LockBit - băng đảng mã độc tống tiền hoành hành ở Việt Nam
Từ khi bắt đầu hoạt động năm 2019, LockBit trở thành mối đe dọa an ninh mạng cho các tổ chức, doanh nghiệp trên toàn thế giới. Theo thống kê của tổ chức Flashpoint trong năm 2023, LockBit thực hiện hơn 1.000 cuộc tấn công, chiếm 21% các cuộc tấn công quy mô lớn được ghi nhận toàn cầu, cao gấp hai lần nhóm đứng sau là BlackCat. Những vụ nổi tiếng của nhóm có thể kể đến việc mã hóa dữ liệu của công ty bán dẫn TSMC, hãng máy bay Boeing, dịch vụ bưu chính Royal Mail của Anh.
"Có thể xem LockBit là tổ chức ransomware lớn nhất hiện nay", Jon DiMaggio, nhà phân tích bảo mật tại công ty an ninh mạng Analyst1, nói.
Tại sự kiện Security Bootcamp 2024 ở Hà Nội tuần trước, hoạt động của nhóm là một trong những chủ đề được các chuyên gia an ninh mạng Việt Nam quan tâm, trong bối cảnh các cuộc tấn công mã hóa dữ liệu tống tiền có xu hướng gia tăng.
Theo thống kê của Viettel Cyber Security (VCS), tính từ đầu năm, Việt Nam ghi nhận ít nhất 26 vụ ransomware từ 12 nhóm tin tặc. Trong số này, LockBit là tác nhân của 12 vụ, chiếm gần 50%, với phương thức phân phối mã độc qua các chi nhánh, tiêu biểu là cuộc tấn công vào hệ thống của VnDirect hồi tháng 3.
Thống kê của VCS về tình hình tấn công mã độc nhắm tới tổ chức tại Việt Nam 9 tháng đầu năm.
Chia 80% tiền chuộc cho chi nhánh
Tháng 9/2019, một tổ chức có tên LockBitSupp xuất hiện với mã độc ABCD. Từ 2020, nhóm chuyển sang hoạt động theo mô hình kinh doanh tấn công mạng qua đại lý (Ransomware as a Service - RaaS), sau đó mở rộng cách thức tống tiền kép, tức vừa mã hóa, vừa đánh cắp dữ liệu.
Theo ông Nguyễn Đức Kiên, chuyên gia phân tích của VCS, tình trạng nở rộ các cuộc tấn công ransomware thời gian qua là do sự phát triển của mô hình RaaS. Trong đó, LockBit đóng vai trò cung cấp và vận hành hạ tầng ransomware, hay còn gọi là Operator. Chúng chấp nhận chỉ lấy 20% số tiền thu được trong mỗi vụ tống tiền. 80% còn lại được chia cho các chi nhánh (Affiliate), là những nhóm chuyên thực hiện việc xâm nhập để phát tán mã độc.
"Đây là động lực rất lớn cho các nhóm tấn công mở rộng phạm vi hoạt động và săn tìm nạn nhân mới, trong đó có tổ chức, doanh nghiệp Việt Nam", ông Kiên nói.
Operator và Affiliate tìm thấy nhau qua các diễn đàn của tội phạm mạng, trong đó RAMP, xss.is hay exploit.in là những nơi nhóm tin tặc này đẩy mạnh quảng bá, đồng thời hỗ trợ việc rút tiền phạm pháp.
Trong phần lớn vụ tấn công, nạn nhân được yêu cầu trả bằng tiền mã hóa như BTC, ETH, USDT, ZCASH, sau đó các nhóm này sử dụng "máy trộn" để xóa nguồn gốc. Chuyên gia Việt Nam dẫn thống kê cho thấy nhóm này sử dụng hơn 30.000 địa chỉ ví tiền điện tử, trong đó khoảng 500 ví vẫn đang hoạt động.
Ông Nguyễn Đức Kiên chia sẻ về ransomware tại Security Bootcamp 2024.
Ngoài ra, sự nguy hiểm của LockBit nằm ở mô hình hoạt động chuyên nghiệp. Với tiềm lực tài chính lớn khoảng một tỷ USD, nhóm liên tục tái đầu tư để hoàn thiện. Sau 5 năm xuất hiện, Lockbit tung ra phiên bản 3.0, gọi là Black, được nhận biết bằng việc mã hóa dữ liệu với đuôi các tệp tin có 9 ký tự số và chữ ngẫu nhiên. Các chuyên gia bảo mật tại Việt Nam cũng xác định LockBit 3.0 là mã độc được dùng để nhắm tới VnDirect và nhiều tổ chức khác thời gian qua.
Trong thế giới RaaS, bản thân các nhóm cung cấp ransomware cũng cạnh tranh với nhau để thu hút các chi nhánh, bằng những kỹ thuật cao cấp hoặc tỷ lệ tống tiền thành công. Theo hãng bảo mật Trendmicro, điểm đặc biệt của LockBit so với các nhóm mã độc khác là khả năng lây lan. Khi một máy chủ trong mạng dính mã độc tống tiền, LockBit có thể tìm kiếm các mục tiêu gần đó khác và cố gắng tiếp tục lây nhiễm - một kỹ thuật không phổ biến trong giới ransomware. Ngoài ra, nhóm cũng sẵn sàng đóng vai bên đàm phán về tiền chuộc giữa các Affiliate và nạn nhân.
LockBit nổi tiếng về sự ngông cuồng. Khi ra mắt phiên bản 3.0 năm 2022, nhóm thậm chí tổ chức cuộc thi tìm lỗi của mã độc, hoặc thách thức mọi người có thể tìm ra danh tính của thủ lĩnh LockBit với tiền thưởng cao nhất một triệu USD.
Đối phó với LockBit
Một số chuyên gia bảo mật dự đoán LockBit có trụ sở tại Nga. Tuy nhiên, nhóm tuyên bố không đứng về chính phủ nước nào. Trên một darkweb, nhóm từng nói "nằm ở Hà Lan, hoàn toàn phi chính trị, chỉ quan tâm đến tiền".
LockBit cũng đối mặt với vấn đề xung đột nội bộ cũng như sự săn lùng khắp thế giới. Dmitry Yuryevich Khoroshev, 31 tuổi đến từ Nga, được cho là thủ lĩnh của nhóm này với biệt danh "LockBitSupp", trở thành mục tiêu săn tìm của các cơ quan thực thi pháp luật. Theo thông tin trên website của Bộ Ngân khố Mỹ, Khoroshev không chỉ là lãnh đạo cốt lõi của nhóm mà còn trực tiếp phát triển phần mềm tống tiền. Người này đảm nhiệm nhiều vai trò hoạt động trong nhóm như nâng cấp cơ sở hạ tầng, tham gia tuyển dụng các nhà phát triển mới và quản lý các chi nhánh LockBit.
Hồi tháng 2, chiến dịch Cronos, do Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan Cảnh sát Liên minh châu Âu (Europol) thực hiện, tuyên bố đã đạt thành công bước đầu trong việc trấn áp LockBit. Ví dụ, liên minh này đã thu giữ một số máy chủ, khoảng 7.000 mã mở khóa dữ liệu, đồng thời bắt một số người liên quan.
"Kể từ hôm nay, LockBit bị triệt phá. Chúng ta đã có một trận đánh đẹp và khiến nhóm ẩn danh này bị tổn hại uy tín nghiêm trọng", Guardian dẫn lời Tổng giám đốc NCA Graeme Biggar.
Tuy nhiên, hoạt động của các Affiliate không dừng lại và vẫn hoành hành khắp thế giới. Theo ông Nguyễn Đức Kiên, Affiliate thường xâm nhập vào hệ thống công nghệ thông tin của tổ chức thông qua bốn con đường chính, gồm tài khoản hệ thống bị lộ lọt; server bị hack và rao bán; dò mật khẩu qua tấn công vét cạn hoặc lừa đảo phishing; và tấn công qua lỗ hổng bảo mật của hệ thống.
Để đối phó với ransomware nói chung và LockBit nói riêng, chuyên gia VCS khuyến nghị các tổ chức đảm bảo an toàn cho hệ thống dữ liệu sao lưu (backup) của mình, trong đó tách rời giữa hệ thống IT và cơ sở dữ liệu backup để dữ liệu vẫn an toàn ngay cả khi bị tấn công.
Ngoài ra, đặc thù của tấn công mã hóa dữ liệu là thường cần thời gian dài để hiểu rõ hệ thống, tìm ra dữ liệu quan trọng, do đó, các tổ chức cần rà soát định kỳ, ưu tiên sử dụng công cụ giám sát liên tục để phát hiện sớm nguy cơ và ngăn chặn kịp thời.
Tại sự kiện về chuyển đổi số cuối tháng 9, ông Lê Văn Tuấn, Cục trưởng An toàn thông tin - Bộ Thông tin và Truyền thông, đánh giá vấn nạn ransomware tăng cao tại Việt Nam thời gian qua, khi dữ liệu ngày càng có giá trị cao trong hoạt động của các tổ chức, doanh nghiệp. Từ đầu năm đến nay, hàng loạt đơn vị lớn thuộc các lĩnh vực tài chính, dầu khí, logistics đã trở thành nạn nhân của phương thức này.
"Trước đây, tin tặc ít quan tâm đến thị trường Việt Nam, nhưng từ khi biết doanh nghiệp có thể trả tiền, nguy cơ bị tấn công cao hơn", ông nói.
Theo vnexpress.net
Tin cùng chuyên mục
- Nokia chuẩn bị triển khai 5G tại Việt Nam 24.09.2024 | 13:58 PM
- Sinh động các chương trình trực tiếp tại Fanpage Báo Tuyên Quang online 03.01.2023 | 08:16 AM
- Thực hiện quy định về chuẩn hóa thông tin thuê bao di động 31.03.2023 | 16:13 PM
- Hưởng ứng ngày Chuyển đổi số quốc gia 10/10Chuyển đổi số vì một cuộc sống tốt đẹp hơn 09.10.2022 | 21:42 PM
- Sở Thông tin và Truyền thông: Diễn tập ứng phó sự cố an toàn thông tin mạng năm 2022 04.10.2022 | 17:30 PM
- Hướng dẫn trẻ em sử dụng mạng internet an toàn và hiệu quả 05.08.2022 | 08:27 AM
- Người dùng nên cập nhật Chrome 92 ngay để vá 9 lỗ hổng nghiêm trọng 21.08.2021 | 15:47 PM
- UBND tỉnh nghe báo cáo dự thảo đề án chuyển đổi số tỉnh Thái Bình giai đoạn 2021 - 2025, định hướng đến năm 2030 21.07.2021 | 19:16 PM
- Thiết bị đầu tiên chuyển suy nghĩ thành câu nói 19.07.2021 | 09:47 AM
- Tại sao không gộp các ứng dụng chống dịch thành một 'super app' 19.07.2021 | 09:48 AM
Xem tin theo ngày
- Chỉ thị số 38-CT/TU của Ban Thường vụ Tỉnh ủy về việc tăng cường lãnh đạo, chỉ đạo triển khai thực hiện xóa nhà tạm, nhà dột nát trên địa bàn tỉnh Thái Bình
- Đồng chí Ngô Đông Hải, Bí thư Tỉnh ủy dự ngày hội đại đoàn kết toàn dân tộc tại thôn Thái Hòa 1, xã Đông Hoàng
- Đồng chí Phó Bí thư thường trực Tỉnh ủy, Chủ tịch HĐND tỉnh: Dự ngày hội đại đoàn kết toàn dân tộc năm 2024 tại thôn Hiến Nạp, xã Minh Khai
- Lễ dâng y Kathina do Quốc vương Thái Lan cúng dường tại Thái Bình
- Các đồng chí lãnh đạo tỉnh kiểm tra, chỉ đạo sản xuất vụ đông tại Kiến Xương, Vũ Thư
- Quốc hội thảo luận về dự án luật và chủ trương đầu tư Chương trình mục tiêu quốc gia về phát triển văn hóa
- Đổi mới, nâng cao chất lượng công tác nghiên cứu, học tập lý luận chính trị
- Chỉ thị số 37-CT/TU của Ban Thường vụ Tỉnh ủy về tăng cường tiếp xúc, đối thoại trực tiếp giữa người đứng đầu cấp ủy đảng, chính quyền các cấp với Nhân dân trên địa bàn tỉnh Thái Bình
- UBND tỉnh: Nghe và cho ý kiến về một số nội dung quan trọng
- Tiếp tục chương trình kỳ họp thứ tám: Quốc hội thảo luận về các dự án luật, nghị quyết