Bạn có bao giờ tự hỏi tại sao các hacker có thể dễ dàng che giấu danh tính khi tấn công ransomware? Câu trả lời nằm ở những dịch vụ VPN bẩn như 'First VPN' - một mạng lưới vừa bị cảnh sát quốc tế triệt phá trong chiến dịch liên hợp quy mô lớn. Khác với các VPN hợp pháp bảo vệ quyền riêng tư, First VPN được thiết kế đặc biệt để phục vụ tội phạm mạng, từ tấn công ransomware đến đánh cắp dữ liệu.

Chiến dịch 'Thần sấm' của cảnh sát quốc tế

Theo thông tin từ Europol, chiến dịch triệt phá First VPN có sự phối hợp của cảnh sát từ 16 quốc gia, bao gồm Mỹ, Đức, Hà Lan và Ukraine. Chúng tôi cho rằng đây là một trong những chiến dịch quy mô lớn nhất từng được thực hiện nhằm vào hạ tầng hỗ trợ tội phạm mạng. Cảnh sát đã tịch thu hàng chục máy chủ tại nhiều quốc gia và thu thập được lượng lớn bằng chứng số.

First VPN không phải dịch vụ VPN thông thường mà bạn có thể tìm thấy trên Google Play. Đây là một dịch vụ 'tối' chỉ được quảng cáo trên các forum hacker và darkweb. Giá thuê dao động từ 10-50 USD mỗi tháng, rẻ hơn đáng kể so với các VPN thương mại nhưng cung cấp mức độ ẩn danh cực cao cho hoạt động bất hợp pháp.

Công nghệ che giấu vết hacker hoạt động thế nào?

VPN hay Virtual Private Network là công nghệ tạo đường hầm mã hóa giữa thiết bị của bạn và internet. Tuy nhiên, First VPN được tối ưu hóa đặc biệt cho tội phạm mạng với các tính năng 'độc hại'. Hệ thống không lưu log (no-log policy) nghiêm ngặt, máy chủ phân tán tại các quốc gia có luật pháp lỏng lẻo, và quan trọng nhất là chấp nhận thanh toán bằng cryptocurrency để tránh truy vết.

Chúng tôi phân tích thấy First VPN còn cung cấp tính năng 'hop kép' - định tuyến lưu lượng qua nhiều quốc gia khác nhau trong một kết nối. Điều này khiến việc truy vết nguồn gốc tấn công trở nên cực kỳ khó khăn. Các chuyên gia bảo mật ước tính cần ít nhất 3-6 tháng để cơ quan thực thi pháp luật có thể 'lần' được đến thủ phạm thực sự.

Thiệt hại từ 'cánh tay nối dài' của tội phạm mạng

Theo dữ liệu từ cuộc điều tra, First VPN đã hỗ trợ hàng nghìn vụ tấn công ransomware gây thiệt hại ước tính lên đến 500 triệu USD trong 3 năm hoạt động. Các nhóm hacker khét tiếng như Conti, LockBit và REvil đều từng sử dụng dịch vụ này để thực hiện các cuộc tấn công vào bệnh viện, trường học và cơ sở hạ tầng quan trọng.

Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận 2.500 vụ tấn công ransomware trong năm 2023, tăng 40% so với năm trước. Mặc dù chưa có thống kê cụ thể về việc sử dụng First VPN trong các vụ tấn công tại Việt Nam, chuyên gia an ninh mạng đánh giá nhiều khả năng dịch vụ này đã được sử dụng trong ít nhất 15-20% các cuộc tấn công có nguồn gốc từ nước ngoài.

Cách bảo vệ doanh nghiệp khỏi 'VPN của tội phạm'

Doanh nghiệp Việt Nam cần nâng cao cảnh giác trước thực tế vẫn còn hàng chục dịch vụ VPN bẩn khác đang hoạt động. Bước đầu tiên là triển khai hệ thống Threat Intelligence để theo dõi các IP address và domain của VPN đáng ngờ. Các giải pháp firewall hiện đại như Fortinet hay Palo Alto đã tích hợp sẵn database này và có thể tự động chặn kết nối từ các VPN độc hại.

Chúng tôi khuyến nghị doanh nghiệp thực hiện các bước sau ngay lập tức: Thứ nhất, cấu hình giám sát lưu lượng bất thường đặc biệt từ các IP nước ngoài trong giờ hành chính. Thứ hai, triển khai xác thực đa yếu tố (MFA) cho tất cả tài khoản quan trọng. Thứ ba, thường xuyên backup dữ liệu và test khả năng khôi phục. Cuối cùng, đào tạo nhận thức an ninh mạng cho nhân viên về các thủ đoạn social engineering thường được kết hợp với VPN bẩn trong các cuộc tấn công phức tạp.