Ai bảo vệ chúng ta khỏi những kẻ bảo vệ? Hai cựu nhân viên của các công ty an ninh mạng Sygnia và DigitalMint vừa bị kết án 4 năm tù vì tham gia tấn công ransomware BlackCat (ALPHV) nhắm vào các công ty Mỹ. Điều gây sốc nhất không phải mức án, mà là việc những chuyên gia được đào tạo để chống lại tội phạm mạng lại trở thành thủ phạm chính.

Khi "người hùng" hóa "ác nhân"

Hai bị cáo này từng làm việc tại các công ty uy tín trong lĩnh vực incident response (ứng phó sự cố an ninh mạng) và forensic (điều tra số). Công việc hàng ngày của họ là phân tích các cuộc tấn công, giúp doanh nghiệp khôi phục hệ thống sau khi bị mã độc tấn công. Ironically, chính kiến thức và kỹ năng này đã trở thành "vũ khí" để họ thực hiện các cuộc tấn công ransomware BlackCat.

BlackCat hay ALPHV là một trong những nhóm ransomware nguy hiểm nhất thế giới, hoạt động theo mô hình Ransomware-as-a-Service (RaaS - dịch vụ mã độc tống tiền). Nhóm này nổi tiếng với khả năng tấn công tinh vi, mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc khổng lồ. Chúng tôi cho rằng việc các chuyên gia an ninh mạng gia nhập BlackCat càng làm tăng mức độ nguy hiểm của nhóm này, bởi họ hiểu rõ cách thức phòng thủ để tìm ra lỗ hổng.

Bí mật đen tối của ngành ứng phó sự cố

Vụ việc này phơi bày một thực tế đáng lo ngại trong ngành an ninh mạng: ranh giới mỏng manh giữa "white hat" (hacker mũ trắng - chuyên gia bảo mật) và "black hat" (hacker mũ đen - tội phạm mạng). Các chuyên gia incident response thường có quyền truy cập vào thông tin nhạy cảm của doanh nghiệp, hiểu rõ hạ tầng IT và các điểm yếu trong hệ thống bảo mật. Kiến thức này vô cùng giá trị đối với các nhóm ransomware.

Đặc biệt đáng chú ý là vai trò của các "ransomware negotiator" - những người chuyên đàm phán với hacker để giảm tiền chuộc. Họ thường có mối liên hệ trực tiếp với các nhóm tội phạm mạng, hiểu rõ tâm lý và chiến thuật của chúng. Chúng tôi đánh giá đây chính là "cửa ngõ" để một số cá nhân có thể chuyển phe, từ người đàm phán chống lại ransomware thành thành viên của các nhóm tội phạm này.

Tác động sâu rộng đến ngành an ninh mạng

Vụ án này không chỉ làm lung lay niềm tin của doanh nghiệp vào các công ty an ninh mạng, mà còn tạo ra làn sóng hoài nghi về đạo đức nghề nghiệp trong lĩnh vực này. Theo thống kê của FBI, thiệt hại từ ransomware tại Mỹ năm 2023 lên tới 1.1 tỷ USD, tăng 74% so với năm trước. Con số này có thể còn cao hơn nếu tính cả những vụ việc không được báo cáo.

Tại Việt Nam, Cục An ninh mạng và phòng chống tội phạm công nghệ cao ghi nhận hàng nghìn vụ tấn công mã độc mỗi năm, với nhiều doanh nghiệp phải trả tiền chuộc hàng trăm nghìn USD. Việc các chuyên gia "quay lưng" với nghề nghiệp càng làm tăng thêm áp lực cho các cơ quan chức năng trong việc đảm bảo an ninh mạng quốc gia.

Làm thế nào để bảo vệ bản thân?

Doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp sau để giảm thiểu rủi ro: Đầu tiên, xây dựng chính sách backup (sao lưu dữ liệu) 3-2-1 - 3 bản sao, 2 phương tiện khác nhau, 1 bản offline hoàn toàn. Thứ hai, triển khai Zero Trust Architecture (kiến trúc không tin tưởng) - xác thực mọi truy cập dù từ nội bộ hay bên ngoài. Thứ ba, đào tạo nhân viên nhận biết email phishing và social engineering (kỹ thuật lừa đảo tâm lý).

Quan trọng nhất là thực hiện due diligence (thẩm tra kỹ lưỡng) khi thuê các công ty an ninh mạng bên ngoài. Yêu cầu background check (kiểm tra lý lịch) của nhân viên, ký kết NDA (thỏa thuận bảo mật) chi tiết và giới hạn quyền truy cập theo nguyên tắc "least privilege" (quyền tối thiểu cần thiết). Chúng tôi khuyến nghị các doanh nghiệp nên đa dạng hóa nhà cung cấp dịch vụ an ninh mạng thay vì phụ thuộc vào một đơn vị duy nhất.