Ai mà ngờ được những tên tội phạm mạng tinh vi lại có thể mắc lỗi ngớ ngẩn đến thế. Nhóm ransomware 'The Gentlemen' - một trong những băng nhóm tống tiền trực tuyến nguy hiểm nhất thế giới - vừa trở thành nạn nhân của chính thảm họa bảo mật mà họ thường gây ra cho người khác. Một lỗi OPSEC (Operational Security - bảo mật hoạt động) nghiệp dư đã khiến toàn bộ dữ liệu nội bộ của tổ chức tội phạm này bị phơi bày. Giờ đây, thế giới cuối cùng cũng có cơ hội nhìn thấu bản chất thực sự của đế chế tống tiền tỷ đô này.

Khi kẻ săn mồi trở thành con mồi

Sự cố này không chỉ đơn thuần là một vụ rò rỉ dữ liệu thông thường. Đây là lần đầu tiên các chuyên gia an ninh mạng có được cái nhìn toàn diện về cách thức hoạt động nội bộ của một nhóm RaaS (Ransomware-as-a-Service - tống tiền dưới hình thức dịch vụ) hàng đầu. The Gentlemen không phải là một băng nhóm hacker truyền thống, mà là một tổ chức kinh doanh có cấu trúc chặt chẽ với mô hình franchise tinh vi.

Theo dữ liệu bị rò rỉ, chúng tôi phát hiện ra rằng The Gentlemen đã xây dựng một hệ sinh thái tội phạm cực kỳ hiệu quả. Họ không tự thực hiện các cuộc tấn công, mà cung cấp công cụ ransomware cho các "đối tác" (affiliate) và chia sẻ lợi nhuận. Đây chính là lý do tại sao nhóm này có thể mở rộng quy mô hoạt động một cách chóng mặt trong thời gian ngắn.

Bí mật đằng sau đế chế tỷ đô

Điều khiến The Gentlemen trở nên đáng sợ không phải là công nghệ, mà là mô hình kinh doanh tàn nhẫn của chúng. Dữ liệu rò rỉ cho thấy nhóm này áp dụng chính sách chia sẻ lợi nhuận cực kỳ hấp dẫn - affiliate có thể nhận tới 80% tiền chuộc, trong khi các nhóm khác chỉ cho 60-70%. Con số này giải thích tại sao nhiều hacker độc lập lại đổ xô tham gia mạng lưới của The Gentlemen.

Thêm vào đó, nhóm này còn cung cấp một hệ thống hỗ trợ kỹ thuật 24/7 cho các affiliate, từ hướng dẫn sử dụng công cụ đến tư vấn đàm phán với nạn nhân. Chúng tôi cho rằng đây chính là yếu tố then chốt giúp The Gentlemen thu hút được đông đảo "nhân viên" trên toàn thế giới. Họ đã biến tội phạm mạng thành một nghề "dễ làm" với bất kỳ ai có kiến thức tin học cơ bản.

TTPs - chiến thuật của kẻ cơ hội chủ nghĩa

Phân tích sâu hơn cho thấy The Gentlemen áp dụng chiến thuật TTPs (Tactics, Techniques, and Procedures - chiến thuật, kỹ thuật và quy trình) rất linh hoạt và cơ hội chủ nghĩa. Thay vì tập trung vào một mục tiêu cụ thể, họ săn lùng bất kỳ tổ chức nào có thể trả được tiền chuộc cao. Từ bệnh viện, trường học đến các công ty sản xuất - không ai được thả.

Đặc biệt đáng lo ngại là việc nhóm này liên tục cập nhật kho vũ khí mạng của mình. Dữ liệu rò rỉ tiết lộ họ sở hữu hàng chục công cụ khai thác zero-day exploits và luôn săn lùng các lỗ hổng bảo mật mới nhất. Điều này khiến cho việc phòng chống trở nên cực kỳ khó khăn, ngay cả với các tổ chức có hệ thống bảo mật tiên tiến nhất.

Lời cảnh báo cho doanh nghiệp Việt Nam

Với thông tin chi tiết về hoạt động của The Gentlemen giờ đã bị lộ, các doanh nghiệp Việt Nam cần nâng cao cảnh giác hơn bao giờ hết. Theo số liệu từ Cục An toàn thông tin (Bộ TT&TT), Việt Nam đang nằm trong top 10 quốc gia bị tấn công ransomware nhiều nhất khu vực Đông Nam Á. Các doanh nghiệp cần ngay lập tức kiểm tra và cập nhật hệ thống bảo mật của mình.

Chúng tôi khuyến nghị các tổ chức thực hiện ngay những bước sau: backup dữ liệu thường xuyên và lưu trữ offline, cập nhật patches bảo mật cho tất cả phần mềm, triển khai giải pháp EDR (Endpoint Detection and Response), và quan trọng nhất là đào tạo nhân viên nhận biết các email lừa đảo. Bởi vì như The Gentlemen đã chứng minh, ngay cả những kẻ tinh vi nhất cũng có thể mắc lỗi - nhưng nạn nhân của chúng không được phép có sai sót nào.