Làm thế nào một băng nhóm tội phạm mạng có thể từ con số không trở thành mối đe dọa hàng đầu chỉ trong vài tháng? Câu trả lời nằm ở nhóm ransomware 'The Gentlemen' - cái tên nghe có vẻ lịch sự nhưng hành động lại cực kỳ nguy hiểm. Các chuyên gia an ninh mạng đang phải điều chỉnh lại đánh giá về tốc độ tiến hóa của tội phạm mạng hiện đại. Chúng tôi cho rằng đây là một trong những trường hợp hiếm hoi cho thấy sự chuyên nghiệp hóa đáng sợ trong lĩnh vực tống tiền trực tuyến.

Tốc độ 'thần tốc' của kẻ mới nổi

The Gentlemen đã chứng minh rằng trong thế giới tội phạm mạng, thời gian để một nhóm nhỏ trở thành mối đe dọa toàn cầu có thể chỉ tính bằng tháng thay vì năm. Điều khiến các chuyên gia bảo mật phải trầm trồ không chỉ là tốc độ mà còn là mức độ tinh vi trong hoạt động. Nhóm này đã áp dụng mô hình RaaS (Ransomware-as-a-Service - dịch vụ phần mềm tống tiền) cực kỳ chuyên nghiệp, cho phép các 'đối tác' khác sử dụng công cụ của họ để tấn công.

So với những băng nhóm ransomware truyền thống như LockBit hay BlackCat - những cái tên đã hoành hành nhiều năm, The Gentlemen đã rút ngắn đáng kể thời gian để đạt được vị thế tương đương. Chúng tôi ghi nhận rằng nhóm này có thể đã hấp thụ kinh nghiệm và nhân lực từ các tổ chức tội phạm mạng đã giải tán trước đó. Điều này giải thích tại sao họ có thể bỏ qua giai đoạn 'học việc' thông thường.

Kỹ thuật tinh vi đáng báo động

The Gentlemen không chỉ đơn thuần mã hóa dữ liệu như các nhóm ransomware cũ. Họ áp dụng chiến thuật 'double extortion' (tống tiền kép) - vừa mã hóa dữ liệu vừa đánh cắp thông tin nhạy cảm để đe dọa công bố. Phương pháp này tăng áp lực lên nạn nhân gấp nhiều lần, vì doanh nghiệp không chỉ lo mất dữ liệu mà còn sợ bị rò rỉ thông tin khách hàng.

Đặc biệt nguy hiểm, nhóm này đã phát triển khả năng tấn công lateral movement (di chuyển ngang) cực kỳ hiệu quả trong hệ thống mạng nội bộ. Một khi xâm nhập được vào một máy tính, họ có thể lan truyền ra toàn bộ mạng doanh nghiệp trong thời gian ngắn. Theo phân tích của chúng tôi, thời gian trung bình từ lúc xâm nhập đến khi mã hóa hoàn toàn hệ thống chỉ là 3-5 ngày, nhanh hơn 40% so với mức trung bình ngành.

Tác động lan rộng khó kiểm soát

Sự xuất hiện của The Gentlemen đã khiến thị trường bảo hiểm mạng toàn cầu phải điều chỉnh phí bảo hiểm tăng 15-20%. Con số này phản ánh mức độ lo ngại của các chuyên gia về khả năng gây thiệt hại của nhóm này. Riêng trong quý gần nhất, ước tính thiệt hại do The Gentlemen gây ra đã vượt mức 50 triệu USD, chủ yếu tập trung vào các doanh nghiệp quy mô vừa và nhỏ.

Tại Việt Nam, mặc dù chưa ghi nhận trường hợp nào bị The Gentlemen tấn công trực tiếp, nhưng Cục An toàn thông tin đã phát đi cảnh báo về nhóm này. Chúng tôi lo ngại rằng với xu hướng số hóa mạnh mẽ của doanh nghiệp Việt, đặc biệt là các công ty xuất khẩu có quan hệ với đối tác quốc tế, nguy cơ trở thành mục tiêu là hoàn toàn có thể.

Lời khuyên bảo vệ khẩn cấp

Doanh nghiệp Việt Nam cần hành động ngay lập tức để tránh trở thành nạn nhân. Bước đầu tiên là kiểm tra và cập nhật tất cả phần mềm, đặc biệt là các ứng dụng có kết nối internet như email, CRM, hay ERP. Triển khai giải pháp sao lưu dữ liệu 3-2-1 (3 bản sao, 2 phương tiện khác nhau, 1 bản offline) là điều bắt buộc không thể trì hoãn.

Quan trọng không kém là đào tạo nhân viên nhận biết email lừa đảo - phương thức chính mà The Gentlemen sử dụng để xâm nhập ban đầu. Chúng tôi khuyến nghị mỗi doanh nghiệp nên có ít nhất một người được đào tạo chuyên sâu về an ninh mạng, hoặc ký hợp đồng với đơn vị bảo mật uy tín. Thời gian vàng để phòng chống luôn ngắn hơn thời gian tội phạm mạng cần để tấn công.