Triệt phá trang web của băng đảng hacker khét tiếng: LockBit

VOH - LockBit, một băng đảng tội phạm mạng khét tiếng gồm các hacker có tầm hoạt động quốc tế, được đánh giá là nguy hiểm bậc nhất thế giới vừa bị liên minh cảnh sát các nước tấn công triệt phá.

Liên minh cảnh sát các nước gồm: Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan Cảnh sát Liên minh châu Âu (Europol) đã phối hợp thực hiện một chiến dịch đặc biệt mang tên Cronos qua đó đã tịch thu được trang web và bắt giữ một số thành viên của băng LockBit.

LockBit nổi tiếng về việc thường xuyên cập nhật các nạn nhân trên website của mình kèm đồng hồ đếm giờ ngược đến thời hạn phải trả tiền chuộc sau các cuộc tấn công mạng. Cảnh sát đã tịch thu trang web đen mà băng đảng khét tiếng nhất thế giới đã sử dụng để tống tiền nạn nhân, theo một thông báo trên trang web được CNN xem.

Triệt phá trang web của băng đảng hacker LockBit 1
Một con dấu FBI được nhìn thấy trên một bức tường ở Omaha, Nebraska - Ảnh: AP

Từ ngày 20/2, sau khi LockBit bị triệt phá, trang này hiện thông báo của cơ quan chức năng đã kiểm soát được trang web.

Ngoài việc kiểm soát trang chủ, NCA còn nắm được cơ sở hạ tầng cho phép băng đảng quản lý và triển khai công nghệ để tống tiền, giúp các nạn nhân giải mã dữ liệu bị đánh cắp.

Các tin tặc của băng này đã nhận trách nhiệm về vụ tấn công ransomware vào tháng 11 đã buộc Capital Health có trụ sở tại New Jersey (Mỹ) phải hủy một số cuộc hẹn với bệnh nhân.

LockBit cũng nhận trách nhiệm về các cuộc tấn công bằng ransomware vào Ngân hàng Công thương Trung Quốc và Quận Fulton, Georgia (Mỹ) trong những tháng gần đây.

“Chúng tôi có thể xác nhận rằng các dịch vụ của Lockbit đã bị gián đoạn do hành động của Cơ quan Thực thi Luật Quốc tế, đây là một hoạt động đang diễn ra và đang phát triển”, một thông báo được đăng trên trang web của tin tặc hôm thứ Hai.

Trên mạng X, VX-underground - tổ chức chuyên nghiên cứu về an ninh mạng cho biết LockBit đã xác nhận bị FBI tấn công các máy chủ chạy trên ngôn ngữ lập trình PHP của băng đảng. Tuy nhiên, LockBit tiết lộ rằng cơ quan chức năng chưa kiểm soát được các máy chủ dự phòng không dùng ngôn ngữ PHP của tổ chức hacker này.

LockBit điều hành tổ chức như một doanh nghiệp, lần đầu được thế giới biết đến vào năm 2020 khi phần mềm độc hại cùng tên, được tìm thấy trên các diễn đàn tội phạm mạng bằng tiếng Nga.

LockBit và các chi nhánh của tổ chức đã tiến hành hàng loạt cuộc tấn công mạng quy mô lớn, mã hóa dữ liệu nhạy cảm của nhiều doanh nghiệp sau đó bắt nạn nhân trả tiền chuộc để lấy khóa truy cập dữ liệu, hoặc tránh việc thông tin bí mật bị công khai.

Nhóm này từng tuyên bố họ hoạt động toàn phi chính trị, chỉ quan tâm đến tiền nhưng nghiêm cấm thành viên tấn công vào tổ chức y tế, như trung tâm tim mạch, khoa phẫu thuật thần kinh, bệnh viện phụ sản...

Riêng tại Mỹ, LockBit đã tiến hành hơn 1.700 cuộc tấn công, nhắm vào hầu hết ngành từ thực phẩm, trường học, giao thông vận tải cho tới dịch vụ tài chính và cơ quan chính phủ.

Triệt phá trang web của băng đảng hacker LockBit 2
Hình ảnh trên trang web của LockBit sau khi bị triệt phá

Vào sáng thứ Ba (giờ địa phương) vừa qua, chính quyền Hoa Kỳ và  Vương quốc Anh đã tiết lộ một bức tranh đầy đủ hơn về cuộc triệt phá băng đảng LockBit: NCA và FBI cho biết họ đã phát triển phần mềm có thể cho phép “hàng trăm” nạn nhân trên toàn thế giới giải mã các máy tính bị tin tặc khóa.

Europol, cơ quan thực thi pháp luật của EU, cho biết hai đặc vụ của LockBit đã bị bắt ở Ba Lan và Ukraine theo yêu cầu của chính quyền Pháp mà không nêu tên hai người.

Riêng Bộ Tư pháp Hoa Kỳ đã công bố cáo trạng hai người đàn ông Nga, Ivan Gennadievich Kondratiev và Artur Sungatov, vì đã triển khai ransomware LockBit chống lại các nạn nhân là các tổ chức, công ty trên khắp Hoa Kỳ. Bộ Tài chính cũng công bố lệnh trừng phạt đối với Kondratiev và Sungatov. Bộ Tài chính cho biết Kondratiev đang ở Nga. Bộ không xác định được địa điểm của Sungatov.

Bộ Tư pháp Mỹ cho biết trong một tuyên bố rằng LockBit đã nhắm mục tiêu vào hơn 2.000 nạn nhân và nhận được hơn 120 triệu USD tiền chuộc.

Các nhà phân tích tin rằng LockBit có thành viên hoặc đối tác tội phạm ở Đông Âu, Nga và Trung Quốc. Giống như các nhóm ransomware tống tiền khác, LockBit cho các “chi nhánh” thuê ransomware của mình, những người sử dụng mã độc trong các cuộc tấn công, sau đó lấy một phần tiền chuộc mà nạn nhân đã trả.

Theo các chuyên gia công nghệ, ransomware của LockBit đã lan tràn trong năm ngoái vượt xa các biến thể ransomware khác.

Don Smith, phó chủ tịch nghiên cứu mối đe dọa tại công ty an ninh mạng Secureworks cho biết LockBit chiếm 1/4 thị trường ransomware dựa trên thông tin nạn nhân mà tin tặc đã đăng trực tuyến.

Hoạt động này là động thái mới nhất trong cuộc đấu tranh kéo dài nhiều năm giữa FBI và các cảnh sát trên khắp thế giới  đối phó với các băng đảng ransomware thường có trụ sở ở Đông Âu và Nga.

Allan Liska, chuyên gia về ransomware của công ty an ninh mạng Recorded Future, nói với CNN: “Rất khó có khả năng các thành viên cốt lõi của nhóm LockBit sẽ bị bắt trong chiến dịch này vì họ có trụ sở tại Nga”.

Tuy nhiên, ông nói, việc cơ quan thực thi pháp luật tịch thu trang web của LockBit “có nghĩa là sẽ có tác động đáng kể, dù chỉ trong thời gian ngắn, đối với hệ sinh thái ransomware và làm chậm lại các cuộc tấn công,” Liska nói.

Công ty theo dõi tiền điện tử Chainalysis ước tính, tội phạm mạng đã tống tiền các tổ chức nạn nhân trên toàn thế giới với số tiền chuộc kỷ lục 1,1 tỷ USD.

Bình luận