Bạn có tin tưởng tuyệt đối vào chuyên gia an ninh mạng đang bảo vệ hệ thống công ty mình? Bộ Tư pháp Mỹ vừa tuyên án 4 năm tù cho hai chuyên gia an ninh mạng vì tội triển khai ransomware BlackCat tấn công nhiều doanh nghiệp trên khắp nước Mỹ. Ryan Goldberg (40 tuổi, Georgia) và Kevin Martin (36 tuổi, Texas) đã lợi dụng kiến thức chuyên môn để trở thành tội phạm mạng từ tháng 4 đến tháng 12/2023. Vụ việc này đặt ra câu hỏi nghiêm trọng về việc kiểm soát những người có quyền truy cập đặc quyền vào hệ thống quan trọng.

Khi người bảo vệ trở thành kẻ tấn công

BlackCat ransomware (còn được gọi là ALPHV) là một trong những dòng mã độc nguy hiểm nhất hiện tại, được viết bằng ngôn ngữ Rust để tăng hiệu suất và khó phát hiện. Ransomware là loại mã độc mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để giải mã. Điều đáng lo ngại là hai bị cáo không phải là hacker nghiệp dư mà là những chuyên gia có kinh nghiệm trong lĩnh vực an ninh mạng.

Goldberg và Martin đã khai thác chính những kỹ năng mà họ sử dụng để bảo vệ các tổ chức nhằm tấn công chúng. Họ hiểu rõ cách thức hoạt động của hệ thống bảo mật, biết cách vượt qua các lớp phòng thủ và am hiểu điểm yếu của infrastructure (cơ sở hạ tầng IT) doanh nghiệp. Chúng tôi cho rằng đây chính là lý do tại sao các cuộc tấn công của họ có thể kéo dài suốt 8 tháng mà không bị phát hiện sớm.

Phân tích kỹ thuật: Tại sao BlackCat lại nguy hiểm đến vậy?

BlackCat ransomware nổi bật so với các dòng ransomware truyền thống bởi kiến trúc kỹ thuật tiên tiến. Được phát triển bằng Rust - ngôn ngữ lập trình hiện đại, BlackCat có khả năng hoạt động trên nhiều platform (nền tảng) khác nhau từ Windows, Linux đến VMware ESXi. Điều này cho phép kẻ tấn công nhắm mục tiêu vào cả máy chủ vật lý và môi trường ảo hóa.

Mã độc này áp dụng mô hình RaaS (Ransomware as a Service - dịch vụ ransomware), nghĩa là các nhóm tội phạm có thể "thuê" công cụ này để thực hiện tấn công. Goldberg và Martin có thể đã trở thành affiliate (đối tác) của nhóm BlackCat, nhận được một phần lợi nhuận từ tiền chuộc thu được. Theo đánh giá của chúng tôi, việc hai chuyên gia an ninh tham gia vào mạng lưới này đã làm tăng đáng kể tính chuyên nghiệp và hiệu quả của các cuộc tấn công.

Tác động tàn phá: Con số đáng báo động

Ransomware BlackCat đã gây thiệt hại hàng tỷ USD trên toàn cầu, với hơn 1.000 tổ chức trở thành nạn nhân kể từ khi xuất hiện vào cuối 2021. FBI ước tính trung bình mỗi vụ tấn công BlackCat yêu cầu tiền chuộc từ 400.000 đến 1,8 triệu USD. Các mục tiêu chủ yếu là doanh nghiệp lớn, bệnh viện, trường học và cơ quan chính phủ - những nơi không thể chấp nhận việc mất dữ liệu trong thời gian dài.

Đối với Việt Nam, mặc dù chưa có thống kê cụ thể về BlackCat, nhưng Cục An toàn thông tin (Bộ TT&TT) ghi nhận ransomware vẫn là mối đe dọa hàng đầu. Năm 2023, có ít nhất 15 doanh nghiệp Việt Nam bị tấn công ransomware, thiệt hại ước tính hàng trăm tỷ đồng. Việc hai chuyên gia an ninh mạng trở thành tội phạm là hồi chuông cảnh báo cho các doanh nghiệp Việt về tầm quan trọng của việc kiểm soát nội bộ.

Hướng dẫn bảo vệ: Những bước cần làm ngay

Doanh nghiệp Việt Nam cần áp dụng ngay nguyên tắc Zero Trust (không tin tưởng tuyệt đối) và thực hiện background check (kiểm tra lý lịch) kỹ lưỡng cho nhân viên IT. Triển khai hệ thống giám sát hoạt động privileged user (người dùng đặc quyền) bằng các công cụ PAM (Privileged Access Management) để theo dõi mọi hành động của admin. Backup (sao lưu) dữ liệu theo quy tắc 3-2-1: 3 bản sao, 2 phương tiện khác nhau, 1 bản offline không kết nối mạng.

Chúng tôi khuyến nghị các doanh nghiệp nên thực hiện penetration testing (kiểm thử xâm nhập) định kỳ bởi bên thứ ba độc lập thay vì chỉ dựa vào đội ngũ nội bộ. Đặc biệt quan trọng là phải thiết lập cơ chế phân quyền chặt chẽ, không ai được phép truy cập tất cả hệ thống cùng lúc. Cuối cùng, tổ chức huấn luyện thường xuyên cho nhân viên về nhận biết các dấu hiệu tấn công ransomware và quy trình ứng phó khẩn cấp khi bị tấn công.