Hơn 3,6 triệu euro - con số khiến bất kỳ ai cũng phải choáng váng khi nhắc đến doanh thu của một thị trường tội phạm mạng. Crimenetwork, cái tên từng gây ám ảnh trong giới an ninh mạng, vừa bị cảnh sát Đức triệt phá hoàn toàn phiên bản tái sinh của mình. Kẻ cầm đầu đã sa lưới, nhưng điều đáng lo ngại hơn là số lượng tội phạm đã "mua sắm" trên sàn giao dịch bất hợp pháp này. Chúng tôi cho rằng đây chỉ là phần nổi của tảng băng chìm trong thế giới tội phạm mạng toàn cầu.

Crimenetwork: Từ tro tàn đến hồi sinh bất thành

Crimenetwork không phải cái tên xa lạ với giới chuyên gia an ninh mạng. Thị trường tội phạm mạng này từng hoạt động như một "siêu thị" bán các công cụ tấn công, dữ liệu cá nhân bị đánh cắp, và dịch vụ hack thuê. Sau khi bị đánh sập lần đầu, những kẻ cầm đầu đã âm thầm chuẩn bị cho màn tái xuất đầy tham vọng. Họ xây dựng lại toàn bộ hạ tầng, tuyển mộ các hacker tài năng và mở rộng mạng lưới khách hàng toàn cầu.

Phiên bản mới của Crimenetwork hoạt động trên dark web (mạng tối) với các biện pháp bảo mật được cho là "bất khả xâm phạm". Các giao dịch được thực hiện qua cryptocurrency (tiền mã hóa) nhằm che giấu dấu vết. Tuy nhiên, cảnh sát Đức đã chứng minh rằng không có hệ thống nào là hoàn hảo. Việc bắt giữ thành công trùm cuối cho thấy sức mạnh của công nghệ truy vết hiện đại và sự hợp tác quốc tế trong cuộc chiến chống tội phạm mạng.

Phẫu thuật một thị trường tội phạm số

Để hiểu được tầm nguy hiểm của Crimenetwork, chúng ta cần nhìn vào cấu trúc hoạt động của nó. Thị trường này hoạt động theo mô hình marketplace (sàn thương mại điện tử) tương tự Amazon hay eBay, nhưng chuyên bán các "sản phẩm" bất hợp pháp. Từ malware (phần mềm độc hại) được đóng gói sẵn, botnet (mạng máy tính zombie) để thuê, cho đến database (cơ sở dữ liệu) chứa thông tin thẻ tín dụng bị đánh cắp. Hệ thống rating (đánh giá) và review (nhận xét) giúp "khách hàng" lựa chọn "nhà cung cấp" uy tín nhất.

Điều đáng quan ngại nhất là sự chuyên nghiệp hóa của các dịch vụ này. Nhiều "sản phẩm" được bán kèm hướng dẫn sử dụng chi tiết, thậm chí có cả dịch vụ hỗ trợ kỹ thuật 24/7. Mô hình này đã hạ thấp rào cản gia nhập cho những kẻ muốn trở thành tội phạm mạng, biến việc tấn công mạng từ kỹ năng chuyên môn cao thành "nghề" có thể học hỏi được. Chúng tôi đánh giá đây chính là lý do khiến số lượng các vụ tấn công mạng gia tăng đáng báo động trong những năm gần đây.

Hậu quả lan tỏa và con số biết nói

3,6 triệu euro chỉ là doanh thu được ghi nhận, nhưng thiệt hại thực tế do các "sản phẩm" từ Crimenetwork gây ra có thể lên đến hàng trăm triệu euro. Mỗi malware được bán có thể nhiễm hàng nghìn máy tính, mỗi database thông tin cá nhân có thể dẫn đến hàng trăm vụ lừa đảo. Theo thống kê của Europol, các thị trường tội phạm mạng tương tự đã tạo ra thiệt hại kinh tế toàn cầu lên đến 6 tỷ USD mỗi năm.

Tại Việt Nam, Cục An toàn thông tin - Bộ TT&TT ghi nhận trung bình 3.000 vụ tấn công mạng mỗi tháng, trong đó nhiều sử dụng công cụ có nguồn gốc từ các thị trường tội phạm mạng quốc tế. Việc đóng cửa Crimenetwork sẽ làm gián đoạn chuỗi cung ứng "vũ khí mạng", nhưng chúng tôi dự đoán sẽ có các thị trường khác nhanh chóng thay thế để lấp đầy khoảng trống này.

Chiến lược phòng thủ cho doanh nghiệp Việt Nam

Doanh nghiệp Việt Nam cần hành động NGAY để bảo vệ mình trước làn sóng tấn công có thể gia tăng khi những "khách hàng" của Crimenetwork tìm cách thu hồi vốn. Đầu tiên, cập nhật toàn bộ phần mềm và hệ điều hành lên phiên bản mới nhất, đặc biệt là các bản vá bảo mật (security patch). Thứ hai, triển khai giải pháp backup (sao lưu dữ liệu) tự động với quy tắc 3-2-1: 3 bản sao, 2 phương tiện khác nhau, 1 bản ở nơi khác. Thứ ba, đào tạo nhân viên nhận diện email lừa đảo và tấn công social engineering (kỹ thuật tâm lý xã hội).

Ngoài ra, các doanh nghiệp nên cân nhắc đầu tư vào giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) để giám sát các hoạt động bất thường trên hệ thống. Việc thiết lập SOC (Security Operations Center - trung tâm vận hành bảo mật) nội bộ hoặc thuê dịch vụ SOC từ bên thứ ba cũng là lựa chọn đáng cân nhắc. Cuối cùng, xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết và thực hành định kỳ để đảm bảo tổ chức có thể phản ứng nhanh chóng khi bị tấn công.