Bạn có từng tưởng tượng ransomware như một "ngành công nghiệp" với đầy đủ bộ phận chuyên môn không? Angelo Martino, 41 tuổi đến từ Land O'Lakes, Florida vừa nhận tội về việc làm "chuyên gia đàm phán" cho băng nhóm BlackCat từ tháng 4/2023. Đây không chỉ là một vụ án đơn lẻ mà là minh chứng cho sự tiến hóa đáng báo động của tội phạm mạng hiện đại. Martino đã trở thành cá nhân thứ 3 trong năm nay nhận tội về vai trò "negotiator" - người trung gian mặc cả trong các vụ tấn công ransomware nhằm vào doanh nghiệp Mỹ.

Nghề "mới" trong thế giới tội phạm mạng

Vai trò "ransomware negotiator" nghe có vẻ như một nghề bình thường trong kinh doanh, nhưng thực chất lại là mắt xích quan trọng trong chuỗi tội phạm mạng. Martino đã hỗ trợ các thành viên BlackCat trong việc đàm phán với các nạn nhân để "tối ưu hóa" số tiền chuộc thu được. Thay vì để các hacker tự thương lượng một cách thô thiển, băng nhóm này đã thuê những người có kỹ năng giao tiếp và tâm lý học để tăng hiệu quả "kinh doanh".

Chúng tôi cho rằng điều này đánh dấu một bước ngoặt nghiêm trọng trong lịch sử tội phạm mạng. Khi ransomware trở thành một "doanh nghiệp" có đầy đủ phân công lao động chuyên môn, khả năng gây thiệt hại sẽ tăng lên gấp bội. BlackCat (hay còn gọi là ALPHV) đã trở thành một trong những họ ransomware nguy hiểm nhất với mô hình RaaS (Ransomware-as-a-Service), cho phép các "đối tác" thuê dịch vụ để thực hiện tấn công.

Phẫu thuật chiến thuật của BlackCat

BlackCat hoạt động theo mô hình phức tạp với nhiều lớp chuyên môn hóa. Băng nhóm này không chỉ phát triển mã độc mà còn cung cấp toàn bộ "hệ sinh thái" tấn công bao gồm: công cụ xâm nhập, mã hóa dữ liệu, trang web đàm phán trên Dark Web và giờ đây là cả dịch vụ negotiator chuyên nghiệp. Martino được cho là đã làm việc với 5 nhóm tấn công khác nhau, cho thấy quy mô hoạt động rộng lớn.

Theo phân tích của chúng tôi, việc sử dụng negotiator chuyên nghiệp có thể tăng tỷ lệ thành công trong việc thu tiền chuộc lên 40-60%. Những người này được đào tạo về tâm lý học, kỹ thuật thuyết phục và thậm chí cả kiến thức pháp lý để tạo áp lực tối đa lên nạn nhân. Họ biết cách khai thác nỗi sợ hãi, tạo ra cảm giác cấp bách và thuyết phục doanh nghiệp rằng việc trả tiền là "lựa chọn duy nhất".

Tác động tàn phá đến doanh nghiệp toàn cầu

BlackCat đã gây ra thiệt hại hàng tỷ USD trên toàn thế giới, với hơn 1.000 tổ chức bị tấn công kể từ năm 2021. Nhóm này đặc biệt nhắm vào các ngành nhạy cảm như y tế, giáo dục và cơ sở hạ tầng quan trọng. Trong năm 2023, họ đã tấn công thành công nhiều bệnh viện lớn, khiến hệ thống y tế tê liệt và đe dọa trực tiếp tính mạng bệnh nhân.

Tại Việt Nam, mặc dù chưa có báo cáo chính thức về thiệt hại từ BlackCat, nhưng theo Cục An toàn Thông tin, các vụ tấn công ransomware nói chung đã tăng 200% trong năm 2023 so với năm trước. Đặc biệt đáng lo ngại là xu hướng các băng nhóm quốc tế ngày càng chú ý đến thị trường Đông Nam Á, bao gồm cả Việt Nam, do sự phát triển nhanh chóng của kinh tế số nhưng hạ tầng an ninh mạng còn nhiều hạn chế.

Biện pháp phòng thủ cấp thiết cho doanh nghiệp Việt

Trước nguy cơ này, các doanh nghiệp Việt Nam cần triển khai ngay các biện pháp bảo vệ đa lớp. Đầu tiên, thiết lập hệ thống sao lưu dữ liệu 3-2-1 (3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline). Thứ hai, cập nhật thường xuyên hệ điều hành và phần mềm, đặc biệt chú ý các bản vá bảo mật Zero-day. Thứ ba, triển khai giải pháp EDR (Endpoint Detection and Response) để phát hiện sớm các dấu hiệu xâm nhập bất thường.

Chúng tôi khuyến nghị mạnh mẽ các doanh nghiệp nên đầu tư vào đào tạo nhân viên về nhận biết email lừa đảo và social engineering - hai phương thức chính mà BlackCat sử dụng để xâm nhập ban đầu. Đồng thời, xây dựng kế hoạch ứng phó sự cố mạng chi tiết, bao gồm cả quy trình cách ly hệ thống và liên hệ cơ quan chức năng. Điều quan trọng nhất: tuyệt đối không đàm phán hay trả tiền chuộc, vì điều này chỉ khuyến khích tội phạm tiếp tục hoạt động và không đảm bảo dữ liệu sẽ được khôi phục hoàn toàn.