Lộ diện người đứng đầu nhóm phát triển mã độc từng gây tê liệt hệ thống VNDirect

Là lãnh đạo đồng thời là người phát triển ransomware LockBit, Khoroshev đã thực hiện nhiều vai trò điều hành và quản trị cho tổ chức này.

Theo The Hacker News, Cơ quan Tội phạm Quốc gia Anh (NCA) đã công bố danh tính người điều hành và phát triển hoạt động ransomware (mã độc - PV) LockBit. Theo đó, người đứng đầu tổ chức này là Dmitry Yuryevich Khoroshev, quốc tịch Nga, 31 tuổi.

Khoroshev bị Văn phòng Ngoại giao, Khối thịnh vượng chung và Phát triển (FCDO) của Anh, Văn phòng Kiểm soát tài sản nước ngoài thuộc Bộ Tài chính Mỹ (OFAC) và Bộ Ngoại giao Australia đưa vào danh sách trừng phạt. Khoroshev đã bị phong tỏa tài sản và cấm đi lại.

Bộ Ngoại giao Mỹ treo thưởng lên đến 10 triệu USD cho thông tin dẫn đến việc bắt giữ hoặc kết tội thủ lĩnh LockBit. Trước đó, cơ quan này đã treo thưởng lên đến 15 triệu USD để tìm kiếm thông tin về danh tính và vị trí của các lãnh đạo chủ chốt của nhóm LockBit.

Cục Cảnh sát châu Âu - Europol cho biết các nhà chức trách đang nắm giữ hơn 2.500 key giải mã và đang tiếp tục liên hệ với các nạn nhân của LockBit để hỗ trợ.

Một bản cáo trạng được Bộ Tư pháp Mỹ (DoJ) đã cáo buộc Khoroshev 26 tội danh, bao gồm một tội âm mưu gian lận, tống tiền và các hoạt động liên quan đến máy tính; một tội âm mưu lừa đảo qua mạng; 8 tội cố ý gây thiệt hại cho máy tính được bảo vệ; 8 tội tống tiền liên quan đến thông tin mật từ máy tính được bảo vệ và 8 tội tống tiền liên quan đến việc gây thiệt hại cho máy tính được bảo vệ. Tổng cộng, các tội danh này có thể bị phạt tù tối đa 185 năm.

Với cáo trạng mới nhất, tổng cộng 6 thành viên có liên quan đến nhóm LockBit đã bị buộc tội, bao gồm Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov và Ivan Gennadievich Kondratiev.

Giám đốc NCA, Graeme Biggar cho biết: "Thông báo hôm nay đóng thêm một chiếc đinh khổng lồ vào quan tài của LockBit và cuộc điều tra của chúng tôi đối với chúng vẫn tiếp tục. Chúng tôi hiện cũng đang nhắm vào các chi nhánh đã sử dụng dịch vụ của LockBit để thực hiện các cuộc tấn công ransomware tàn phá đối với các trường học, bệnh viện và các công ty lớn trên toàn thế giới".

LockBit, vốn là một trong những nhóm ransomware-as-a-service (RaaS) năng nổ nhất, đã bị triệt phá vào đầu tháng 2 vừa qua. Hoạt động này nằm trong chiến dịch có tên Cronos. Ước tính nhóm này đã nhắm mục tiêu vào hơn 2.500 nạn nhân trên toàn thế giới và nhận được hơn 500 triệu USD tiền chuộc.

"Ransomware LockBit đã được sử dụng chống lại các doanh nghiệp của Australia, Anh và Mỹ, chiếm 18% tổng số vụ tấn công ransomware được báo cáo tại Australia trong năm 2022-23," Penny Wong, Bộ trưởng Ngoại giao Australia, cho biết.

Theo mô hình kinh doanh RaaS, LockBit cấp phép phần mềm ransomware của họ cho các chi nhánh để đổi lấy 80% tiền chuộc được thanh toán. Tổ chức này cũng được biết đến với chiến thuật tống tiền kép - khi dữ liệu nhạy cảm bị đánh cắp khỏi mạng lưới của nạn nhân trước khi mã hóa hệ thống máy tính và yêu cầu thanh toán tiền chuộc.

Khoroshev, người phát triển LockBit vào khoảng tháng 9/2019, được cho là đã thu về ít nhất 100 triệu USD tiền phân phối theo kế hoạch này suốt 4 năm qua.

"Tác động thực sự của tội phạm LockBit trước đây không được biết rõ, nhưng dữ liệu thu được từ hệ thống của chúng cho thấy rằng từ tháng 6/2022 đến tháng 2/2024, hơn 7.000 cuộc tấn công đã được thực hiện bằng dịch vụ của chúng," NCA cho biết. 5 nước bị tấn công nhiều nhất là Mỹ, Anh, Pháp, Đức và Trung Quốc.

Mô hình RaaS được ước tính có 194 chi nhánh cho đến ngày 24/2, trong đó 148 chi nhánh đã tiến hành các cuộc tấn công và 119 chi nhánh tham gia đàm phán tiền chuộc với các nạn nhân.

"Là lãnh đạo nhóm LockBit cũng như người phát triển ransomware LockBit, Khoroshev đã thực hiện nhiều vai trò điều hành và quản trị cho tổ chức này, đồng thời được hưởng lợi về tài chính từ các cuộc tấn công ransomware của LockBit," Bộ Tài chính Mỹ cho biết.

"Khoroshev đã hỗ trợ nâng cấp cơ sở hạ tầng của LockBit, tuyển dụng các nhà phát triển mới cho ransomware và quản lý các chi nhánh của LockBit. Người này cũng chịu trách nhiệm cho những nỗ lực của LockBit nhằm tiếp tục hoạt động sau khi bị Mỹ và các đồng minh triệt phá hoạt động vào đầu năm nay."

Vụ tấn công ransomware vào hệ thống VNDirect hồi cuối tháng 3 được các cơ quan chức năng xác định do nhóm LockBit với mã độc LockBit 3.0 đứng sau. Sự cố đã làm cho toàn bộ dữ liệu của doanh nghiệp thuộc top 3 thị trường chứng khoán Việt Nam bị mã hóa và gây gián đoạn hoạt động của công ty trong suốt một tuần lễ.