LockBit - băng đảng mã độc tống tiền hoành hành ở Việt Nam

Từ khi bắt đầu hoạt động năm 2019, LockBit trở thành mối đe dọa an ninh mạng cho các tổ chức, doanh nghiệp trên toàn thế giới. Theo thống kê của tổ chức Flashpoint trong năm 2023, LockBit thực hiện hơn 1.000 cuộc tấn công, chiếm 21% các cuộc tấn công quy mô lớn được ghi nhận, cao gấp hai lần nhóm đứng sau là BlackCat.

Tại sự kiện Security Bootcamp 2024 tuần trước, hoạt động của nhóm là một trong những chủ đề được các chuyên gia an ninh mạng Việt Nam quan tâm, trong bối cảnh các cuộc tấn công mã hóa dữ liệu tống tiền có xu hướng gia tăng.

Theo thống kê của Viettel Cyber Security (VCS), tính từ đầu năm, Việt Nam ghi nhận ít nhất 26 vụ tấn công từ 12 nhóm mã độc. Trong số này, LockBit là tác nhân của 12 vụ, chiếm gần 50%, với phương thức phân phối mã độc qua các chi nhánh.

Chia 80% tiền chuộc cho chi nhánh

Tháng 9/2019, một tổ chức có tên LockBitSupp xuất hiện với mã độc ABCD ransomware. Từ 2020, nhóm chuyển sang hoạt động theo mô hình kinh doanh tấn công mạng qua đại lý (Ransomware as a Service - RaaS), sau đó mở rộng cách thức tống tiền kép, tức vừa mã hóa, vừa đánh cắp dữ liệu.

Theo ông Nguyễn Đức Kiên, chuyên gia phân tích của VCS, tình trạng nở rộ các cuộc tấn công ransomware thời gian qua là do sự phát triển của mô hình RaaS. Trong đó, LockBit đóng vai trò cung cấp và vận hành hạ tầng ransomware, hay còn gọi là Operator. Chúng chấp nhận chỉ lấy 20% số tiền thu được trong mỗi vụ tống tiền. 80% còn lại được chia cho các chi nhánh (Affiliate), là những nhóm chuyên thực hiện việc xâm nhập để phát tán mã độc.

"Đây là động lực rất lớn cho các nhóm tấn công mở rộng phạm vi hoạt động và săn tìm nạn nhân mới, trong đó có tổ chức, doanh nghiệp Việt Nam", ông Kiên nói.

Operator và Affiliate tìm thấy nhau qua các diễn đàn của tội phạm mạng, trong đó RAMP, xss.is hay exploit.in là những nơi nhóm tin tặc này đẩy mạnh quảng bá, đồng thời hỗ trợ việc rút tiền phạm pháp.

Trong phần lớn vụ tấn công, nạn nhân được yêu cầu trả bằng tiền mã hóa như BTC, ETH, USDT, ZCASH, sau đó các nhóm này sử dụng "máy trộn" để xóa nguồn gốc. Chuyên gia Việt Nam dẫn thống kê cho thấy nhóm này sử dụng hơn 30.000 địa chỉ ví tiền điện tử, trong đó khoảng 500 ví vẫn đang hoạt động.

Ngoài ra, sự nguy hiểm của LockBit nằm ở mô hình hoạt động chuyên nghiệp. Với tiềm lực tài chính lớn khoảng một tỷ USD, nhóm liên tục tái đầu tư để hoàn thiện. Sau 5 năm xuất hiện, Lockbit đã tung ra phiên bản 3.0, gọi là Black, được nhận biết bằng việc mã hóa dữ liệu với đuôi các tệp tin có chín ký tự số và chữ ngẫu nhiên.

Trong thế giới RaaS, bản thân các nhóm cung cấp ransomware cũng cạnh tranh với nhau để thu hút các chi nhánh, bằng những kỹ thuật cao cấp hoặc tỷ lệ tống tiền thành công. Theo hãng bảo mật Trendmicro, điểm đặc biệt của LockBit so với các nhóm mã độc khác là khả năng lây lan. Khi một máy chủ trong mạng dính mã độc tống tiền, LockBit có thể tìm kiếm các mục tiêu gần đó khác và cố gắng tiếp tục lây nhiễm - một kỹ thuật không phổ biến trong giới ransomware. Ngoài ra, nhóm cũng sẵn sàng đóng vai bên đàm phán về tiền chuộc giữa các Affiliate và nạn nhân.

LockBit nổi tiếng về sự ngông cuồng. Khi ra mắt phiên bản 3.0 năm 2022, nhóm thậm chí tổ chức cuộc thi tìm lỗi của mã độc, hoặc thách thức mọi người có thể tìm ra danh tính của thủ lĩnh LockBit với tiền thưởng cao nhất một triệu USD.

Đối phó với LockBit

Là một trong những băng đảng ransomware khét tiếng, LockBit cũng đối mặt với vấn đề xung đột nội bộ cũng như sự săn lùng khắp thế giới. Dmitry Yuryevich Khoroshev, 31 tuổi đến từ Nga, được cho là thủ lĩnh của nhóm này với biệt danh "LockBitSupp", trở thành mục tiêu săn tìm của các cơ quan thực thi pháp luật.

Hồi tháng 2, chiến dịch Cronos, do Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan Cảnh sát Liên minh châu Âu (Europol) thực hiện, tuyên bố đã đạt thành công bước đầu trong việc trấn áp LockBit. Ví dụ, liên minh này đã thu giữ một số máy chủ, khoảng 7.000 mã mở khóa dữ liệu, đồng thời bắt một số người liên quan.

"Kể từ hôm nay, LockBit bị triệt phá. Chúng ta đã có một trận đánh đẹp và khiến nhóm ẩn danh này bị tổn hại uy tín nghiêm trọng", Guardian dẫn lời Tổng giám đốc NCA Graeme Biggar.

Tuy nhiên, hoạt động của các Affiliate không dừng lại và vẫn hoành hành khắp thế giới. Theo ông Nguyễn Đức Kiên, Affiliate thường xâm nhập vào hệ thống công nghệ thông tin của tổ chức thông qua bốn con đường chính, gồm tài khoản hệ thống bị lộ lọt; server bị hack và rao bán; dò mật khẩu qua tấn công vét cạn hoặc lừa đảo phishing; và tấn công qua lỗ hổng bảo mật của hệ thống.

Để đối phó với ransomware nói chung và LockBit nói riêng, chuyên gia VCS khuyến nghị các tổ chức đảm bảo an toàn cho hệ thống dữ liệu sao lưu (backup) của mình, trong đó tách rời giữa hệ thống IT và cơ sở dữ liệu backup để dữ liệu vẫn an toàn ngay cả khi bị tấn công.

Ngoài ra, đặc thù của tấn công mã hóa dữ liệu là thường cần thời gian dài để hiểu rõ hệ thống, tìm ra dữ liệu quan trọng, do đó, các tổ chức cần rà soát định kỳ, ưu tiên sử dụng công cụ giám sát liên tục để phát hiện sớm nguy cơ và ngăn chặn kịp thời.

Tại sự kiện về chuyển đổi số cuối tháng 9, ông Lê Văn Tuấn, Cục trưởng An toàn thông tin - Bộ Thông tin và Truyền thông, đánh giá tình trạng tấn công ransomware tăng cao tại Việt Nam thời gian qua, khi dữ liệu ngày càng có giá trị cao trong hoạt động của các tổ chức, doanh nghiệp. Từ đầu năm đến nay, hàng loạt đơn vị lớn thuộc các lĩnh vực tài chính, dầu khí, logistics đã trở thành nạn nhân của phương thức này.

"Trước đây, tin tặc ít quan tâm đến thị trường Việt Nam, nhưng từ khi biết doanh nghiệp có thể trả tiền, nguy cơ bị tấn công cao hơn", ông nói.