Tin tức bảo mật về một đường dây ransomware quy mô lớn cho thấy cách các nhóm tống tiền vận hành theo mô hình tổ chức chặt chẽ, kết hợp mã độc ransomware, đàm phán nạn nhân và khai thác dữ liệu bị đánh cắp để tối đa hóa lợi nhuận.
Vai trò của đối tượng trong chiến dịch ransomware
Deniss Zolotarjovs, 35 tuổi, được xác định là một trong các nhân vật chính phụ trách cưỡng ép và đàm phán trong một mạng lưới tội phạm mạng hoạt động trên phạm vi toàn cầu. Trong giai đoạn từ tháng 6/2021 đến tháng 8/2023, hệ sinh thái mã độc ransomware này đã tấn công hơn 54 công ty trên toàn thế giới.
Theo thông tin từ Bộ Tư pháp Hoa Kỳ, người này giữ vai trò trung tâm trong cấu trúc vận hành của một nhóm kế thừa từ các thành viên cũ của Conti. Bản án được tuyên là 102 tháng tù liên bang.
Tham khảo nguồn gốc: Justice Department press release.
Hạ tầng và mô hình vận hành của mã độc ransomware
Nhóm này được tổ chức theo cấu trúc phân cấp, có văn phòng điều phối và sử dụng nhiều công ty bình phong đăng ký tại các khu vực khác nhau để che giấu hoạt động. Cách triển khai này cho phép mã độc ransomware duy trì tính bền vững, phân tán trách nhiệm và làm phức tạp quá trình điều tra.
Trong cùng thời kỳ, hạ tầng và thương hiệu của nhóm liên tục thay đổi, nhưng vẫn xoay quanh các nhãn hiệu tống tiền như Conti, Karakurt, Royal, TommyLeaks, SchoolBoys Ransomware và Akira. Đây là đặc trưng điển hình của một cuộc tấn công ransomware có tổ chức, trong đó tên thương hiệu có thể thay đổi nhưng chuỗi hoạt động vẫn giữ nguyên.
Chiến thuật đàm phán và gây áp lực
Với vai trò đàm phán, Zolotarjovs tập trung tăng sức ép lên các nạn nhân từ chối trả tiền chuộc ban đầu. Ông ta nghiên cứu sâu các tổ chức bị xâm nhập, phân tích dữ liệu bị đánh cắp và dùng chính thông tin đó để khuếch đại mức độ rủi ro bảo mật đối với nạn nhân.
Chiến thuật này thường đi kèm với đe dọa công khai hóa dữ liệu. Trong một vụ tấn công vào một nhà cung cấp dịch vụ y tế cho trẻ em, dữ liệu y tế nhạy cảm đã bị khai thác như công cụ cưỡng ép. Khi doanh nghiệp từ chối trả tiền, nhóm tội phạm được chỉ đạo rò rỉ thông tin để tạo tâm lý hoảng loạn.
Thiệt hại tài chính và tác động hệ thống
Theo công bố chính thức, chỉ 13 trong số 54 nạn nhân đã gây ra hơn 56 triệu USD tổn thất và 2,8 triệu USD tiền chuộc. Ngoài ra, 41 công ty khác đã chi trả tổng cộng khoảng 13 triệu USD trong cùng giai đoạn.
Cơ quan liên bang ước tính tổng thiệt hại tài chính liên quan đến vai trò của đối tượng này có thể vượt quá 100 triệu USD. Điều này phản ánh tác động thực tế của một cuộc tấn công mạng khi dữ liệu, vận hành và niềm tin của khách hàng đều bị ảnh hưởng đồng thời.
Trong một số trường hợp, hệ thống bị tấn công còn dẫn tới hậu quả nghiêm trọng hơn thiệt hại tài chính. Một hệ thống 911 khẩn cấp của cơ quan chính phủ đã bị buộc ngừng hoạt động. Nhóm cũng làm lộ hàng nghìn số An sinh Xã hội, ngày sinh và địa chỉ nhà ở.
Tin tức bảo mật về dữ liệu bị lộ và rủi ro an toàn thông tin
Việc rò rỉ dữ liệu cá nhân và dữ liệu y tế cho thấy rủi ro an toàn thông tin không chỉ dừng ở gián đoạn dịch vụ. Khi dữ liệu nhạy cảm bị phát tán, nạn nhân có thể đối mặt với đánh cắp danh tính, lừa đảo, tống tiền bổ sung và các hệ quả pháp lý liên quan đến data breach.
Trong vụ việc này, dữ liệu không chỉ được lấy để đàm phán mà còn bị dùng làm công cụ tạo áp lực công khai. Đây là mô hình điển hình của mã độc ransomware kết hợp rò rỉ dữ liệu, trong đó việc mã hóa hệ thống chỉ là một phần của chuỗi tống tiền.
IOC và dấu hiệu cần lưu ý
Nội dung gốc không cung cấp IOC kỹ thuật dạng địa chỉ IP, hash, domain hoặc filename. Tuy nhiên, các chỉ dấu vận hành sau đây có thể được xem là bối cảnh điều tra:
- Thương hiệu ransomware: Conti, Karakurt, Royal, TommyLeaks, SchoolBoys Ransomware, Akira.
- Hành vi: đàm phán tống tiền, đe dọa công khai dữ liệu, phát tán dữ liệu hàng loạt cho nạn nhân.
- Mục tiêu bị ảnh hưởng: công ty, cơ quan dịch vụ khẩn cấp, nhà cung cấp y tế.
- Loại dữ liệu bị lộ: hồ sơ y tế, số An sinh Xã hội, ngày sinh, địa chỉ nhà.
Điều tra, bắt giữ và quy trình tố tụng
Đối tượng bị bắt tại Georgia vào tháng 12/2023 và sau đó bị dẫn độ sang Hoa Kỳ vào tháng 8/2024. Đến tháng 7/2025, ông ta nhận tội về các cáo buộc conspiracy to commit money laundering và wire fraud.
Việc tuyên án phản ánh nỗ lực phối hợp của cơ quan thực thi pháp luật trong việc phá vỡ các thành phần của hệ sinh thái mã độc ransomware. Trường hợp này cũng cho thấy quá trình truy vết và dẫn độ vẫn có thể thành công ngay cả khi hạ tầng tội phạm được tổ chức phân tán và che giấu bằng nhiều lớp trung gian.
Liên hệ với phân tích tin tức bảo mật và threat intelligence
Với góc nhìn threat intelligence, vụ việc cung cấp một số điểm đáng chú ý cho các nhóm phòng thủ. Thứ nhất là chiến lược phối hợp giữa mã hóa, đe dọa công khai dữ liệu và đàm phán. Thứ hai là xu hướng lạm dụng dữ liệu nhạy cảm để tăng mức độ ép buộc. Thứ ba là mô hình vận hành có cấu trúc, cho phép nhóm tấn công duy trì hoạt động trong thời gian dài.
Đây là một ví dụ rõ ràng của tin bảo mật mới nhất liên quan đến mã độc ransomware, trong đó tác động không chỉ nằm ở thiệt hại tài chính mà còn ở nguy cơ làm lộ dữ liệu cá nhân và làm gián đoạn dịch vụ thiết yếu. Với các tổ chức đang theo dõi tin tức an ninh mạng, các dấu hiệu về thương hiệu ransomware, hành vi tống tiền và rò rỉ dữ liệu vẫn là các chỉ số cần ưu tiên trong giám sát.
