Mỹ thâm nhập băng nhóm ransomware (dùng mã độc đòi tiền chuộc) lớn: 'Chúng tôi đã tấn công nhóm tin tặc'

WASHINGTON (AP) - FBI và các đối tác quốc tế ít nhất đã tạm thời phá vỡ mạng lưới của một băng đảng tống tiền lớn mà họ đã xâm nhập vào năm ngoái, tiết kiệm cho các nạn nhân bao gồm bệnh viện và khu học chánh khoản tiền chuộc tiềm năng là 130 triệu đô la, Tổng chưởng lý Merrick Garland và các quan chức Hoa Kỳ khác công bố thứ năm.

“Nói một cách đơn giản, bằng cách sử dụng các phương tiện hợp pháp, chúng tôi đã tấn công các tin tặc,” Phó Tổng chưởng lý Lisa Monaco cho biết tại một cuộc họp báo.

Các quan chức cho biết tổ chức bị nhắm mục tiêu, được gọi là Hive, điều hành một trong năm mạng lưới ransomware hàng đầu thế giới và nhắm mục tiêu nặng nề vào các bệnh viện cũng như các nhà cung cấp dịch vụ chăm sóc sức khỏe khác. Giám đốc FBI Christopher Wray cho biết FBI đã âm thầm giành được quyền truy cập vào bảng điều khiển của mình vào tháng 7 và có thể lấy được các khóa phần mềm để giải mã mạng của khoảng 1.300 nạn nhân trên toàn cầu. Các quan chức ghi nhận cảnh sát Đức và các đối tác quốc tế khác.

Tuy nhiên, vẫn chưa rõ việc gỡ xuống sẽ ảnh hưởng đến hoạt động lâu dài của Hive như thế nào. Các quan chức không công bố bất kỳ vụ bắt giữ nào nhưng cho biết họ đang xây dựng bản đồ các quản trị viên của Hive, những người quản lý phần mềm và các chi nhánh, những người lây nhiễm các mục tiêu và đàm phán với nạn nhân, để theo đuổi các vụ truy tố.

“Tôi nghĩ bất kỳ ai liên quan đến Hive nên lo lắng vì cuộc điều tra này đang diễn ra,” Wray nói.

Vào đêm thứ Tư, các đặc vụ FBI đã tịch thu cơ sở hạ tầng máy tính ở Los Angeles được sử dụng để hỗ trợ mạng. Hai trang web đen của Hive đã bị thu giữ: một trang được sử dụng để rò rỉ dữ liệu của các nạn nhân không trả tiền, trang còn lại dùng để thương lượng các khoản thanh toán tống tiền.

“Tội phạm mạng là một mối đe dọa không ngừng phát triển, nhưng như tôi đã nói trước đây, Bộ Tư pháp sẽ không tiếc nguồn lực để đưa ra trước công lý bất kỳ ai ở bất kỳ đâu nhắm vào Hoa Kỳ bằng một cuộc tấn công ransomware,” Wray nói.

Garland nói rằng nhờ có sự xâm nhập do văn phòng FBI ở Tampa dẫn đầu, trong một trường hợp, các đặc vụ đã có thể ngăn chặn một cuộc tấn công của Hive nhằm vào một khu học chánh ở Texas, ngăn không cho khu này thực hiện khoản thanh toán 5 triệu đô la.

Hoạt động này là một chiến thắng lớn cho Bộ Tư pháp. Tai họa ransomware là cơn đau đầu của tội phạm mạng lớn nhất thế giới với mọi thứ, từ dịch vụ bưu chính của Anh và dịch vụ y tế quốc gia của Ireland cho đến chính phủ của Costa Rica bị tê liệt bởi các tập đoàn nói tiếng Nga được hưởng sự bảo vệ của Kremlin. Bọn tội phạm khóa hoặc mã hóa mạng máy tính của nạn nhân, đánh cắp dữ liệu nhạy cảm và yêu cầu số tiền lớn.

Lấy ví dụ về mối đe dọa của Hive, Garland cho biết họ đã ngăn một bệnh viện ở Trung Tây vào năm 2021 tiếp nhận bệnh nhân mới ở đỉnh điểm của dịch COVID-19.

Thông báo gỡ xuống trực tuyến, xen kẽ bằng tiếng Anh và tiếng Nga, đề cập đến Europol và cảnh sát liên bang và tiểu bang Đức với tư cách là đối tác trong nỗ lực này. Trong một tuyên bố, Europol cho biết các công ty ở hơn 80 quốc gia, bao gồm cả các công ty đa quốc gia về dầu mỏ, đã bị Hive xâm phạm. Nó cho biết Europol đã hỗ trợ tiền điện tử, phần mềm độc hại và phân tích khác, đồng thời các cơ quan thực thi pháp luật từ 13 quốc gia đã tham gia vào nỗ lực này.

Một cố vấn của chính phủ Hoa Kỳ vào năm ngoái cho biết những kẻ tấn công ransomware Hive đã trở thành nạn nhân của hơn 1.300 công ty trên toàn thế giới từ tháng 6 năm 2021 đến tháng 11 năm 2022, nhận được khoảng 100 triệu đô la tiền chuộc. Nó cho biết bọn tội phạm sử dụng ransomware Hive đã nhắm mục tiêu vào nhiều doanh nghiệp và cơ sở hạ tầng quan trọng, bao gồm chính phủ, sản xuất và đặc biệt là các cơ sở chăm sóc sức khỏe và y tế công cộng.

Mặc dù FBI đã cung cấp khóa giải mã cho khoảng 1.300 nạn nhân trên khắp thế giới, Wray cho biết chỉ khoảng 20% trong số họ báo cáo các vấn đề tiềm ẩn cho cơ quan thực thi pháp luật.

“Tại đây, rất may chúng tôi còn nhận dạng được và giúp đỡ nhiều nạn nhân không trình báo. Nhưng không phải lúc nào cũng vậy,” Wray nói. “Khi nạn nhân báo cáo các cuộc tấn công cho chúng tôi, chúng tôi cũng có thể giúp đỡ họ và những người khác.”

John Hultquist, người đứng đầu bộ phận tình báo về mối đe dọa tại công ty an ninh mạng Mandiant, cho biết sự gián đoạn của Hive sẽ không gây ra sự sụt giảm lớn trong hoạt động của phần mềm tống tiền nói chung nhưng dù sao cũng là “một đòn giáng mạnh vào một nhóm nguy hiểm”.

“Thật không may, thị trường tội phạm là trung tâm của vấn đề ransomware đảm bảo rằng đối thủ cạnh tranh của Hive sẽ sẵn sàng cung cấp dịch vụ tương tự khi họ vắng mặt, nhưng họ có thể suy nghĩ kỹ trước khi cho phép ransomware của mình được sử dụng để nhắm mục tiêu vào các bệnh viện,” Hultquist nói.

Nhưng Brett Callow, một nhà phân tích của công ty an ninh mạng Emsisoft, cho biết hoạt động này có khả năng làm giảm niềm tin của những kẻ lừa đảo ransomware về lĩnh vực kinh doanh có lợi nhuận rất cao nhưng rủi ro thấp.

“Thông tin thu thập được có thể chỉ ra các chi nhánh, công ty rửa tiền và những người khác tham gia vào chuỗi cung ứng ransomware,” Callow nói.

Và nhà phân tích Allan Liska của công ty an ninh mạng Recorded Future cho biết hoạt động này cho thấy “chiến lược đa hướng của cơ quan thực thi pháp luật về bắt giữ, trừng phạt, thu giữ và hơn thế nữa đang hoạt động để làm chậm các cuộc tấn công của mã độc tống tiền”. Ông dự đoán nó sẽ dẫn đến các bản cáo trạng, nếu không phải là các vụ bắt giữ thực sự, trong vài tháng tới.

Mối đe dọa ransomware đã thu hút sự chú ý của các cấp cao nhất trong chính quyền Biden hai năm trước sau một loạt cuộc tấn công nổi tiếng đe dọa cơ sở hạ tầng quan trọng và ngành công nghiệp toàn cầu. Chẳng hạn, vào tháng 5 năm 2021, tin tặc đã nhắm mục tiêu vào đường ống dẫn nhiên liệu lớn nhất của quốc gia, khiến các nhà điều hành phải đóng cửa đường ống này trong thời gian ngắn và thực hiện khoản thanh toán tiền chuộc trị giá hàng triệu đô la mà chính phủ Hoa Kỳ đã thu hồi được phần lớn.

Các quan chức liên bang đã sử dụng nhiều công cụ khác nhau để cố gắng giải quyết vấn đề, nhưng các biện pháp thực thi pháp luật thông thường như bắt giữ và truy tố hầu như không làm bọn tội phạm nản lòng.

FBI đã có được quyền truy cập vào các khóa giải mã trước đây. Nó đã làm như vậy trong trường hợp xảy ra một cuộc tấn công ransomware lớn vào năm 2021 nhằm vào Kaseya, một công ty có phần mềm chạy hàng trăm trang web. Tuy nhiên, phải chờ đợi vài tuần để giúp nạn nhân mở khóa các mạng bị ảnh hưởng.