Tại sao các băng đảng ransomware kiếm được nhiều tiền?

Đối với nhiều tổ chức và công ty khởi nghiệp, năm 2023 là một năm khó khăn về mặt tài chính, khi các công ty gặp khó khăn trong việc huy động vốn hay cắt giảm chi phí để tồn tại. Trong khi đó, các nhóm ransomware và tống tiền đã có một năm phá kỷ lục về các khoản thanh toán.

Điều này không có gì đáng ngạc nhiên khi nhìn vào tình hình ransomware năm 2023. Theo đó, tin tặc đã không ngừng phát triển các chiến thuật mới nhằm gây áp lực buộc nạn nhân phải trả những khoản tiền chuộc ngày càng cắt cổ mà chúng đưa ra. Sự leo thang trong chiến thuật, cùng với việc các chính phủ đã ngừng cấm thanh toán tiền chuộc, khiến năm 2023 trở thành năm sinh lợi nhất cho các băng đảng ransomware.

Doanh nghiệp tội phạm mạng trị giá hàng tỷ đô la

Theo dữ liệu mới từ công ty khởi nghiệp Chainalysis, công ty phát triển phần mềm theo dấu các giao dịch liên quan tới tiền điện tử và phân tích blockchain, các khoản thanh toán ransomware được biết đã tăng gần gấp đôi vào năm 2023 và vượt mốc 1 tỷ USD, năm này được coi là “sự trở lại lớn của ransomware”.

Đó là con số cao nhất từng được quan sát và gần gấp đôi số tiền thanh toán tiền chuộc được biết trong năm 2022. Nhưng Chainalysis cho biết con số thực tế có thể cao hơn nhiều so với khoản thanh toán tiền chuộc 1,1 tỷ USD mà họ đã chứng kiến cho đến nay.

Tuy nhiên, dù năm 2023 nhìn chung là một năm bội thu đối với các băng đảng ransomware, nhưng những người theo dõi tin tặc khác lại nhận thấy các khoản thanh toán giảm vào cuối năm. Sự sụt giảm này là kết quả của khả năng phòng thủ và khả năng phục hồi mạng được cải thiện, cùng với tâm lý ngày càng tăng rằng hầu hết các tổ chức là nạn nhân không tin tưởng tin tặc sẽ giữ lời hứa hoặc xóa bất kỳ dữ liệu bị đánh cắp nào như họ yêu cầu. Theo công ty xử lý ransomware Coveware, điều này là hướng tốt hơn cho nạn nhân và ít khoản thanh toán hơn cho các đảm bảo vô hình.

Các khoản tiền chuộc kỷ lục

Trong khi ngày càng nhiều nạn nhân của ransomware từ chối chi trả cho tin tặc, các băng nhóm ransomware đang bù đắp cho sự sụt giảm thu nhập này bằng cách tăng số lượng nạn nhân mà chúng nhắm tới.

Thực hiện chiến dịch MOVEit, vụ hack khổng lồ này chứng kiến nhóm ransomware Clop khai thác hàng loạt một lỗ hổng chưa từng thấy trong phần mềm MOVEit Transfer được sử dụng rộng rãi để đánh cắp dữ liệu từ hệ thống của hơn 2.700 tổ chức nạn nhân. Nhiều nạn nhân được biết đã trả tiền cho nhóm hack trong nỗ lực ngăn chặn việc xuất bản dữ liệu nhạy cảm.

Mặc dù không thể biết chính xác số tiền mà vụ hack hàng loạt đã mang lại cho nhóm ransomware, nhưng Chainalysis cho biết trong báo cáo rằng chiến dịch MOVEit của Clop đã thu được hơn 100 triệu USD tiền chuộc và chiếm gần một nửa tổng giá trị ransomware nhận được trong tháng 6 và tháng 7/2023 trong thời kỳ cao điểm của vụ hack hàng loạt này.

MOVEit hoàn toàn không phải là chiến dịch kiếm tiền duy nhất của năm 2023. Vào tháng 9/2023, gã khổng lồ sòng bạc và giải trí Caesars đã phải chi trả khoảng 15 triệu USD cho tin tặc để ngăn chặn việc tiết lộ dữ liệu khách hàng bị đánh cắp trong một cuộc tấn công mạng vào tháng 8.

Khoản thanh toán trị giá hàng triệu đô la này có lẽ minh họa cho lý do tại sao những kẻ tấn công ransomware tiếp tục kiếm được nhiều tiền như vậy: cuộc tấn công của Caesars hầu như không được đưa tin, trong khi một cuộc tấn công tiếp theo vào khách sạn khổng lồ MGM Resorts - cho đến nay đã khiến công ty phải trả 100 triệu USD để phục hồi - thống trị các tiêu đề báo chí, truyền thông trong nhiều tuần.

Việc MGM từ chối trả tiền chuộc đã khiến tin tặc tiết lộ dữ liệu nhạy cảm của khách hàng MGM, bao gồm tên, số an sinh xã hội và chi tiết hộ chiếu. Caesars - ít nhất là ở bề ngoài - hầu như không bị tổn hại gì, ngay cả khi chúng thừa nhận rằng không thể đảm bảo rằng nhóm ransomware sẽ xóa dữ liệu bị đánh cắp của công ty.

Các mối đe dọa leo thang

Đối với nhiều tổ chức như Caesars, trả tiền chuộc dường như là lựa chọn dễ dàng nhất để tránh cơn ác mộng về quan hệ công chúng. Nhưng khi số tiền chuộc cạn dần, các băng nhóm ransomware và tống tiền đang tăng cường áp dụng các chiến thuật leo thang và các mối đe dọa cực đoan.

Ví dụ, hồi tháng 12/2023, tin tặc được cho là đã cố gắng gây áp lực buộc một bệnh viện ung thư phải trả tiền chuộc bằng cách đe dọa “đánh đập” bệnh nhân của bệnh viện. Các sự cố “swatting” dựa trên việc những người gọi có ác ý tuyên bố sai sự thật về mối đe dọa tính mạng giả trong thế giới thực, khiến cảnh sát phải phản ứng.

Chúng ta cũng chứng kiến băng đảng ransomware khét tiếng Alphv (được gọi là BlackCat) sử dụng các quy định tiết lộ vi phạm dữ liệu mới của chính phủ Hoa Kỳ để chống lại MeridianLink, một trong nhiều nạn nhân của băng đảng này. Alphv cáo buộc MeridianLink đã không tiết lộ công khai điều mà nhóm này gọi là “một vi phạm nghiêm trọng làm tổn hại đến dữ liệu khách hàng và thông tin hoạt động”, mà nhóm này đã ghi công.

Không cấm thanh toán tiền chuộc

Trả hay không trả tiền chuộc là một chủ đề gây nhiều tranh cãi. Công ty khắc phục ransomware Coveware gợi ý rằng nếu lệnh cấm trả tiền chuộc được áp dụng ở Hoa Kỳ hoặc bất kỳ quốc gia nào có nhiều nạn nhân khác, các công ty có thể sẽ ngừng báo cáo những sự cố này cho chính quyền, đảo ngược sự hợp tác trước đây giữa nạn nhân và cơ quan thực thi pháp luật. Công ty cũng dự đoán rằng lệnh cấm thanh toán tiền chuộc sẽ dẫn đến việc tạo ra một thị trường bất hợp pháp rộng lớn chỉ trong một đêm để tạo điều kiện cho việc thanh toán bằng ransomware.

Tuy nhiên, những người khác tin rằng lệnh cấm toàn diện là cách duy nhất để đảm bảo tin tặc ransomware không thể tiếp tục kiếm tiền - ít nhất là trong thời gian ngắn.

Allan Liska, một nhà phân tích tình báo mối đe dọa tại Recorded Future, từ lâu đã phản đối việc cấm thanh toán tiền chuộc - nhưng giờ đây tin rằng miễn là các khoản thanh toán tiền chuộc vẫn hợp pháp bởi vì tội phạm mạng sẽ làm mọi cách để kiếm lợi.

Trao đổi với TechCrunch, nhà phân tích Liska nói: “Tôi đã phản đối ý tưởng cấm hoàn toàn việc thanh toán tiền chuộc trong nhiều năm, nhưng tôi nghĩ điều đó phải thay đổi. Ransomware đang trở nên tồi tệ hơn, không chỉ ở số lượng các cuộc tấn công mà còn ở tính chất hung hãn của các cuộc tấn công và các nhóm đứng đằng sau chúng”.

“Lệnh cấm thanh toán tiền chuộc sẽ gây đau đớn và có thể sẽ dẫn đến sự gia tăng ngắn hạn các cuộc tấn công bằng ransomware, nhưng có vẻ như đây là giải pháp duy nhất có cơ hội thành công lâu dài trong thời điểm này”, Liska nói.

Mặc dù ngày càng nhiều nạn nhân nhận ra rằng việc trả tiền cho tin tặc không thể đảm bảo an toàn cho dữ liệu của họ, nhưng rõ ràng là những tội phạm mạng có động cơ tài chính sẽ không sớm từ bỏ lối sống xa hoa của mình. Cho đến lúc đó, các cuộc tấn công ransomware sẽ vẫn là một hoạt động kiếm tiền lớn cho các tin tặc đứng sau chúng./.