Bạn nghĩ rằng mã độc tống tiền chỉ mã hóa dữ liệu của bạn? Hãy nghĩ lại. Trigona ransomware vừa chứng minh rằng chúng đã tiến hóa thành một vũ khí kép nguy hiểm hơn bao giờ hết. Nhóm tội phạm mạng này không chỉ khóa dữ liệu nạn nhân mà còn âm thầm đánh cắp thông tin quan trọng bằng một công cụ tùy chỉnh hoàn toàn mới. Đây chính là minh chứng cho xu hướng double extortion - tống tiền kép đang trở thành tiêu chuẩn mới trong thế giới tội phạm mạng.

Vũ khí kép trong tay tội phạm mạng

Trigona ransomware đã phát triển một công cụ command-line (giao diện dòng lệnh) riêng để thực hiện data exfiltration - quá trình đánh cắp dữ liệu từ hệ thống bị xâm phạm. Công cụ này hoạt động âm thầm trong nền, tải lên các file quan trọng lên server của tội phạm trước khi tiến hành mã hóa. Chúng tôi cho rằng đây là một bước tiến đáng lo ngại trong chiến thuật của các nhóm ransomware hiện đại.

Khác với các ransomware truyền thống chỉ mã hóa dữ liệu và yêu cầu tiền chuộc, Trigona áp dụng mô hình tống tiền kép. Nếu nạn nhân từ chối trả tiền, chúng sẽ đe dọa công bố toàn bộ dữ liệu nhạy cảm đã đánh cắp được. Điều này tạo ra áp lực gấp đôi lên các tổ chức bị tấn công, đặc biệt là những doanh nghiệp xử lý thông tin khách hàng hoặc dữ liệu tài chính.

Phẫu thuật công cụ đánh cắp dữ liệu tùy chỉnh

Công cụ exfiltration của Trigona được thiết kế để hoạt động hiệu quả và né tránh các hệ thống phát hiện. Tool này sử dụng giao diện command-line, cho phép tự động hóa quá trình quét và trích xuất các file có giá trị cao như tài liệu tài chính, cơ sở dữ liệu khách hàng, và thông tin nhạy cảm khác. Việc sử dụng công cụ tùy chỉnh thay vì các phần mềm có sẵn giúp Trigona tránh được sự phát hiện của các giải pháp bảo mật truyền thống.

Theo phân tích của chúng tôi, công cụ này được tối ưu hóa về tốc độ và khả năng ẩn mình. Nó có thể nén và mã hóa dữ liệu trước khi truyền tải, đồng thời phân chia thành nhiều phần nhỏ để tránh kích hoạt cảnh báo về lưu lượng mạng bất thường. Điều này cho thấy mức độ chuyên nghiệp ngày càng cao của các nhóm ransomware hiện tại.

Tác động lan rộng đến doanh nghiệp toàn cầu

Mô hình tống tiền kép của Trigona đã gây ra thiệt hại nghiêm trọng cho nhiều tổ chức trên toàn thế giới. Theo báo cáo từ các công ty bảo mật, tỷ lệ nạn nhân trả tiền chuộc cho các cuộc tấn công ransomware kép cao gấp 3 lần so với ransomware truyền thống. Lý do chính là nỗi sợ hãi về việc dữ liệu nhạy cảm bị công bố, có thể dẫn đến kiện tụng, phạt tiền từ cơ quan quản lý và mất lòng tin của khách hàng.

Tại Việt Nam, mặc dù chưa ghi nhận trường hợp nào bị Trigona tấn công cụ thể, nhưng các chuyên gia an ninh mạng cảnh báo nguy cơ cao. Nhiều doanh nghiệp Việt vẫn chưa có chiến lược ứng phó hiệu quả với mô hình tống tiền kép. Điều đáng lo ngại là 70% doanh nghiệp vừa và nhỏ tại Việt Nam vẫn chưa có kế hoạch backup dữ liệu đầy đủ, khiến họ trở thành mục tiêu dễ dàng.

Chiến lược phòng thủ toàn diện cho doanh nghiệp Việt

Để đối phó với Trigona và các ransomware tương tự, doanh nghiệp Việt Nam cần áp dụng chiến lược phòng thủ nhiều lớp. Đầu tiên là triển khai Data Loss Prevention (DLP) - hệ thống ngăn chặn mất mát dữ liệu để giám sát và chặn các hoạt động truyền tải file bất thường. Thứ hai, cần cập nhật các giải pháp Endpoint Detection and Response (EDR) có khả năng phát hiện hoạt động của các công cụ command-line đáng ngờ.

Chúng tôi khuyến nghị các doanh nghiệp thực hiện ngay các bước sau: thứ nhất, thiết lập network segmentation - phân đoạn mạng để hạn chế khả năng lan truyền của malware. Thứ hai, triển khai Zero Trust Architecture - mô hình bảo mật không tin tưởng tuyệt đối, xác thực mọi truy cập. Thứ ba, định kỳ kiểm tra và cập nhật backup offline để đảm bảo có thể phục hồi dữ liệu mà không cần trả tiền chuộc. Cuối cùng, đào tạo nhân viên nhận biết các dấu hiệu tấn công social engineering - kỹ thuật lừa đảo con người thường được sử dụng để xâm nhập ban đầu.