Khi một hacker chuyên đàm phán tiền chuộc ransomware thú nhận tội ác trước tòa án, điều này không chỉ đơn thuần là một vụ bắt giữ thành công. Vụ việc liên quan đến nhóm BlackCat - một trong những băng nhóm ransomware nguy hiểm nhất thế giới - đã phơi bày một sự thật đáng sợ về cách thức hoạt động của ngành công nghiệp tội phạm mạng. Quan trọng hơn, nó cảnh báo các doanh nghiệp về một lỗi sai chết người khi đối phó với tấn công ransomware. Chúng tôi cho rằng đây chính là bài học mà mọi CISO tại Việt Nam đều phải ghi nhớ.

Khi kẻ đàm phán trở thành tội phạm chính

BlackCat (hay còn gọi là ALPHV) không phải cái tên xa lạ trong cộng đồng an ninh mạng. Đây là một trong những nhóm ransomware as a Service (RaaS) hoạt động theo mô hình nhượng quyền, cho phép các hacker khác sử dụng mã độc của họ để tấn công với điều kiện chia sẻ lợi nhuận. Điều đáng chú ý là nhóm này đã phát triển cả một bộ máy chuyên nghiệp để đàm phán tiền chuộc với nạn nhân.

Việc một đàm phán viên ransomware thú tội tạo ra tiền례 pháp lý quan trọng. Theo các chuyên gia an ninh mạng, điều này chứng minh rằng việc tham gia bất kỳ khâu nào trong quy trình thanh toán tiền chuộc đều có thể bị coi là đồng lõa với tội phạm. Thậm chí ngay cả những người chỉ đóng vai trò trung gian đàm phán cũng phải chịu trách nhiệm pháp lý tương đương với kẻ tấn công chính.

Ransomware as a Service - Mô hình tội phạm công nghiệp hóa

BlackCat đại diện cho thế hệ ransomware mới với cách thức hoạt động cực kỳ chuyên nghiệp. Khác với những nhóm hacker truyền thống hoạt động rời rạc, BlackCat vận hành theo mô hình doanh nghiệp hoàn chỉnh. Họ có bộ phận phát triển mã độc, đội ngũ penetration testing, nhóm customer service để hỗ trợ nạn nhân thanh toán, và đặc biệt là đội ngũ đàm phán chuyên nghiệp.

Mã độc BlackCat được viết bằng ngôn ngữ Rust, giúp nó có khả năng tương thích đa nền tảng và khó bị phát hiện hơn. Nhóm này còn áp dụng chiến thuật double extortion (tống tiền kép) - vừa mã hóa dữ liệu, vừa đe dọa công bố thông tin nhạy cảm nếu nạn nhân không trả tiền. Theo thống kê từ các công ty bảo mật quốc tế, BlackCat đã tấn công hơn 1000 tổ chức trên toàn cầu, gây thiệt hại ước tính lên đến hàng tỷ USD.

Tác động lan rộng - Khi ranh giới pháp lý bị xóa nhòa

Vụ việc này tạo ra những tác động pháp lý sâu rộng mà nhiều doanh nghiệp chưa lường trước được. Nếu người đàm phán tiền chuộc có thể bị truy tố hình sự, điều này đặt ra câu hỏi về vai trò của các công ty tư vấn an ninh mạng, công ty bảo hiểm cyber, và cả những luật sư chuyên xử lý vụ việc ransomware. Chúng tôi cho rằng đây sẽ là bước ngoặt buộc các bên liên quan phải xem xét lại toàn bộ quy trình ứng phó với tấn công mã độc.

Tại Việt Nam, mặc dù chưa có thống kê chính thức về số vụ tấn công BlackCat, nhưng theo báo cáo từ Cục An toàn thông tin (Bộ TT&TT), năm 2023 ghi nhận hơn 2.500 vụ tấn công ransomware nhắm vào các doanh nghiệp trong nước. Con số này tăng 40% so với năm trước, cho thấy mối đe dọa ngày càng gia tăng. Đáng lo ngại hơn, nhiều doanh nghiệp Việt vẫn chưa có quy trình ứng phó chuẩn mực khi bị tấn công.

Hướng dẫn ứng phó an toàn - Tách biệt hoàn toàn

Các chuyên gia an ninh mạng khuyến cáo doanh nghiệp cần thiết lập nguyên tắc "tách biệt hoàn toàn" (complete separation) trong quy trình xử lý ransomware. Cụ thể, người thực hiện đàm phán tuyệt đối không được tham gia vào bất kỳ khâu nào của việc thanh toán tiền chuộc. Thay vào đó, doanh nghiệp cần có ít nhất ba bên độc lập: nhóm ứng cứu kỹ thuật, đội đàm phán, và bên thứ ba xử lý thanh toán nếu bắt buộc.

Quan trọng hơn, các doanh nghiệp Việt Nam cần xây dựng kế hoạch backup và disaster recovery (khôi phục thảm họa) hoàn chỉnh để giảm thiểu khả năng phải đàm phán với tin tặc. Điều này bao gồm: thực hiện backup dữ liệu theo quy tắc 3-2-1 (3 bản sao, 2 phương tiện khác nhau, 1 bản offline), triển khai giải pháp Zero Trust Network Access, và đặc biệt là đào tạo nhân viên nhận biết các dấu hiệu tấn công qua email phishing. Bởi cuối cùng, cách tốt nhất để không phải đàm phán với kẻ tống tiền chính là không để chúng xâm nhập được vào hệ thống của bạn.