Bạn nghĩ mình đang đối phầu với tin tặc tống tiền thông thường, nhưng thực chất đó là điệp viên mạng nhà nước Iran. Rapid7, công ty an ninh mạng hàng đầu thế giới, vừa công bố phát hiện gây chấn động: vụ tấn công bằng ransomware Chaos hóa ra chỉ là lớp ngụy trang hoàn hảo cho hoạt động gián điệp của nhóm MuddyWater - đơn vị trực thuộc Bộ Tình báo và An ninh Iran (MOIS). Đây không phải cuộc tấn công nhằm kiếm tiền, mà là chiến dịch thu thập thông tin tình báo có tổ chức.

Khi kẻ gián điệp hóa trang thành tội phạm mạng

Các chuyên gia phản ứng sự cố của Rapid7 ban đầu tiếp cận vụ việc như một cuộc tấn công ransomware Chaos điển hình. Tuy nhiên, quá trình điều tra sâu hơn đã phát hiện ra dấu vết đặc trưng của MuddyWater - nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao) khét tiếng được Iran tài trợ. Điều đáng lo ngại là chiến thuật này cho phép các hacker nhà nước ẩn mình hoàn toàn dưới vỏ bọc của tội phạm mạng thông thường.

MuddyWater không phải cái tên xa lạ trong giới an ninh mạng. Nhóm này đã hoạt động từ năm 2017 và chuyên nhắm vào các cơ quan chính phủ, tổ chức viễn thông và doanh nghiệp năng lượng trên khắp Trung Đông, châu Âu và Bắc Mỹ. Chúng tôi cho rằng việc sử dụng ransomware như một chiến thuật ngụy trang đánh dấu sự tiến hóa nguy hiểm trong các cuộc tấn công có tài trợ nhà nước.

Giải mã chiến thuật ngụy trang tinh vi của Iran

Chaos ransomware thực chất là một loại mã độc mã nguồn mở được phát triển từ năm 2021, thường được các nhóm tội phạm mạng nghiệp dư sử dụng để mã hóa dữ liệu và đòi tiền chuộc. Tuy nhiên, MuddyWater đã biến nó thành công cụ che đậy hoàn hảo cho các hoạt động gián điệp. Thay vì chỉ mã hóa file và đòi tiền như ransomware thông thường, họ sử dụng thời gian truy cập hệ thống để đánh cắp thông tin mật và cài đặt backdoor (cửa hậu) cho các cuộc tấn công tương lai.

Kỹ thuật này cực kỳ nguy hiểm vì nó đánh lừa cả nạn nhân lẫn đội ứng phó sự cố. Các tổ chức bị tấn công thường tập trung vào khôi phục dữ liệu bị mã hóa mà bỏ qua việc kiểm tra xem thông tin nhạy cảm nào đã bị đánh cắp. Theo đánh giá của chúng tôi, đây là một trong những chiến thuật ngụy trang tinh vi nhất mà chúng tôi từng chứng kiến trong lĩnh vực an ninh mạng.

Tác động lan tỏa đến cộng đồng doanh nghiệp toàn cầu

Phát hiện này làm thay đổi hoàn toàn cách nhìn về các vụ tấn công ransomware. Theo thống kê của IBM, thithiệt hại trung bình từ một vụ rò rỉ dữ liệu năm 2023 lên tới 4,45 triệu USD, nhưng con số này có thể cao gấp nhiều lần khi liên quan đến gián điệp nhà nước. Các doanh nghiệp không chỉ mất dữ liệu mà còn có nguy cơ bị theo dõi lâu dài và trở thành mục tiêu của các cuộc tấn công phức tạp hơn.

Đối với thị trường Việt Nam, mối đe dọa này đặc biệt nghiêm trọng khi các doanh nghiệp trong nước đang tăng cường số hóa và kết nối quốc tế. Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận hàng nghìn vụ tấn công mạng nhắm vào Việt Nam mỗi tháng, và việc phân biệt giữa tội phạm mạng thông thường với gián điệp nhà nước đang trở nên khó khăn hơn bao giờ hết.

Hướng dẫn phòng thủ toàn diện cho doanh nghiệp Việt

Doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp bảo vệ sau: Thứ nhất, triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và phản ứng tại điểm cuối) để giám sát hành vi bất thường trên hệ thống ngay cả sau khi ransomware được loại bỏ. Thứ hai, thiết lập quy trình phân tích pháp y số sau mỗi vụ tấn công ransomware để xác định xem có dấu hiệu gián điệp hay không. Thứ ba, đào tạo nhân viên IT nhận biết các indicator of compromise (IOC - chỉ báo xâm nhập) đặc trưng của các nhóm APT như MuddyWater.

Chúng tôi khuyến nghị các tổ chức cần xem xét lại toàn bộ các vụ tấn công ransomware đã xảy ra trong 6 tháng gần đây để rà soát khả năng bị gián điệp. Đồng thời, thiết lập kết nối trực tiếp với NCSC để báo cáo và nhận hỗ trợ khi phát hiện các dấu hiệu tấn công có tổ chức. Trong thời đại mà ranh giới giữa tội phạm mạng và gián điệp nhà nước ngày càng mờ nhạt, việc cảnh giác cao độ và phản ứng đúng cách có thể quyết định sự sống còn của doanh nghiệp.