Suốt 3 năm qua, cái tên UNKN đã trở thành nỗi ác mộng của hàng nghìn doanh nghiệp trên khắp thế giới. Gã hacker bí ẩn này điều hành hai băng nhóm ransomware (mã độc tống tiền) khét tiếng nhất lịch sử mạng - GandCrab và REvil. Những vụ tấn công của y không chỉ làm tê liệt hệ thống mà còn tống tiền hàng triệu USD từ các nạn nhân. Hôm nay, bức màn bí mật cuối cùng cũng được vén lên.

Danh tính thật của 'ông trùm bóng đêm'

Cơ quan chức năng Đức vừa công bố thông tin sốc: UNKN chính là Daniil Maksimovich Shchukin, một công dân Nga 31 tuổi. Chúng tôi nhận định đây là một trong những vụ 'doxing' (việc công khai thông tin cá nhân) quan trọng nhất trong lịch sử truy quét tội phạm mạng. Shchukin không phải tên tội phạm bình thường mà là kiến trúc sư đứng đầu đế chế tống tiền mã độc trị giá hàng tỷ USD.

Theo cáo buộc của nhà chức trách Đức, từ năm 2019 đến 2021, Shchukin đã chỉ đạo ít nhất 130 vụ tấn công mạng và tống tiền chỉ riêng tại Đức. Con số này chỉ là phần nổi của tảng băng khổng lồ khi GandCrab và REvil từng hoành hành khắp toàn cầu. Đặc biệt, GandCrab được coi là một trong những chủng ransomware 'thành công' nhất lịch sử với hơn 1 triệu máy tính bị nhiễm.

Từ GandCrab đến REvil: Chuỗi tội ác không hồi kết

GandCrab xuất hiện đầu tiên vào năm 2018 và nhanh chóng trở thành 'vua' của thế giới ransomware. Điều đáng sợ nhất ở GandCrab không phải khả năng mã hóa dữ liệu mà là mô hình kinh doanh Ransomware-as-a-Service (RaaS - dịch vụ cho thuê mã độc tống tiền). Shchukin đã biến việc tống tiền mã độc thành một 'doanh nghiệp' với hệ thống phân cấp, hoa hồng và hỗ trợ kỹ thuật chuyên nghiệp.

Khi GandCrab 'nghỉ hưu' vào cuối 2019, REvil (còn gọi là Sodinokibi) lập tức thế chỗ. Chúng tôi đánh giá REvil còn nguy hiểm hơn người tiền nhiệm khi áp dụng chiến thuật 'double extortion' (tống tiền kép) - vừa mã hóa dữ liệu vừa đe dọa rò rỉ thông tin nhạy cảm. Các nạn nhân nổi bật của REvil bao gồm JBS (tập đoàn thực phẩm lớn nhất thế giới) với khoản tiền chuộc 11 triệu USD và Kaseya với yêu cầu 70 triệu USD.

Cú sốc với cộng đồng an ninh mạng Việt Nam

Việc phanh phui danh tính Shchukin gửi đi tín hiệu mạnh mẽ: không ai có thể ẩn danh mãi mãi trên không gian mạng. Tuy nhiên, điều đáng lo ngại là mô hình RaaS mà y xây dựng vẫn tiếp tục tồn tại và phát triển. Theo báo cáo của BKAV, Việt Nam đang đứng thứ 8 thế giới về số lượng máy tính bị nhiễm ransomware với hơn 2.000 vụ tấn công được ghi nhận mỗi tháng.

Các doanh nghiệp Việt Nam cần đặc biệt cảnh giác vì các băng nhóm kế thừa 'di sản' từ GandCrab và REvil đang ngày càng nhắm vào thị trường Đông Nam Á. Cục An toàn thông tin (Bộ TT&TT) cảnh báo thiệt hại kinh tế từ ransomware tại Việt Nam đã lên tới 500 tỷ đồng trong năm 2023.

Bảo vệ doanh nghiệp: Không còn là tùy chọn

Trước thực trạng này, các tổ chức cần triển khai ngay chiến lược phòng thủ nhiều lớp. Đầu tiên, thực hiện backup (sao lưu dữ liệu) theo quy tắc 3-2-1: 3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline hoặc air-gapped (tách biệt hoàn toàn khỏi mạng). Tiếp theo, cập nhật patch (bản vá lỗ hổng bảo mật) định kỳ cho toàn bộ hệ thống và ứng dụng, đặc biệt chú ý đến các phần mềm từ xa như RDP, VPN.

Chúng tôi khuyến nghị mạnh mẽ triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) kết hợp với Zero Trust Architecture (kiến trúc không tin tưởng). Đồng thời, tổ chức đào tạo nhận thức an ninh mạng cho nhân viên vì 90% vụ tấn công ransomware bắt đầu từ email phishing (lừa đảo qua thư điện tử). Cuối cùng, xây dựng và thường xuyên diễn tập kế hoạch ứng phó sự cố mạng để sẵn sàng cho tình huống xấu nhất.