Từ khi bắt đầu hoạt động năm 2019, LockBit trở thành mối đe dọa an ninh mạng cho các tổ chức, doanh nghiệp trên toàn thế giới. Theo thống kê của tổ chức Flashpoint trong năm 2023, LockBit thực hiện hơn 1.000 cuộc tấn công, chiếm 21% các cuộc tấn công quy mô lớn được ghi nhận toàn cầu, cao gấp hai lần nhóm đứng sau là BlackCat. Những vụ nổi tiếng của nhóm có thể kể đến việc mã hóa dữ liệu của công ty bán dẫn TSMC, hãng máy bay Boeing, dịch vụ bưu chính Royal Mail của Anh.

"Có thể xem LockBit là tổ chức ransomware lớn nhất hiện nay", Jon DiMaggio, nhà phân tích bảo mật tại công ty an ninh mạng Analyst1, nói.

Tại sự kiện Security Bootcamp 2024 ở Hà Nội tuần trước, hoạt động của nhóm là một trong những chủ đề được các chuyên gia an ninh mạng Việt Nam quan tâm, trong bối cảnh các cuộc tấn công mã hóa dữ liệu tống tiền có xu hướng gia tăng.

Theo thống kê của Viettel Cyber Security (VCS), tính từ đầu năm, Việt Nam ghi nhận ít nhất 26 vụ ransomware từ 12 nhóm tin tặc. Trong số này, LockBit là tác nhân của 12 vụ, chiếm gần 50%, với phương thức phân phối mã độc qua các chi nhánh, tiêu biểu là cuộc tấn công vào hệ thống của VnDirect hồi tháng 3.

Chia 80% tiền chuộc cho chi nhánh

Tháng 9/2019, một tổ chức có tên LockBitSupp xuất hiện với mã độc ABCD. Từ 2020, nhóm chuyển sang hoạt động theo mô hình kinh doanh tấn công mạng qua đại lý (Ransomware as a Service - RaaS), sau đó mở rộng cách thức tống tiền kép, tức vừa mã hóa, vừa đánh cắp dữ liệu.

Theo ông Nguyễn Đức Kiên, chuyên gia phân tích của VCS, tình trạng nở rộ các cuộc tấn công ransomware thời gian qua là do sự phát triển của mô hình RaaS. Trong đó, LockBit đóng vai trò cung cấp và vận hành hạ tầng ransomware, hay còn gọi là Operator. Chúng chấp nhận chỉ lấy 20% số tiền thu được trong mỗi vụ tống tiền. 80% còn lại được chia cho các chi nhánh (Affiliate), là những nhóm chuyên thực hiện việc xâm nhập để phát tán mã độc.

"Đây là động lực rất lớn cho các nhóm tấn công mở rộng phạm vi hoạt động và săn tìm nạn nhân mới, trong đó có tổ chức, doanh nghiệp Việt Nam", ông Kiên nói.

Operator và Affiliate tìm thấy nhau qua các diễn đàn của tội phạm mạng, trong đó RAMP, xss.is hay exploit.in là những nơi nhóm tin tặc này đẩy mạnh quảng bá, đồng thời hỗ trợ việc rút tiền phạm pháp.

Trong phần lớn vụ tấn công, nạn nhân được yêu cầu trả bằng tiền mã hóa như BTC, ETH, USDT, ZCASH, sau đó các nhóm này sử dụng "máy trộn" để xóa nguồn gốc. Chuyên gia Việt Nam dẫn thống kê cho thấy nhóm này sử dụng hơn 30.000 địa chỉ ví tiền điện tử, trong đó khoảng 500 ví vẫn đang hoạt động.

Ngoài ra, sự nguy hiểm của LockBit nằm ở mô hình hoạt động chuyên nghiệp. Với tiềm lực tài chính lớn khoảng một tỷ USD, nhóm liên tục tái đầu tư để hoàn thiện. Sau 5 năm xuất hiện, Lockbit tung ra phiên bản 3.0, gọi là Black, được nhận biết bằng việc mã hóa dữ liệu với đuôi các tệp tin có 9 ký tự số và chữ ngẫu nhiên. Các chuyên gia bảo mật tại Việt Nam cũng xác định LockBit 3.0 là mã độc được dùng để nhắm tới VnDirect và nhiều tổ chức khác thời gian qua.

Trong thế giới RaaS, bản thân các nhóm cung cấp ransomware cũng cạnh tranh với nhau để thu hút các chi nhánh, bằng những kỹ thuật cao cấp hoặc tỷ lệ tống tiền thành công. Theo hãng bảo mật Trendmicro, điểm đặc biệt của LockBit so với các nhóm mã độc khác là khả năng lây lan. Khi một máy chủ trong mạng dính mã độc tống tiền, LockBit có thể tìm kiếm các mục tiêu gần đó khác và cố gắng tiếp tục lây nhiễm - một kỹ thuật không phổ biến trong giới ransomware. Ngoài ra, nhóm cũng sẵn sàng đóng vai bên đàm phán về tiền chuộc giữa các Affiliate và nạn nhân.

LockBit nổi tiếng về sự ngông cuồng. Khi ra mắt phiên bản 3.0 năm 2022, nhóm thậm chí tổ chức cuộc thi tìm lỗi của mã độc, hoặc thách thức mọi người có thể tìm ra danh tính của thủ lĩnh LockBit với tiền thưởng cao nhất một triệu USD.

Đối phó với LockBit

Một số chuyên gia bảo mật dự đoán LockBit có trụ sở tại Nga. Tuy nhiên, nhóm tuyên bố không đứng về chính phủ nước nào. Trên một darkweb, nhóm từng nói "nằm ở Hà Lan, hoàn toàn phi chính trị, chỉ quan tâm đến tiền".

LockBit cũng đối mặt với vấn đề xung đột nội bộ cũng như sự săn lùng khắp thế giới. Dmitry Yuryevich Khoroshev, 31 tuổi đến từ Nga, được cho là thủ lĩnh của nhóm này với biệt danh "LockBitSupp", trở thành mục tiêu săn tìm của các cơ quan thực thi pháp luật. Theo thông tin trên website của Bộ Ngân khố Mỹ, Khoroshev không chỉ là lãnh đạo cốt lõi của nhóm mà còn trực tiếp phát triển phần mềm tống tiền. Người này đảm nhiệm nhiều vai trò hoạt động trong nhóm như nâng cấp cơ sở hạ tầng, tham gia tuyển dụng các nhà phát triển mới và quản lý các chi nhánh LockBit.

Hồi tháng 2, chiến dịch Cronos, do Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan Cảnh sát Liên minh châu Âu (Europol) thực hiện, tuyên bố đã đạt thành công bước đầu trong việc trấn áp LockBit. Ví dụ, liên minh này đã thu giữ một số máy chủ, khoảng 7.000 mã mở khóa dữ liệu, đồng thời bắt một số người liên quan.

"Kể từ hôm nay, LockBit bị triệt phá. Chúng ta đã có một trận đánh đẹp và khiến nhóm ẩn danh này bị tổn hại uy tín nghiêm trọng", Guardian dẫn lời Tổng giám đốc NCA Graeme Biggar.

Tuy nhiên, hoạt động của các Affiliate không dừng lại và vẫn hoành hành khắp thế giới. Theo ông Nguyễn Đức Kiên, Affiliate thường xâm nhập vào hệ thống công nghệ thông tin của tổ chức thông qua bốn con đường chính, gồm tài khoản hệ thống bị lộ lọt; server bị hack và rao bán; dò mật khẩu qua tấn công vét cạn hoặc lừa đảo phishing; và tấn công qua lỗ hổng bảo mật của hệ thống.

Để đối phó với ransomware nói chung và LockBit nói riêng, chuyên gia VCS khuyến nghị các tổ chức đảm bảo an toàn cho hệ thống dữ liệu sao lưu (backup) của mình, trong đó tách rời giữa hệ thống IT và cơ sở dữ liệu backup để dữ liệu vẫn an toàn ngay cả khi bị tấn công.

Ngoài ra, đặc thù của tấn công mã hóa dữ liệu là thường cần thời gian dài để hiểu rõ hệ thống, tìm ra dữ liệu quan trọng, do đó, các tổ chức cần rà soát định kỳ, ưu tiên sử dụng công cụ giám sát liên tục để phát hiện sớm nguy cơ và ngăn chặn kịp thời.

Tại sự kiện về chuyển đổi số cuối tháng 9, ông Lê Văn Tuấn, Cục trưởng An toàn thông tin - Bộ Thông tin và Truyền thông, đánh giá vấn nạn ransomware tăng cao tại Việt Nam thời gian qua, khi dữ liệu ngày càng có giá trị cao trong hoạt động của các tổ chức, doanh nghiệp. Từ đầu năm đến nay, hàng loạt đơn vị lớn thuộc các lĩnh vực tài chính, dầu khí, logistics đã trở thành nạn nhân của phương thức này.

"Trước đây, tin tặc ít quan tâm đến thị trường Việt Nam, nhưng từ khi biết doanh nghiệp có thể trả tiền, nguy cơ bị tấn công cao hơn", ông nói.