Chiến dịch Triệt phá Ransomware “Diskstation” nhắm mục tiêu Synology NAS
Lực lượng Cảnh sát Quốc gia Ý, phối hợp chặt chẽ với các cơ quan chức năng từ Pháp và Romania, đã thành công trong việc triệt phá một chiến dịch ransomware tinh vi mang tên “Diskstation”. Chiến dịch này nhắm mục tiêu chuyên biệt vào các hệ thống Synology Network Attached Storage (NAS) trên toàn cầu.
Mục tiêu và Tác động Ban đầu
Cuộc điều tra quốc tế, được điều phối bởi EUROPOL và do Trung tâm Điều hành An ninh Mạng Milan dẫn đầu, đã dẫn đến việc bắt giữ một số công dân Romania. Hoạt động này đã phơi bày một mạng lưới tội phạm quy mô lớn đã làm tê liệt hoạt động của nhiều doanh nghiệp trong các ngành công nghiệp khác nhau. Cuộc điều tra bắt đầu sau khi nhận được nhiều đơn khiếu nại từ các công ty có trụ sở tại Lombardy, Ý, có hệ thống IT bị mã hóa bởi nhóm ransomware.
Các cuộc tấn công đã gây ra sự đình trệ hoàn toàn trong hoạt động sản xuất, buộc các nạn nhân phải trả những khoản tiền chuộc đáng kể bằng tiền mã hóa để giành lại quyền truy cập vào dữ liệu quan trọng của họ. Việc nhắm mục tiêu vào các hệ thống Synology NAS là một chiến thuật chiến lược của nhóm tội phạm. Các hệ thống này thường được doanh nghiệp sử dụng làm giải pháp lưu trữ và sao lưu dữ liệu tập trung, khiến chúng trở thành mục tiêu cực kỳ hấp dẫn đối với các nhóm ransomware muốn tối đa hóa tác động và khả năng tống tiền.
Khi một hệ thống NAS bị xâm nhập và dữ liệu bị mã hóa, toàn bộ tập dữ liệu quan trọng của tổ chức có thể bị phong tỏa. Điều này gây ra áp lực cực lớn lên nạn nhân, buộc họ phải cân nhắc việc trả tiền chuộc để khôi phục hoạt động kinh doanh và truy cập lại thông tin thiết yếu.
Quá trình Điều tra và Hợp tác Quốc tế
Khởi đầu và Phương pháp Điều tra
Văn phòng Công tố Milan đã điều phối cuộc điều tra phức tạp này. Quá trình điều tra sử dụng kết hợp hai phương pháp chính: phân tích pháp y (forensic analysis) đối với các hệ thống bị xâm nhập và kiểm tra blockchain toàn diện để theo dõi các hoạt động tài chính của tội phạm. Phương pháp phân tích pháp y cho phép các nhà điều tra thu thập bằng chứng từ các thiết bị bị ảnh hưởng, bao gồm việc xác định các dấu vết của mã độc, cách thức xâm nhập ban đầu, và các công cụ khai thác đã được sử dụng. Trong khi đó, việc kiểm tra blockchain là cần thiết để truy vết các giao dịch tiền mã hóa được thực hiện dưới dạng tiền chuộc, vạch trần luồng tiền của nhóm tội phạm và xác định các ví điện tử cùng các cá nhân liên quan đến việc nhận tiền.
Mở rộng Phạm vi Điều tra Quốc tế
Phạm vi của cuộc điều tra đã được mở rộng ra quốc tế sau khi những phát hiện ban đầu cho thấy nhóm tội phạm này hoạt động xuyên biên giới, không bị giới hạn bởi ranh giới địa lý. EUROPOL đã thành lập một lực lượng đặc nhiệm chuyên trách, bao gồm các cơ quan thực thi pháp luật từ Ý, Pháp và Romania. Các lực lượng này đã phối hợp làm việc chặt chẽ để xác định và bắt giữ những kẻ chịu trách nhiệm cho các cuộc tấn công “Diskstation”. Cách tiếp cận hợp tác này đã chứng minh tầm quan trọng thiết yếu trong việc theo dõi một mạng lưới tội phạm tinh vi, hoạt động trên nhiều khu vực pháp lý khác nhau. Sự hợp tác xuyên quốc gia là chìa khóa để vượt qua các rào cản về thẩm quyền pháp lý và hành chính mà các cuộc điều tra đơn lẻ thường gặp phải trong môi trường tội phạm mạng toàn cầu.
Các Đối tượng Bị Ảnh hưởng
Các cuộc tấn công ransomware đã nhắm mục tiêu vào một loạt các tổ chức đa dạng, minh họa tính chất bừa bãi và tác động kinh tế, xã hội đáng kể của chiến dịch tội phạm này. Các nạn nhân bao gồm:
- Các công ty thiết kế đồ họa.
- Các công ty sản xuất phim.
- Các doanh nghiệp quản lý sự kiện.
- Các tổ chức phi lợi nhuận quốc tế chuyên về bảo vệ quyền công dân và hoạt động từ thiện.
Hồ sơ nạn nhân đa dạng này nhấn mạnh rằng bất kỳ tổ chức nào sử dụng hệ thống NAS đều có thể trở thành mục tiêu, bất kể quy mô hay lĩnh vực hoạt động. Tác động của cuộc tấn công không chỉ dừng lại ở tổn thất tài chính trực tiếp từ tiền chuộc và chi phí phục hồi. Nó còn gây ra sự gián đoạn nghiêm trọng đối với hoạt động kinh doanh cốt lõi, làm suy giảm uy tín và niềm tin của khách hàng hoặc đối tác, đặc biệt là đối với các tổ chức phi lợi nhuận có sứ mệnh phục vụ cộng đồng và cần duy trì hình ảnh đáng tin cậy.
Vulnerability Khai thác và Cơ chế Tấn công
Cuộc điều tra đã tiết lộ rằng những kẻ tấn công đã khai thác chuyên biệt các lỗ hổng trong hệ thống Synology NAS. Mặc dù thông tin được cung cấp không nêu rõ các lỗ hổng cụ thể (ví dụ: CVE ID) đã bị khai thác trong chiến dịch này, việc nhắm mục tiêu vào nền tảng NAS phổ biến đã cho phép tội phạm đạt được một mức độ kiểm soát đáng kể đối với dữ liệu của nạn nhân. Bằng cách xâm nhập vào các hệ thống này, chúng có thể mã hóa toàn bộ các tập dữ liệu quan trọng của tổ chức, sau đó yêu cầu tiền chuộc để giải mã.
Cơ chế tấn công điển hình đối với các hệ thống NAS thường liên quan đến việc quét các cổng mở để tìm kiếm các thiết bị Synology NAS dễ bị tổn thương. Sau đó, kẻ tấn công sẽ dò tìm các phiên bản phần mềm hoặc dịch vụ cũ, chưa được vá lỗi, vốn chứa các lỗ hổng đã biết hoặc chưa biết (zero-day). Một khi lỗ hổng được xác định, chúng sẽ thực hiện khai thác để giành quyền truy cập ban đầu vào hệ thống. Sau khi giành được quyền truy cập, mã ransomware sẽ được triển khai, bắt đầu quá trình mã hóa dữ liệu. Quá trình phục hồi dữ liệu từ một cuộc tấn công ransomware như vậy trở nên vô cùng khó khăn và tốn kém nếu nạn nhân không có các bản sao lưu dữ liệu an toàn, ngoài mạng (offline backups), hoặc nếu họ từ chối trả tiền chuộc.
Giai đoạn Vận hành và Bắt giữ Nghi phạm
Giai đoạn vận hành của cuộc điều tra đạt đến đỉnh điểm vào tháng 6 năm 2024 với các cuộc khám xét phối hợp được thực hiện tại Bucharest, Romania, tại nơi cư trú của các thành viên tình nghi của băng nhóm. Cán bộ từ Trung tâm Điều hành An ninh Mạng Milan đã trực tiếp tham gia vào các hoạt động này. Những cuộc khám xét này không chỉ xác nhận các giả thuyết điều tra đã được xây dựng qua quá trình thu thập thông tin tình báo mà còn bắt giữ nhiều cá nhân đang trong quá trình thực hiện tội phạm mạng. Việc bắt giữ tại chỗ đã cung cấp những bằng chứng vững chắc và không thể chối cãi, củng cố hồ sơ vụ án.
Tình trạng Pháp lý của Nghi phạm
Nghi phạm chính, một công dân Romania 44 tuổi, đã bị thẩm phán tòa án Milan ra lệnh tạm giam trước khi xét xử. Người này phải đối mặt với các cáo buộc nghiêm trọng về truy cập trái phép vào hệ thống máy tính và tống tiền. Đây là hai tội danh liên quan trực tiếp đến bản chất của các cuộc tấn công ransomware. Một số công dân Romania khác cũng đã được xác định là những người tham gia vào mạng lưới tội phạm này. Các cuộc điều tra đang tiếp tục để xác định vai trò và trách nhiệm cụ thể của từng cá nhân trong toàn bộ chiến dịch, nhằm đưa tất cả những kẻ liên quan ra trước công lý.
IOC (Chỉ báo Thỏa hiệp)
Thông tin được cung cấp trong báo cáo ban đầu không bao gồm các chỉ báo thỏa hiệp (IOC) kỹ thuật cụ thể như hàm băm (hashes) của phần mềm độc hại, địa chỉ IP của máy chủ chỉ huy và kiểm soát (C2), hoặc tên miền độc hại (malicious domains) liên quan trực tiếp đến chiến dịch ransomware “Diskstation” này. Các IOC thường là những dấu hiệu có thể được sử dụng để phát hiện hoạt động độc hại trên mạng hoặc hệ thống, cung cấp thông tin chi tiết cho các chuyên gia an ninh mạng để bảo vệ và ứng phó.
Tuy nhiên, tên của chiến dịch là “Diskstation”, đây là một chỉ báo quan trọng về phương thức hoạt động và mục tiêu của nhóm. Mặc dù không phải là một IOC kỹ thuật theo nghĩa truyền thống (như hash hay IP), việc nhận biết tên chiến dịch giúp các tổ chức nắm bắt được nguy cơ và tiến hành kiểm tra các hệ thống Synology NAS của mình một cách chủ động để tìm dấu hiệu bị xâm nhập liên quan đến chiến dịch này. Điều này bao gồm việc kiểm tra nhật ký (logs), hoạt động mạng bất thường, và các tệp đáng ngờ trên thiết bị NAS.
Bài học từ Hợp tác Quốc tế Chống Tội phạm Mạng
Chiến dịch thành công này một lần nữa khẳng định tầm quan trọng không thể thiếu của hợp tác quốc tế trong việc chống lại tội phạm mạng ngày càng tinh vi. Vụ án “Diskstation” là một minh chứng rõ ràng cho thấy các hoạt động ransomware hiện đại thường liên quan đến các mạng lưới tội phạm phức tạp, được tổ chức tốt và trải rộng nhiều quốc gia. Điều này đòi hỏi phản ứng phối hợp và đồng bộ từ các cơ quan thực thi pháp luật trên toàn cầu để đạt được kết quả hiệu quả.
Không có sự hợp tác xuyên biên giới, việc theo dõi, xác định và bắt giữ những kẻ đứng sau các chiến dịch như “Diskstation” sẽ trở nên vô cùng khó khăn, nếu không muốn nói là bất khả thi, do khả năng che giấu danh tính và hoạt động của tội phạm mạng. Sự phối hợp giữa các quốc gia, chia sẻ thông tin tình báo, nguồn lực và chuyên môn pháp lý, là chìa khóa để đối phó với những thách thức ngày càng tăng của tội phạm mạng toàn cầu, đảm bảo rằng những kẻ vi phạm pháp luật phải chịu trách nhiệm trước công lý bất kể chúng hoạt động từ đâu.
