Gentlemen Ransomware tấn công Soja de Portugal, rò rỉ 491GB

Nhóm ransomware The Gentlemen đã nhận trách nhiệm về vụ tấn công Soja de Portugal, một trong những công ty nông nghiệp hàng đầu Bồ Đào Nha, khiến 491GB dữ liệu doanh nghiệp nhạy cảm bị lộ. Theo báo cáo được công bố bởi DeXpose, dữ liệu bị xâm phạm bao gồm hồ sơ hệ thống SAP, thông tin nhân viên và tài liệu tài chính. Bài báo nguồn ghi ngày 4 tháng 6 năm 2026, có thể là một lỗi báo cáo hoặc ấn phẩm được đăng trước ngày; độc giả nên lưu ý rằng tính chính xác thực tế của ngày cụ thể đó không thể được xác minh độc lập, mặc dù nhiều nguồn tình báo mối đe dọa đã xác nhận vụ vi phạm chính nó là một sự kiện gần đây.

Vụ việc này góp thêm vào danh sách ngày càng dài các cuộc tấn công được quy cho The Gentlemen, một hoạt động ransomware dưới dạng dịch vụ mà các nhà nghiên cứu cho biết đã xuất hiện công khai vào nửa cuối năm 2025 và kể từ đó đã tuyên bố hàng trăm nạn nhân trên nhiều ngành công nghiệp và quốc gia.

The Gentlemen là ai và tại sao chúng hiệu quả?

Nhóm The Gentlemen hoạt động như một nền tảng ransomware dưới dạng dịch vụ (RaaS), nghĩa là các nhà phát triển cốt lõi cấp phép phần mềm độc hại và cơ sở hạ tầng của họ cho những kẻ tấn công liên kết thực hiện các chiến dịch riêng lẻ. Mô hình này hạ thấp rào cản gia nhập cho tội phạm mạng và khiến việc quy trách nhiệm trở nên phức tạp hơn đối với các điều tra viên.

Điều phân biệt nhóm này với các hoạt động ransomware cũ hơn là việc chúng sử dụng nhất quán chiến thuật tống tiền kép: chúng vừa mã hóa dữ liệu của nạn nhân vừa đánh cắp dữ liệu trước khi kích hoạt mã hóa. Điều này có nghĩa là ngay cả những tổ chức có quy trình sao lưu vững chắc cũng phải đối mặt với mối đe dọa thứ hai: dữ liệu bị đánh cắp có thể bị công khai hoặc rao bán nếu tiền chuộc không được trả. Trong vụ việc của Soja de Portugal, nhóm này dường như đã thực hiện theo lời đe dọa đó, với 491GB được cho là đã được công bố hoặc truy cập thông qua cơ sở hạ tầng rò rỉ của chúng.

Các nhà nghiên cứu đã ghi nhận rằng bộ công cụ của The Gentlemen nhắm mục tiêu vào Windows, Linux, các siêu giám sát ESXi và thiết bị NAS, khiến chúng có khả năng phá vỡ nhiều môi trường kinh doanh, từ mạng văn phòng truyền thống đến các trung tâm dữ liệu ảo hóa.

Dữ liệu nào đã bị lộ và tại sao nó quan trọng

Các loại dữ liệu liên quan đến vụ vi phạm của Soja de Portugal đáng được xem xét kỹ lưỡng. Dữ liệu SAP đặc biệt quan trọng: SAP là một nền tảng hoạch định nguồn lực doanh nghiệp (ERP) được các tổ chức lớn sử dụng để quản lý mọi thứ từ chuỗi cung ứng và mua sắm đến bảng lương và kế toán. Một vi phạm dữ liệu SAP có thể làm lộ hợp đồng nhà cung cấp, cấu trúc giá, dự báo tài chính nội bộ và chi tiết lương thưởng của nhân viên tất cả ở cùng một nơi.

Hồ sơ nhân viên, một danh mục khác được xác nhận trong vụ vi phạm này, thường bao gồm tên, số định danh, thông tin liên lạc và đôi khi là thông tin ngân hàng để trả lương. Khi dữ liệu này bị rò rỉ, nó tạo ra rủi ro dây chuyền cho từng người lao động, không chỉ riêng tổ chức.

Mô hình nhắm mục tiêu vào các hệ thống kinh doanh doanh nghiệp này không phải là duy nhất trong cuộc tấn công này. Các sự cố tương tự, như vụ tấn công ransomware Play vào Ampex Data Systems, đã cho thấy những kẻ tấn công ưu tiên các kho dữ liệu có giá trị cao bao gồm thông tin nhận dạng cá nhân của nhân viên và hồ sơ tài chính, chính xác bởi vì chúng mang lại cả đòn bẩy đòi tiền chuộc lẫn giá trị bán lại trên các thị trường tội phạm.

Các công ty nông nghiệp và sản xuất ngày càng trở thành mục tiêu hấp dẫn vì chúng thường vận hành sự kết hợp giữa công nghệ vận hành cũ và phần mềm doanh nghiệp hiện đại, tạo ra bề mặt tấn công lớn hơn và kém đồng nhất hơn so với các tổ chức đã xây dựng cơ sở hạ tầng của họ gần đây hơn.

Tại sao chỉ bảo mật vành đai là không đủ

Một trong những bài học quan trọng nhất từ những sự cố như thế này là các biện pháp phòng thủ vành đai truyền thống, tường lửa, phần mềm chống vi-rút và giám sát mạng, là cần thiết nhưng chưa đủ. Nhóm The Gentlemen và các hoạt động tương tự được biết là giành được quyền truy cập ban đầu thông qua các chiến dịch lừa đảo, cổng giao thức máy tính từ xa (RDP) bị lộ và thông tin đăng nhập bị xâm phạm. Khi đã vào trong mạng, chúng di chuyển ngang, thường là trong nhiều ngày hoặc vài tuần, trước khi triển khai ransomware.

Đây là lý do tại sao các chuyên gia bảo mật ngày càng ủng hộ một cách tiếp cận phân lớp cho bảo mật tổ chức. Một số lớp hiệu quả nhất bao gồm:

  • Truy cập mạng không tin cậy (Zero-trust): Thay vì tin tưởng bất kỳ thiết bị hoặc người dùng nào bên trong vành đai mạng, kiến trúc zero-trust yêu cầu xác minh liên tục danh tính và tình trạng thiết bị trước khi cấp quyền truy cập vào bất kỳ tài nguyên nào.
  • Truy cập từ xa được mã hóa: VPN và các công cụ tương tự bảo vệ dữ liệu khi đang di chuyển và giảm nguy cơ bị đánh cắp thông tin đăng nhập trên các kết nối không được bảo vệ, đặc biệt là đối với nhân viên làm việc từ xa và kết hợp truy cập vào các hệ thống nhạy cảm.
  • Phân đoạn mạng: Giữ các hệ thống như SAP cách ly khỏi các máy trạm chung của nhân viên hạn chế khả năng của kẻ tấn công di chuyển ngang sau khi giành được chỗ đứng ban đầu.
  • Phát hiện và phản hồi điểm cuối (EDR): Không giống như phần mềm chống vi-rút cũ, các công cụ EDR giám sát các điểm bất thường về hành vi có thể chỉ ra rằng kẻ tấn công đang hoạt động bên trong mạng, ngay cả trước khi phần mềm độc hại được triển khai.

Vụ tấn công ransomware ChipSoft ở Hà Lan đã minh họa một mô hình thất bại tương tự: những kẻ tấn công đã có thể truy cập và đánh cắp khối lượng lớn dữ liệu vì các hệ thống nội bộ không được phân đoạn đầy đủ và kiểm soát truy cập không đủ chi tiết để ngăn chặn vi phạm sau khi đã vào được bên trong.

Điều này có ý nghĩa gì với bạn

Cho dù tổ chức của bạn là một tập đoàn đa quốc gia hay một doanh nghiệp khu vực như Soja de Portugal, cách tính toán rủi ro đã thay đổi. Các nhóm ransomware với mô hình RaaS có thể triển khai các cuộc tấn công ở quy mô lớn, nhắm vào bất kỳ lĩnh vực nào tồn tại dữ liệu có giá trị. Các công ty nông nghiệp, hậu cần và sản xuất trước đây có thể không coi mình là mục tiêu có giá trị cao, nhưng dữ liệu họ nắm giữ trong các hệ thống ERP và HR lại kể một câu chuyện khác.

Dưới đây là các bước cụ thể mà các tổ chức có thể thực hiện để giảm thiểu rủi ro:

  • Kiểm tra các điểm truy cập từ xa: Xác định tất cả các dịch vụ hướng ra internet, đặc biệt là các cổng RDP và VPN, và đảm bảo chúng được bảo mật bằng xác thực đa yếu tố và thông tin đăng nhập được cập nhật thường xuyên.
  • Triển khai quyền truy cập tối thiểu: Nhân viên và hệ thống chỉ nên có quyền truy cập vào dữ liệu và ứng dụng mà họ thực sự cần. Quyền truy cập rộng rãi sẽ đẩy nhanh quá trình di chuyển ngang sau khi bị vi phạm.
  • Kiểm tra các bản sao lưu của bạn: Sao lưu ngoại tuyến hoặc bất biến là một biện pháp phòng thủ quan trọng chống lại ransomware mã hóa, nhưng chỉ khi chúng được kiểm tra thường xuyên và xác nhận có thể khôi phục.
  • Phân loại dữ liệu và mã hóa khi lưu trữ: Biết dữ liệu nào là nhạy cảm nhất và đảm bảo nó được mã hóa ngay cả khi được lưu trữ nội bộ sẽ hạn chế giá trị của các tệp bị đánh cắp đối với kẻ tấn công.

Vụ vi phạm của Soja de Portugal là một nghiên cứu điển hình hữu ích không phải vì nó đặc biệt, mà bởi vì nó ngày càng trở nên điển hình. Khi các cuộc tấn công ransomware tiếp tục làm lộ khối lượng lớn dữ liệu doanh nghiệp trên khắp các lĩnh vực, những tổ chức đối phó tốt nhất là những tổ chức coi bảo mật là một quá trình liên tục thay vì một khoản đầu tư một lần. Xem xét các biện pháp kiểm soát truy cập, kiến trúc mạng và kế hoạch ứng phó sự cố của bạn ngay bây giờ sẽ ít tốn kém hơn đáng kể so với việc quản lý một vụ rò rỉ dữ liệu 491GB sau khi sự việc đã xảy ra.