Một kẻ môi giới ransomware vừa bị kết án tù giam - điều mà nhiều chuyên gia cho là hiếm hoi trong thế giới tội phạm mạng. Deniss Zolotarjovs, thành viên cốt cán của nhóm ransomware Karakurt, đã chính thức lĩnh án sau khi bị pháp luật Mỹ truy tố. Vai trò của hắn không phải là lập trình viên hay hacker xâm nhập, mà là người đàm phán trực tiếp với các nạn nhân - một nghề "bẩn" ít được biết đến nhưng cực kỳ quan trọng trong chuỗi tội phạm ransomware. Vụ án này không chỉ đánh dấu một chiến thắng hiếm hoi của cơ quan thực thi pháp luật, mà còn hé lộ những bí mật về cách thức hoạt động tinh vi của các băng nhóm tống tiền mạng hiện đại.

Nghề môi giới tống tiền - khi tội phạm mạng "chuyên nghiệp hóa"

Deniss Zolotarjovs đại diện cho một xu hướng đáng lo ngại trong thế giới ransomware: sự phân công chuyên môn rõ ràng như một doanh nghiệp thực thụ. Thay vì hoạt động đơn lẻ, các nhóm ransomware hiện đại như Karakurt đã xây dựng cấu trúc tổ chức phức tạp với nhiều vai trò khác nhau. Zolotarjovs không cần biết cách viết mã độc hay tấn công hệ thống, nhưng hắn lại được đào tạo để trở thành một "chuyên gia đàm phán" với kỹ năng thao túng tâm lý nạn nhân.

Chúng tôi cho rằng đây chính là điều khiến ransomware trở nên nguy hiểm gấp bội. Khi mỗi thành viên chỉ tập trung vào một nhiệm vụ cụ thể, hiệu quả tấn công tăng lên đáng kể. Zolotarjovs được giao nhiệm vụ gây áp lực tâm lý với các nạn nhân, thuyết phục họ trả tiền chuộc bằng cách đe dọa công khai dữ liệu nhạy cảm. Hắn thậm chí còn biết cách "giảm giá" tiền chuộc để tạo cảm giác "hời" cho nạn nhân - một chiến thuật marketing điêu luyện.

Phẫu thuật chiến lược "double extortion" của nhóm Karakurt

Karakurt nổi tiếng với chiến thuật "double extortion" (tống tiền kép) - một phương pháp tấn công tinh vi hơn nhiều so với ransomware truyền thống. Thay vì chỉ mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã, nhóm này còn đánh cắp thông tin nhạy cảm trước khi mã hóa. Nạn nhân không chỉ mất khả năng truy cập dữ liệu, mà còn đối mặt với nguy cơ bị công khai thông tin trên các trang web "leak site" (trang rò rỉ dữ liệu).

Theo phân tích của chúng tôi, đây là lý do tại sao Karakurt cần những "chuyên gia đàm phán" như Zolotarjovs. Việc thuyết phục nạn nhân trả tiền trong bối cảnh double extortion đòi hỏi kỹ năng tâm lý học cao cấp. Hắn phải biết cách cân bằng giữa việc tạo áp lực đủ mạnh để nạn nhân sợ hãi, nhưng không quá mức khiến họ từ bỏ đàm phán. Các cuộc trò chuyện giữa Zolotarjovs và nạn nhân thường kéo dài nhiều ngày, với những "deadline" giả tạo và chiến thuật giảm giá theo thời gian.

Tác động toàn cầu - con số đáng báo động

Việc bắt giữ và kết án Zolotarjovs chỉ là giọt nước trong biển cả khi xét đến quy mô thiệt hại mà ransomware gây ra toàn cầu. Theo báo cáo của Cybersecurity Ventures, tổng thiệt hại từ ransomware năm 2023 ước tính lên tới 20 tỷ USD, tăng 57% so với năm trước. Riêng nhóm Karakurt được cho là đã tấn công hơn 300 tổ chức trên khắp thế giới, với tổng số tiền chuộc thu được ước tính hàng chục triệu USD.

Tại Việt Nam, tình hình cũng không khả quan hơn. Cục An toàn thông tin (Bộ TT&TT) ghi nhận trung bình mỗi tháng có 15-20 vụ tấn công ransomware nhắm vào các doanh nghiệp và cơ quan nhà nước. Mặc dù chưa có báo cáo cụ thể về Karakurt tại Việt Nam, nhưng chúng tôi đánh giá rằng các doanh nghiệp Việt hoàn toàn nằm trong tầm ngắm của nhóm này, đặc biệt là những công ty có quan hệ kinh doanh quốc tế.

Làm thế nào để bảo vệ doanh nghiệp khỏi chiến thuật Karakurt

Việc kết án Zolotarjovs tuy là tin vui, nhưng các doanh nghiệp Việt Nam không thể chủ quan. Chúng tôi khuyến nghị các biện pháp phòng ngừa cụ thể sau: Đầu tiên, triển khai chiến lược sao lưu "3-2-1" - giữ 3 bản sao dữ liệu trên 2 loại phương tiện khác nhau, với 1 bản lưu ngoại tuyến (offline). Thứ hai, thực hiện phân quyền truy cập nghiêm ngặt theo nguyên tắc "least privilege" - mỗi nhân viên chỉ được truy cập dữ liệu tối thiểu cần thiết cho công việc.

Quan trọng không kém, doanh nghiệp cần đầu tư vào đào tạo nhận thức an ninh mạng cho nhân viên, đặc biệt tập trung vào việc nhận biết email lừa đảo (phishing) - con đường chính mà Karakurt sử dụng để xâm nhập hệ thống. Cuối cùng, xây dựng kế hoạch ứng phó sự cố (incident response plan) chi tiết và thực hành định kỳ. Nhớ rằng, khi đối mặt với những "chuyên gia đàm phán" như Zolotarjovs, việc chuẩn bị trước là vũ khí mạnh nhất.