Băng đảng hacker nguy hiểm bậc nhất thế giới bị triệt phá

Chiến dịch Cronos do Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan Cảnh sát Liên minh châu Âu (Europol) thực hiện.

Trước đó, trên website của mình, LockBit thường xuyên cập nhật “bộ sưu tập” nạn nhân, kèm đồng hồ đếm giờ ngược đến thời hạn phải trả tiền chuộc. Từ ngày 20/2, trang này hiện thông báo của cơ quan chức năng: “Trang web nằm dưới sự kiểm soát của NCA, FBI và Europol trong chiến dịch Cronos. Chúng tôi có mã nguồn, thông tin chi tiết về các nạn nhân mà băng đảng đã tấn công. Trong đó có cả số tiền, dữ liệu bị đánh cắp và nhiều hơn thế nữa. Chúng tôi sẽ sớm liên lạc”.

Guardian dẫn lời đại diện NCA cho biết ngoài việc kiểm soát trang chủ, cơ quan chức năng còn nắm được cơ sở hạ tầng cho phép băng đảng quản lý và triển khai công nghệ để tống tiền. Tổng giám đốc NCA Graeme Biggar tuyên bố đã thu giữ mã nguồn và khóa, giúp các nạn nhân giải mã dữ liệu bị đánh cắp.

“Kể từ hôm nay, LockBit bị triệt phá. Chúng ta đã có một trận đánh đẹp và khiến nhóm ẩn danh này bị tổn hại uy tín nghiêm trọng”, Guardian dẫn lời Biggar.

Trên X, tổ chức chuyên nghiên cứu về an ninh mạng VX-underground cho biết LockBit đã xác nhận trong ứng dụng nhắn tin Tox rằng FBI đã tấn công các máy chủ chạy trên ngôn ngữ lập trình PHP của băng đảng. Tuy nhiên, họ vẫn còn các máy chủ dự phòng không dùng ngôn ngữ PHP mà cơ quan chức năng chưa kiểm soát được.

Don Smith, Phó chủ tịch của Secureworks thuộc Dell Technologies, đánh giá việc triệt phá LockBit là chiến thắng lớn. Ông gọi băng đảng này là tổ chức điều hành ransomware phát triển nhanh và bài bản nhất trong thị trường ngầm có tính cạnh tranh cao. Dữ liệu từ Secureworks cho thấy LockBit đứng đầu thị trường ransomware với 25% thị phần toàn cầu. Đối thủ ở vị trí thứ hai là Blackcat với thị phần khoảng 8,5%.

LockBit và các chi nhánh của tổ chức đã tiến hành hàng loạt cuộc tấn công mạng quy mô lớn khắp thế giới. Băng đảng kiếm tiền bằng cách phát tán mã độc tống tiền (ransomware), mã hóa dữ liệu nhạy cảm của nhiều doanh nghiệp lớn như TSMC, Boeing, dịch vụ bưu chính Royal Mail của Anh, sau đó bắt nạn nhân trả tiền chuộc để lấy khóa truy cập dữ liệu, hoặc tránh việc thông tin bí mật bị công khai.

Thế giới lần đầu biết đến LockBit vào 2020 khi phần mềm độc hại cùng tên được tìm thấy trên các diễn đàn tội phạm mạng bằng tiếng Nga. Khi đó, một số chuyên gia bảo mật dự đoán băng đảng này có trụ sở tại Nga. Tuy nhiên, nhóm tuyên bố không đứng về chính phủ nước nào. Trên một darkweb, nhóm này từng nói “nằm ở Hà Lan, hoàn toàn phi chính trị, chỉ quan tâm đến tiền”.

Jon DiMaggio, nhà phân tích bảo mật tại công ty an ninh mạng Analyst1, ví nhóm như một siêu thị chứa các quầy ransomware. LockBit điều hành tổ chức như một doanh nghiệp và đây cũng là điều khiến nhóm trở nên khác biệt. “Họ có thể xem là tổ chức ransomware lớn nhất hiện nay”, DiMaggio nhận định.

Riêng tại Mỹ, LockBit đã tiến hành hơn 1.700 cuộc tấn công, nhắm vào hầu hết ngành từ dịch vụ tài chính đến thực phẩm, trường học, giao thông vận tải và cơ quan chính phủ. Cơ quan chức năng Mỹ xác định đây là mối đe dọa mã độc nguy hiểm hàng đầu thế giới.

Dù tuyên bố chỉ quan tâm đến tiền, băng đảng này nghiêm cấm thành viên tấn công vào tổ chức y tế, như trung tâm tim mạch, khoa phẫu thuật thần kinh, bệnh viện phụ sản… “Đó là các tổ chức có thể phải thực hiện các quy trình phẫu thuật công nghệ cao, sử dụng máy tính và việc mã hóa tệp tin có thể dẫn đến tử vong”, LockBit giải thích.

Ví dụ, cuối năm 2022, LockBit từng xin lỗi sau khi mã độc của nhóm được sử dụng để tấn công một bệnh viện nhi ở Canada. “Chúng tôi xin lỗi về vụ hack vào SickKids và sẽ cung cấp bộ giải mã miễn phí. Đối tác tấn công vào bệnh viện đã vi phạm chính sách, đã bị ngăn chặn, đồng thời bị loại khỏi chương trình hợp tác của chúng tôi”, nhóm này thông báo vào ngày 31/12/2022.

Khương Nha