LockBit - Băng Đảng Mã Độc Tống Tiền Lộng Hành tại Việt Nam

Lịch Sử và Quy Mô Hoạt Động Của LockBit

Ra mắt từ năm 2019, LockBit nhanh chóng trở thành một mối đe dọa lớn trong lĩnh vực an ninh mạng toàn cầu. Theo Flashpoint, trong năm 2023, nhóm đã thực hiện hơn 1.000 cuộc tấn công ransomware, chiếm 21% số vụ tấn công lớn toàn cầu – gấp đôi so với nhóm đứng thứ hai là BlackCat. Những vụ tấn công lớn nhất của LockBit bao gồm các cuộc tấn công vào TSMC (Đài Loan), Boeing (Mỹ) và Royal Mail (Anh).

Jon DiMaggio, nhà phân tích bảo mật tại Analyst1, nhận định: “LockBit có thể được xem là tổ chức ransomware lớn nhất hiện nay."

Tình Hình Tại Việt Nam

Theo Viettel Cyber Security (VCS), từ đầu năm 2024, Việt Nam đã ghi nhận 26 vụ tấn công ransomware từ 12 nhóm khác nhau. LockBit là thủ phạm của 12 vụ, chiếm gần 50%, tiêu biểu là cuộc tấn công vào hệ thống VnDirect hồi tháng 3. Với phương thức phân phối mã độc qua các chi nhánh, LockBit đã trở thành mối lo ngại lớn cho nhiều tổ chức và doanh nghiệp tại Việt Nam.

Mô Hình Kinh Doanh RaaS

LockBit hoạt động theo mô hình Ransomware as a Service (RaaS) – cung cấp hạ tầng ransomware cho các nhóm tấn công khác (gọi là Affiliate). Trong mô hình này, LockBit chỉ giữ 20% số tiền chuộc, trong khi các Affiliate được chia 80% còn lại. Điều này đã thúc đẩy nhiều nhóm tấn công mở rộng hoạt động của mình. Các Affiliate thường tìm kiếm nạn nhân qua các diễn đàn tội phạm mạng như RAMP, xss.is, và exploit.in.

LockBit đặc biệt nguy hiểm ở chỗ chúng không chỉ mã hóa dữ liệu mà còn đánh cắp dữ liệu trước khi yêu cầu tiền chuộc. Các chuyên gia an ninh Việt Nam cũng xác định LockBit 3.0, phiên bản mới nhất của nhóm, đã được sử dụng để tấn công VnDirect và nhiều tổ chức khác.

Sức Mạnh Kỹ Thuật của LockBit

Điểm đặc biệt khiến LockBit khác biệt so với các nhóm ransomware khác là khả năng lây lan mã độc nhanh chóng trong hệ thống mạng. Khi một máy chủ bị nhiễm, LockBit có thể tự động tìm kiếm và lây nhiễm các mục tiêu khác trong mạng – điều mà không phải nhóm ransomware nào cũng làm được.

Bên cạnh đó, LockBit cũng nổi tiếng với những hành động táo bạo. Khi ra mắt phiên bản 3.0 năm 2022, nhóm đã tổ chức cuộc thi tìm lỗi mã độc và thách thức cộng đồng tìm ra danh tính thủ lĩnh của mình với phần thưởng lên tới 1 triệu USD.

Cuộc Đối Phó Toàn Cầu

LockBit bị nghi ngờ có trụ sở tại Nga, nhưng nhóm đã tuyên bố không phục vụ bất kỳ chính phủ nào, chỉ quan tâm đến tiền. Nhóm tin tặc này hiện đang là mục tiêu của nhiều chiến dịch trấn áp quốc tế. Một trong những chiến dịch lớn là Cronos, do Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), FBI và Europol thực hiện vào tháng 2/2024, đã thu giữ một số máy chủ của LockBit và khoảng 7.000 mã mở khóa dữ liệu.

Mặc dù vậy, các hoạt động của LockBit vẫn tiếp tục. Các Affiliate thường xâm nhập hệ thống thông qua tài khoản bị lộ, server bị hack, hoặc tấn công lỗ hổng bảo mật. Do đó, nguy cơ tấn công mạng từ nhóm này vẫn rất cao.

Giải Pháp Đối Phó với Ransomware

Để đối phó với các cuộc tấn công ransomware, VCS khuyến nghị các tổ chức tại Việt Nam cần đảm bảo an toàn cho hệ thống sao lưu dữ liệu, tách biệt giữa hệ thống IT và cơ sở dữ liệu dự phòng để giảm thiểu rủi ro khi bị tấn công.

Ngoài ra, việc sử dụng các công cụ giám sát liên tục và rà soát hệ thống định kỳ cũng là yếu tố quan trọng để phát hiện sớm và ngăn chặn các mối đe dọa.

Tình Trạng Tấn Công Mã Hóa Tại Việt Nam

Theo ông Lê Văn Tuấn, Cục trưởng Cục An toàn thông tin - Bộ Thông tin và Truyền thông, trong năm 2024, các cuộc tấn công ransomware đã gia tăng mạnh tại Việt Nam. Với sự gia tăng giá trị của dữ liệu, các tổ chức tài chính, dầu khí, và logistics đang trở thành mục tiêu hàng đầu của tin tặc.

Ông Tuấn chia sẻ: "Trước đây, tin tặc ít quan tâm đến thị trường Việt Nam, nhưng hiện nay, nguy cơ tấn công đã tăng cao khi chúng biết rằng doanh nghiệp có thể trả tiền."

Lời Khuyên Dành Cho Người Bị Hại

Nếu bạn hoặc tổ chức của bạn trở thành nạn nhân của một cuộc tấn công ransomware như LockBit, hãy xem xét thực hiện các biện pháp sau để giảm thiểu thiệt hại và ngăn chặn tình trạng này trong tương lai:

1. Ngắt Kết Nối Internet và Mạng: Ngay lập tức ngắt kết nối khỏi internet để ngăn mã độc lây lan sang các hệ thống khác.

2. Không Trả Tiền Chuộc Ngay Lập Tức: Việc trả tiền không đảm bảo bạn sẽ lấy lại được dữ liệu và có thể khuyến khích tin tặc tấn công nhiều hơn.

3. Báo Cáo Vụ Việc: Liên hệ với các cơ quan chức năng như Cục An toàn thông tin để nhận sự hỗ trợ và thông báo về vụ việc.

4. Sử Dụng Bản Sao Lưu Dữ Liệu: Nếu có sao lưu, hãy sử dụng bản sao lưu để khôi phục dữ liệu và đảm bảo sao lưu luôn được bảo vệ tách biệt.

5. Rà Soát và Kiểm Tra Hệ Thống: Xác định lỗ hổng bảo mật và cách mã độc đã xâm nhập để ngăn chặn các cuộc tấn công tiếp theo.

6. Hợp Tác với Chuyên Gia An Ninh Mạng: Nhờ sự hỗ trợ của các chuyên gia để phục hồi dữ liệu, vá các lỗ hổng và tăng cường bảo mật hệ thống.

7. Cập Nhật Hệ Thống Bảo Mật: Luôn cập nhật các bản vá bảo mật mới nhất và sử dụng các công cụ bảo mật hiện đại như tường lửa và phần mềm diệt virus.

8. Nâng Cao Nhận Thức An Ninh Mạng: Đào tạo nhân viên về nhận diện các mối đe dọa an ninh như phishing và cách sử dụng mật khẩu mạnh.

9. Áp Dụng Xác Thực Hai Yếu Tố (2FA): Sử dụng xác thực hai yếu tố để tăng cường bảo mật cho tài khoản của bạn.

10. Xây Dựng Kế Hoạch Ứng Phó Sự Cố: Thiết lập kế hoạch ứng phó sự cố để hành động nhanh chóng trong trường hợp bị tấn công và đảm bảo sao lưu dữ liệu định kỳ.

Việc tuân thủ những lời khuyên này không chỉ giúp bạn phục hồi sau cuộc tấn công mà còn giúp giảm thiểu rủi ro tấn công trong tương lai.

Phòng Tránh Tấn Công Ransomware Như LockBit

Để bảo vệ tổ chức của bạn khỏi các cuộc tấn công ransomware, đặc biệt là từ các nhóm như LockBit, hãy thực hiện các biện pháp phòng ngừa sau:

1. Sao Lưu Dữ Liệu Định Kỳ: Luôn tạo các bản sao lưu dữ liệu quan trọng và lưu trữ chúng ở các hệ thống tách biệt với hệ thống chính để đảm bảo dữ liệu an toàn ngay cả khi bị tấn công.

2. Cập Nhật Phần Mềm Thường Xuyên: Cập nhật hệ điều hành, phần mềm và các bản vá bảo mật thường xuyên để vá các lỗ hổng bảo mật mà tin tặc có thể khai thác.

3. Sử Dụng Giải Pháp Bảo Mật Hiện Đại: Sử dụng phần mềm diệt virus, tường lửa và hệ thống phát hiện tấn công (IDS) để giám sát và bảo vệ hệ thống khỏi các cuộc tấn công.

4. Triển Khai Xác Thực Hai Yếu Tố (2FA): Áp dụng xác thực hai yếu tố cho tất cả các tài khoản quan trọng, giúp giảm nguy cơ tài khoản bị tấn công qua việc dò mật khẩu.

5. Nâng Cao Nhận Thức Về An Ninh Mạng: Tổ chức các buổi đào tạo cho nhân viên về cách nhận biết các cuộc tấn công phishing và các mối đe dọa an ninh khác. Điều này giúp giảm nguy cơ nhân viên vô tình tải mã độc hoặc tiết lộ thông tin quan trọng.

6. Kiểm Tra và Rà Soát Hệ Thống Thường Xuyên: Rà soát định kỳ các hệ thống và tài khoản để phát hiện sớm những lỗ hổng hoặc dấu hiệu của sự xâm nhập bất hợp pháp.

7. Hạn Chế Quyền Truy Cập: Chỉ cung cấp quyền truy cập hệ thống và dữ liệu quan trọng cho những người thực sự cần. Hạn chế quyền truy cập giúp giảm nguy cơ dữ liệu bị đánh cắp hoặc mã hóa.

8. Sử Dụng Phần Mềm Giám Sát An Ninh Liên Tục: Sử dụng các công cụ giám sát an ninh để phát hiện sớm các mối đe dọa và ngăn chặn chúng trước khi gây thiệt hại.

9. Thực Hiện Kế Hoạch Phòng Chống Sự Cố: Xây dựng kế hoạch ứng phó với các sự cố an ninh mạng, bao gồm quy trình khắc phục và phục hồi hệ thống sau khi bị tấn công.

10. Giám Sát Hoạt Động Mạng: Theo dõi các hoạt động mạng bất thường và hành vi nghi ngờ để phát hiện các cuộc tấn công trước khi chúng gây hại.

Bằng cách thực hiện các biện pháp trên, tổ chức của bạn sẽ giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công ransomware và bảo vệ an toàn cho dữ liệu và hệ thống.