-
09/04/2020
-
107
-
942 bài viết
Từ cú úp rổ đến còng số 8: Đây là hacker ẩn danh hay nạn nhân ngây thơ?
Tưởng chừng chỉ là một chuyến đi nghỉ ngắn ngày đến Paris cùng vị hôn thê, thế nhưng đối với Daniil Kasatkin - cựu tuyển thủ bóng rổ từng chơi cho Penn State (Mỹ) và sau này thi đấu chuyên nghiệp ở Nga, đây lại là điểm khởi đầu cho một cơn ác mộng chưa rõ thật giả về một thứ không liên quan đến thể thao: "ransomware".
Ngày 21/6, khi vừa đặt chân xuống sân bay Charles de Gaulle, Kasatkin lập tức bị bắt bởi cảnh sát Pháp. Lý do là gì? Một lệnh truy nã quốc tế từ Mỹ với cáo buộc anh ta là "người đàm phán" cho một băng nhóm ransomware - những kẻ chuyên mã hóa hệ thống công ty rồi yêu cầu tiền chuộc.
Các cáo buộc từ phía Mỹ nghiêng về hành vi “âm mưu gian lận máy tính”, một tội danh có thể dẫn đến nhiều năm tù nếu bị kết án. Theo báo cáo, nhóm tội phạm mà Kasatkin bị cáo buộc liên quan đã thực hiện hơn 900 cuộc tấn công, nhắm vào cả doanh nghiệp lẫn cơ quan liên bang Mỹ trong giai đoạn 2020 - 2022.
Dù tên của băng nhóm ransomware chưa được nhà chức trách công bố nhưng mô tả từ phía Mỹ lại trùng khớp đáng kinh ngạc với Conti - nhóm ransomware khét tiếng nhất từng hoạt động trên toàn cầu. Nhóm này nổi lên vào cuối năm 2019 như một hình thái kế nhiệm của Ryuk ransomware, hoạt động từ giữa đến cuối năm 2018 - là thủ phạm đứng sau hàng loạt cuộc tấn công ransomware với tổng thiệt hại lên tới hàng triệu USD. Trong nhiều năm, cộng đồng tình báo an ninh mạng đã nghi ngờ rằng Ryuk và Conti đều do một nhóm điều hành duy nhất, được định danh là Wizard Spider dựa trên các điểm tương đồng trong mã nguồn và nhiều yếu tố kỹ thuật khác.
Sau khi Ryuk được cho là đã tái định danh thành Conti vào khoảng tháng 5/2020, hoạt động của ransomware này trở nên tinh vi và phá hoại hơn nữa, dường như nó đã sáp nhập với nhóm vận hành botnet TrickBot vào cuối năm 2021 (theo công ty tình báo AdvIntel).
Đánh giá từ một số chuyên gia an ninh mạng, Conti gây ám ảnh không chỉ bởi tốc độ mã hóa dữ liệu cực nhanh nhờ sử dụng đa luồng mà còn bởi chiến thuật tống tiền kép (double extortion), vừa mã hóa dữ liệu, vừa đánh cắp và đe dọa công bố nếu nạn nhân không trả tiền. Chúng thường khai thác các giao thức như RDP, SMB, tắt phần mềm diệt virus, lợi dụng lỗ hổng bảo mật để xâm nhập sâu vào hệ thống.
Mục tiêu của Conti không phải là các cá nhân nhỏ lẻ mà là những tổ chức lớn, từ bệnh viện, trường đại học, doanh nghiệp bảo hiểm đến cơ quan chính phủ, trong đó có cả những cơ quan tại Mỹ.
Tuy nhiên, luật sư đại diện - ông Frédéric Bélot khẳng định Kasatkin chỉ là nạn nhân của một trò lừa, không hề liên quan tới bất kỳ hoạt động tội phạm mạng nào. Theo ông, Kasatkin đã vô tình mua một chiếc máy tính cũ và có thể thiết bị này từng bị hacker sử dụng để che giấu danh tính: “Cậu ấy thậm chí còn không biết cách cài đặt ứng dụng, hoàn toàn bất ngờ vì không hiểu mình bị bắt vì điều gì.”
Ảnh: Daniil Kasatkin thi đấu cho MBA Moscow (Vyacheslav Bukharov)
Trong khi các nhà chức trách Mỹ đang tiến hành thủ tục dẫn độ, vụ việc vẫn chưa sáng tỏ: Liệu Kasatkin là tấm bình phong oan ức dính líu trong một chuỗi âm mưu phức tạp? Hay chính là người đàm phán lặng thầm cho một băng nhóm hacker tinh vi?
Dù là nạn nhân vô tội hay mắt xích giấu mặt trong đường dây ransomware quốc tế, Daniil Kasatkin hiện đã rời khỏi sân bóng và bước vào một cuộc chơi hoàn toàn khác, nơi không có đồng đội, chỉ có điều tra viên, lệnh truy tố và dấu vết kỹ thuật số. Trong thế giới mạng, một chiếc máy tính cũ đôi khi có thể là tàn dư của tội ác hoặc là chiếc bẫy hoàn hảo.
Vụ việc vẫn đang được làm rõ nhưng nó cho thấy một điều: Đây không chỉ là cuộc chơi trên sân bóng, đây là kỷ nguyên số, bất kỳ ai cũng có thể trở thành tâm điểm của một cuộc điều tra dù họ có biết lập trình hay không, đường chuyền đi sai có thể dẫn thẳng tới nhà giam.
Ngày 21/6, khi vừa đặt chân xuống sân bay Charles de Gaulle, Kasatkin lập tức bị bắt bởi cảnh sát Pháp. Lý do là gì? Một lệnh truy nã quốc tế từ Mỹ với cáo buộc anh ta là "người đàm phán" cho một băng nhóm ransomware - những kẻ chuyên mã hóa hệ thống công ty rồi yêu cầu tiền chuộc.
Các cáo buộc từ phía Mỹ nghiêng về hành vi “âm mưu gian lận máy tính”, một tội danh có thể dẫn đến nhiều năm tù nếu bị kết án. Theo báo cáo, nhóm tội phạm mà Kasatkin bị cáo buộc liên quan đã thực hiện hơn 900 cuộc tấn công, nhắm vào cả doanh nghiệp lẫn cơ quan liên bang Mỹ trong giai đoạn 2020 - 2022.
Dù tên của băng nhóm ransomware chưa được nhà chức trách công bố nhưng mô tả từ phía Mỹ lại trùng khớp đáng kinh ngạc với Conti - nhóm ransomware khét tiếng nhất từng hoạt động trên toàn cầu. Nhóm này nổi lên vào cuối năm 2019 như một hình thái kế nhiệm của Ryuk ransomware, hoạt động từ giữa đến cuối năm 2018 - là thủ phạm đứng sau hàng loạt cuộc tấn công ransomware với tổng thiệt hại lên tới hàng triệu USD. Trong nhiều năm, cộng đồng tình báo an ninh mạng đã nghi ngờ rằng Ryuk và Conti đều do một nhóm điều hành duy nhất, được định danh là Wizard Spider dựa trên các điểm tương đồng trong mã nguồn và nhiều yếu tố kỹ thuật khác.
Sau khi Ryuk được cho là đã tái định danh thành Conti vào khoảng tháng 5/2020, hoạt động của ransomware này trở nên tinh vi và phá hoại hơn nữa, dường như nó đã sáp nhập với nhóm vận hành botnet TrickBot vào cuối năm 2021 (theo công ty tình báo AdvIntel).
Đánh giá từ một số chuyên gia an ninh mạng, Conti gây ám ảnh không chỉ bởi tốc độ mã hóa dữ liệu cực nhanh nhờ sử dụng đa luồng mà còn bởi chiến thuật tống tiền kép (double extortion), vừa mã hóa dữ liệu, vừa đánh cắp và đe dọa công bố nếu nạn nhân không trả tiền. Chúng thường khai thác các giao thức như RDP, SMB, tắt phần mềm diệt virus, lợi dụng lỗ hổng bảo mật để xâm nhập sâu vào hệ thống.
Mục tiêu của Conti không phải là các cá nhân nhỏ lẻ mà là những tổ chức lớn, từ bệnh viện, trường đại học, doanh nghiệp bảo hiểm đến cơ quan chính phủ, trong đó có cả những cơ quan tại Mỹ.
Tuy nhiên, luật sư đại diện - ông Frédéric Bélot khẳng định Kasatkin chỉ là nạn nhân của một trò lừa, không hề liên quan tới bất kỳ hoạt động tội phạm mạng nào. Theo ông, Kasatkin đã vô tình mua một chiếc máy tính cũ và có thể thiết bị này từng bị hacker sử dụng để che giấu danh tính: “Cậu ấy thậm chí còn không biết cách cài đặt ứng dụng, hoàn toàn bất ngờ vì không hiểu mình bị bắt vì điều gì.”
Ảnh: Daniil Kasatkin thi đấu cho MBA Moscow (Vyacheslav Bukharov)
Trong khi các nhà chức trách Mỹ đang tiến hành thủ tục dẫn độ, vụ việc vẫn chưa sáng tỏ: Liệu Kasatkin là tấm bình phong oan ức dính líu trong một chuỗi âm mưu phức tạp? Hay chính là người đàm phán lặng thầm cho một băng nhóm hacker tinh vi?
Dù là nạn nhân vô tội hay mắt xích giấu mặt trong đường dây ransomware quốc tế, Daniil Kasatkin hiện đã rời khỏi sân bóng và bước vào một cuộc chơi hoàn toàn khác, nơi không có đồng đội, chỉ có điều tra viên, lệnh truy tố và dấu vết kỹ thuật số. Trong thế giới mạng, một chiếc máy tính cũ đôi khi có thể là tàn dư của tội ác hoặc là chiếc bẫy hoàn hảo.
Vụ việc vẫn đang được làm rõ nhưng nó cho thấy một điều: Đây không chỉ là cuộc chơi trên sân bóng, đây là kỷ nguyên số, bất kỳ ai cũng có thể trở thành tâm điểm của một cuộc điều tra dù họ có biết lập trình hay không, đường chuyền đi sai có thể dẫn thẳng tới nhà giam.
Tổng hợp
Chỉnh sửa lần cuối: