy mồi trong môi trường cô lập, cho phép hacker đăng nhập và tương tác với các hệ thống chứa dữ liệu giả về nhân viên, khách hàng và thanh toán, trong khi mọi hoạt động đều được các nhà nghiên cứu theo dõi.

Hãng an ninh mạng Mỹ cho biết đã đưa vào bẫy mồi các bộ dữ liệu tổng hợp được thiết kế để giống sát dữ liệu kinh doanh thực tế. Những dữ liệu này gồm hơn 28.000 hồ sơ người dùng giả mạo và hơn 190.000 hồ sơ giao dịch thanh toán giả mạo, đều được tạo theo định dạng API (giao diện lập trình ứng dụng) chính thức của Stripe. Stripe là hãng công nghệ tài chính Mỹ, cung cấp nền tảng thanh toán trực tuyến giúp doanh nghiệp nhận và xử lý tiền thanh toán qua internet.

Theo Resecurity, vào tháng 12.2025, tác nhân đe dọa bắt đầu cố gắng tự động hóa việc trích xuất dữ liệu, tạo ra hơn 188.000 yêu cầu trong giai đoạn từ ngày 12.12 đến 24.12, đồng thời sử dụng rất nhiều địa chỉ IP của người dùng internet thông thường để che giấu hoạt động.

Trong quá trình này, Resecurity cho biết đã thu thập dữ liệu về chiến thuật, kỹ thuật và cơ sở hạ tầng của kẻ tấn công.

Resecurity tuyên bố kẻ tấn công nhiều lần để lộ các địa chỉ IP đã được xác thực do lỗi kết nối proxy, và thông tin tình báo này đã được báo cáo cho cơ quan thực thi pháp luật.

Sau khi quan sát thêm hoạt động, Resecurity đã bổ sung các bộ dữ liệu giả khác để nghiên cứu hành vi của kẻ tấn công.

Theo Resecurity, điều này khiến hacker để lộ thêm sai sót về bảo mật và giúp xác định rõ hơn hạ tầng mà chúng sử dụng.

Resecurity sau đó cho biết đã phát hiện các máy chủ được dùng để tự động hóa cuộc tấn công thông qua proxy của người dùng internet thông thường và đã chia sẻ thông tin tình báo này với cơ quan thực thi pháp luật.

"Sau khi xác định được vị trí của kẻ gây ra mối đe dọa bằng cách sử dụng thông tin tình báo mạng và dấu thời gian có sẵn, cơ quan thực thi luật nước ngoài, đối tác của Resecurity, đã phát đi yêu cầu triệu tập liên quan đến đối tượng này”, Resecurity cho hay.

Tại thời điểm viết bài, Scattered Lapsus$ Hunters chưa cung cấp thêm bất kỳ bằng chứng nào, chỉ đăng một bài mới trên Telegram rằng sẽ có thêm thông tin sớm.

“Xử lý khủng hoảng khá đấy, Resecurity. Sẽ còn nhiều thông tin nữa sắp tới!”, theo bài đăng trên Telegram của nhóm hacker này.

Watermark AI sẽ là phòng tuyến mới chống tin giả của Việt Nam?

Lan truyền tin giả mưa lũ miền Trung do AI tạo, bị xử phạt ra sao?

Chính quyền Mỹ cảnh báo Hàn Quốc về Luật Chống tin giả

Sơn Vân