Khi trộm cướp bắt đầu tranh chấp nội bộ, chính họ lại trở thành nạn nhân của nhau. Cuộc xung đột giữa hai nhóm ransomware 0APT và KryBit vừa diễn ra đã tạo ra một kịch bản không ai ngờ tới: cả hai nhóm tấn công lẫn nhau và vô tình để lộ hàng loạt thông tin mật về hoạt động tội phạm mạng của mình. Điều này mang lại cơ hội quý hiếm cho các nhà nghiên cứu bảo mật để hiểu rõ hơn về cách thức hoạt động của các băng nhóm ransomware - những kẻ đang gây ra thiệt hại hàng tỷ USD trên toàn cầu.

Cuộc chiến nội bộ bất ngờ trong thế giới tội phạm mạng

Thông thường, các nhóm ransomware hoạt động trong bóng tối với sự bảo mật tuyệt đối. Tuy nhiên, mâu thuẫn giữa 0APT và KryBit đã phá vỡ quy tắc này một cách ngoạn mục. Thay vì tập trung tấn công các mục tiêu bên ngoài, hai nhóm này đã quay súng vào nhau, sử dụng chính những kỹ thuật ransomware để tấn công đối phương. Kết quả là dữ liệu nhạy cảm của cả hai bên đều bị công khai, tạo ra một vụ rò rỉ thông tin 'hai mặt' chưa từng có.

Chúng tôi cho rằng đây là minh chứng rõ ràng cho thấy thế giới tội phạm mạng không phải lúc nào cũng đoàn kết như người ta tưởng. Sự ganh đua về lãnh thổ, khách hàng hoặc công nghệ có thể dẫn đến những cuộc xung đột nội bộ gay gắt. Trong trường hợp này, cả hai nhóm đều đã trả giá đắt cho sự bất hòa của mình.

Kho báu thông tin từ cuộc đấu tố công khai

Dữ liệu bị rò rỉ từ cuộc xung đột này bao gồm thông tin về infrastructure (cơ sở hạ tầng) mà các nhóm sử dụng, bao gồm máy chủ, công cụ tấn công, và các kênh liên lạc nội bộ. Đặc biệt, các operational data (dữ liệu hoạt động) như quy trình làm việc, phân công nhiệm vụ, và thậm chí cả danh sách nạn nhân cũng được tiết lộ. Đây là những thông tin mà các cơ quan an ninh mạng thường phải mất nhiều năm mới thu thập được.

Theo đánh giá của chúng tôi, việc có được insight (cái nhìn sâu sắc) vào hoạt động nội bộ của ransomware groups là vô cùng quý giá. Nó giống như việc được nhìn thẳng vào sổ sách kế toán của một tổ chức tội phạm. Các chuyên gia bảo mật giờ đây có thể hiểu rõ hơn về tactics, techniques, and procedures (TTP - chiến thuật, kỹ thuật và quy trình) mà các nhóm này sử dụng, từ đó xây dựng các biện pháp phòng thủ hiệu quả hơn.

Tác động lan rộng từ cuộc chiến nội bộ

Vụ việc này không chỉ ảnh hưởng đến hai nhóm trực tiếp tham gia mà còn có tác động rộng lớn đến toàn bộ hệ sinh thái ransomware. Thông tin bị rò rỉ có thể giúp các cơ quan thực thi pháp luật truy vết và bắt giữ thành viên của các nhóm này. Đồng thời, nó cũng làm giảm niềm tin giữa các nhóm tội phạm mạng khác nhau, có thể dẫn đến sự phân mảnh trong cộng đồng này.

Bài học bảo mật cho doanh nghiệp Việt Nam

Dù vụ việc diễn ra ở nước ngoài, doanh nghiệp Việt Nam cần rút ra bài học quan trọng: ransomware vẫn là mối đe dọa hàng đầu và không ngừng tiến hóa. Các công ty nên ngay lập tức kiểm tra hệ thống backup (sao lưu dự phòng), đảm bảo cập nhật patch bảo mật định kỳ, và triển khai giải pháp endpoint detection and response (EDR - phát hiện và phản ứng điểm cuối). Đồng thời, việc đào tạo nhân viên nhận biết email phishing và các kỹ thuật social engineering cũng cực kỳ cần thiết.

Chúng tôi khuyến nghị các doanh nghiệp nên xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết, bao gồm cả kịch bản bị tấn công ransomware. Thực hành drill (diễn tập) định kỳ sẽ giúp đội ngũ IT sẵn sàng ứng phó khi sự cố thật sự xảy ra. Hơn nữa, việc hợp tác với các đơn vị chuyên trách như Cục An toàn thông tin - Bộ TT&TT cũng sẽ mang lại lợi ích lớn trong việc cập nhật thông tin về các mối đe dọa mới.