Băng nhóm sử dụng phần mềm tống tiền (ransomware) khét tiếng nhất thế giới một thời là LockBit vừa bị tấn công, trong đó các tác nhân đe dọa để lại một ghi chú: "Đừng phạm tội".

Băng đảng ransomware LockBit được biết đến như một phần lâu đời của hệ sinh thái ransomware toàn cầu, vừa phải hứng chịu một vụ xâm nhập rõ ràng vào hệ thống của chính mình.

Các bảng điều khiển liên kết web đen được sử dụng để phối hợp các cuộc tấn công đã bị phá hoại vào đầu tuần này, thay thế bằng một thông điệp rõ ràng: "Đừng phạm tội. Tội phạm là xấu".

Vụ xâm nhập lần đầu được tác nhân đe dọa và nhà nghiên cứu Rey phát hiện bao gồm một tệp liên kết để tải xuống có tên paneldb_dump.zip với cơ sở dữ liệu từ cổng quản lý liên kết của nó.

Theo chuyên gia Rey, bản dump được tạo vào khoảng ngày 29/4, cho thấy LockBit đã bị xâm phạm vào khoảng thời gian này hoặc trước ngày đó, trước khi bị phá hoại vào ngày 7/5. Hiện chưa có nhóm nào nhận trách nhiệm về vụ việc này.

Mặc dù vẫn chưa rõ toàn bộ tác động của vụ vi phạm, nhưng nó đặt ra câu hỏi về tính bảo mật và ổn định nội bộ của mô hình tấn công bằng mã độc dưới dạng dịch vụ (ransomware-as-a-service và được viết tắt là RaaS).

Sự tin tưởng và bí mật hoạt động là trọng tâm của các nhóm tội phạm này. Việc bị rò rỉ hoặc xâm phạm cơ sở hạ tầng liên kết có thể làm suy yếu sự tin tưởng và làm gián đoạn luồng tấn công của các nhóm tội phạm như LockBit.

Một đại diện của LockBit có tên là LockBitSupp đã xác nhận về vụ vi phạm trong cuộc trò chuyện Tox với Rey.

Người phát ngôn tuyên bố rằng, mặc dù hành vi phá hoại là có thật, nhưng không có khóa mã hóa riêng hoặc không có dữ liệu công ty bị đánh cắp nào bị lộ và không có dữ liệu hoạt động nhạy cảm nào bị mất vĩnh viễn. Theo Lockbit, chỉ có địa chỉ Bitcoin và các cuộc trò chuyện với các công ty bị đánh cắp khỏi bảng điều khiển.

"Mã nguồn không bị đánh cắp. Tôi đã nỗ lực để quay lại làm việc", LockBitSupp viết trong cuộc trò chuyện.

Tại thời điểm viết bài, trang web của Lockbit trên web đen đã hoạt động trở lại.

Cuộc tấn công diễn ra sau một loạt đòn giáng vào LockBit của cơ quan thực thi pháp luật quốc tế. Vào đầu năm 2024, Chiến dịch Cronos đã được phát động, đây được xem như là một nỗ lực phối hợp có sự tham gia của các cơ quan thực thi pháp luật đến từ 11 quốc gia.

Chiến dịch này đã thu giữ được 34 máy chủ, phá hủy các trang web rò rỉ dữ liệu của LockBit và thu hồi được hơn 1.000 khóa giải mã được sử dụng để giúp nạn nhân mở khóa dữ liệu mà không phải trả tiền chuộc.

Hơn 200 ví tiền điện tử có liên quan đến tổ chức tội phạm này được cho là đã bị thu giữ. Mặc dù băng nhóm này đã tiếp tục các hoạt động bất hợp pháp sau vụ bắt giữ, nhưng năng lực hoạt động của chúng đã chậm lại.

Vào tháng 2 năm nay, kẻ được cho là thủ lĩnh của băng đảng tống tiền LockBit tuyên bố đã đánh cắp dữ liệu có thể "phá hủy" cấu trúc của Cục điều tra liên bang Mỹ (FBI).

Vào tháng 3, Rostislav Panev, một công dân Nga và Israel 51 tuổi, đã bị dẫn độ sang Hoa Kỳ với cáo buộc là nhà phát triển Lockbit. Theo Bộ Tư pháp, Panev đã kiếm được khoảng 230.000 đô la tiền điện tử cho công việc của mình từ tháng 6/2022 đến tháng 02/2024.

Theo các chuyên gia công nghệ, nhóm ransomware có liên hệ với Nga này lần đầu tiên xuất hiện trên thị trường phần mềm tống tiền vào cuối năm 2019.

Kể từ đó, băng nhóm này đã leo lên vị trí hàng đầu và trở thành một trong những băng nhóm ransomware hoạt động tích cực nhất thời bấy giờ. Trong năm 2022 và 2023, LockBit chịu trách nhiệm cho 40% tổng số các cuộc tấn công ransomware.