Ransomware ALPHV BlackCat tiếp tục là một ví dụ điển hình của mã độc ransomware theo mô hình ransomware-as-a-service (RaaS), khi các tác nhân tham gia tấn công và chuỗi vận hành được tách rời để giảm khả năng truy vết. Theo Bộ Tư pháp Hoa Kỳ, hai cá nhân đã bị tuyên án 4 năm tù mỗi người vào ngày 30/04/2026 vì tham gia các vụ tấn công nhắm vào nhiều doanh nghiệp sử dụng ALPHV BlackCat. Nguồn tham chiếu: justice.gov.
ALPHV BlackCat và mô hình vận hành ransomware
ALPHV BlackCat xuất hiện như một mối đe dọa mạng đáng chú ý từ cuối năm 2021 và nhanh chóng trở thành một trong các họ ransomware tinh vi được theo dõi rộng rãi. Mã độc được viết bằng Rust, hỗ trợ nhiều hệ điều hành, gồm Windows và Linux, giúp tăng khả năng thích ứng trong các môi trường khác nhau.
Theo mô tả trong hồ sơ vụ án, nhóm vận hành duy trì mã nguồn, cập nhật năng lực và quản lý hạ tầng hậu trường, bao gồm cổng đàm phán và trang rò rỉ dữ liệu. Các cộng tác viên thực hiện khâu xâm nhập, triển khai ransomware trên hệ thống mục tiêu và xử lý giai đoạn tống tiền.
Chuỗi tấn công và tác động hệ thống
Ransomware ALPHV BlackCat thường xâm nhập thông qua nhiều vector, gồm tài khoản bị đánh cắp, email phishing và dịch vụ Remote Desktop Protocol (RDP) bị lộ ra Internet. Sau khi vào được mạng nội bộ, mã độc di chuyển ngang, vô hiệu hóa công cụ bảo mật và mã hóa các tệp quan trọng trước khi yêu cầu thanh toán bằng tiền điện tử.
Tác động được ghi nhận là nghiêm trọng và lan rộng. Tài liệu tòa án cho thấy ALPHV BlackCat đã nhắm vào hơn 1.000 nạn nhân trên toàn cầu, bao gồm các tổ chức cung cấp dịch vụ y tế và kỹ thuật tại Hoa Kỳ.
Các đặc điểm kỹ thuật của ransomware ALPHV BlackCat
Điểm đáng chú ý của mã độc ransomware này là kiến trúc phân vai trong mô hình RaaS. Nhóm phát triển giữ 20% tiền chuộc, trong khi các cộng tác viên nhận 80%. Cách chia lợi nhuận này làm tăng quy mô triển khai và gây khó khăn cho điều tra, vì người thực thi không phải lúc nào cũng là người phát triển mã độc.
Trong một vụ việc, dữ liệu bệnh nhân từ một phòng khám đã bị rò rỉ sau khi nạn nhân không chấp nhận yêu cầu tống tiền. Cùng với các đồng phạm, nhóm liên quan đã chiếm đoạt khoảng 1,2 triệu USD bằng Bitcoin từ một nạn nhân, sau đó rửa tiền qua nhiều phương thức khác nhau.
IOC liên quan
- ALPHV BlackCat – họ ransomware/RaaS
- Bitcoin – kênh thanh toán tiền chuộc
- Trang đàm phán và trang rò rỉ dữ liệu – hạ tầng hậu trường của chiến dịch
Điều tra, truy vết và xử lý
Các nhà phân tích và điều tra viên của FBI tại Miami đã xác định đầy đủ phạm vi của chiến dịch này. Hồ sơ điều tra cho biết các bị cáo đều có kinh nghiệm chuyên môn trong lĩnh vực an ninh mạng nhưng đã sử dụng chính kỹ năng đó để tấn công các tổ chức mà họ lẽ ra phải bảo vệ.
FBI cũng đã theo dõi một đối tượng trong 10 quốc gia sau khi người này tìm cách rời khỏi Hoa Kỳ để tránh bị truy tố. Điều này cho thấy quy mô của cuộc tấn công mạng không chỉ nằm ở thiệt hại hệ thống mà còn ở mức độ phối hợp điều tra đa khu vực pháp lý.
Cập nhật bản vá và biện pháp khắc phục liên quan
Vào tháng 12/2023, FBI đã phát hành công cụ giải mã cho ALPHV BlackCat và chia sẻ với hàng trăm nạn nhân trên toàn cầu, qua đó ước tính giúp tiết kiệm khoảng 99 triệu USD tiền chuộc. Đồng thời, nhiều website do nhóm này vận hành đã bị thu giữ.
Các tổ chức nghi ngờ đã trở thành nạn nhân của ransomware ALPHV BlackCat được khuyến nghị liên hệ văn phòng FBI địa phương hoặc gửi báo cáo qua ic3.gov. Những người có thông tin liên quan cũng có thể đủ điều kiện tham gia chương trình thưởng Rewards for Justice.
Điểm cần lưu ý trong phân tích ransomware ALPHV BlackCat
Với ransomware ALPHV BlackCat, rủi ro không chỉ đến từ mã hóa dữ liệu mà còn từ khâu rò rỉ dữ liệu nhạy cảm, đe dọa công bố thông tin và ép buộc thanh toán. Mô hình RaaS, việc dùng Rust, khả năng chạy đa nền tảng và chuỗi xâm nhập qua RDP hay phishing khiến mã độc ransomware này trở thành một trong các mối đe dọa mạng cần theo dõi sát trong hoạt động an toàn thông tin.
