Uber của thế giới ngầm

– Cù Tuấn biên dịch phóng sự của The Economist.

—–

Mọi thứ đều có tại Harrods, trang web của cửa hàng bách hóa hào nhoáng nhất nước Anh này tuyên bố. Than ôi, vào ngày 1 tháng 5, một nỗ lực tấn công mạng tại đây đã buộc công ty phải hạn chế quyền truy cập internet tại các trang web của mình, theo trang web cho biết. Nỗ lực xâm nhập diễn ra chỉ vài ngày sau khi tin tặc đánh sập hệ thống máy tính tại Marks & Spencer (M&S), một siêu thị và nhà bán lẻ quần áo. Công ty này cho biết sự gián đoạn sẽ khiến công ty thiệt hại khoảng 300 triệu bảng Anh (405 triệu đô la). Những vụ vi phạm này, cũng tấn công chuỗi siêu thị Co-op, không chỉ là những cuộc tấn công mạng làm hao tài tốn của. Chúng là những ví dụ đáng lo ngại về cách tội phạm đang phát triển vượt ra ngoài hành vi côn đồ đường phố đơn thuần, hoặc thậm chí là công việc của một nhóm nhỏ tin tặc thông minh, để trở thành một nền kinh tế dịch vụ toàn cầu, nơi bất kỳ ai có tiền điện tử đều có thể mua các công cụ để làm tê liệt một tập đoàn đa quốc gia.

Một trong những nghi phạm chính trong các cuộc tấn công vào phố chính của Anh là nhóm tin tặc Scattered Spider, theo Cơ quan Tội phạm Quốc gia Anh, đơn vị điều tra tội phạm nghiêm trọng và có tổ chức. Scattered Spider không phải là một tổ chức mafia truyền thống, có thứ bậc. Thay vào đó, đây là một mạng lưới tin tặc trẻ tuổi, những kẻ có thể không bao giờ gặp mặt trực tiếp, nhưng có thể phối hợp các cuộc tấn công tàn khốc trên khắp các châu lục. Người ta cho rằng chúng đã sử dụng DragonForce, một nền tảng ransomware-as-a-service cung cấp cho tội phạm phần mềm để thực hiện các cuộc tấn công trong đó chúng mã hóa dữ liệu của nạn nhân hoặc chặn quyền truy cập vào hệ thống máy tính của nạn nhân cho đến khi nạn nhân phải trả tiền cho chúng.

Giống như Uber đã cách mạng hóa ngành công nghiệp taxi và Airbnb đã định hình lại ngành kinh doanh khách sạn, thế giới ngầm tội phạm đang trải qua cuộc cách mạng kỹ thuật số của riêng mình. Những tên tội phạm có thể đã từng phạm tội hiện đang trở thành các nhà cung cấp dịch vụ trong một thị trường ngầm rộng lớn. John Wojcik thuộc Văn phòng Liên hợp quốc về Ma túy và Tội phạm (UNODC) cho biết mô hình dịch vụ mới này “đang phát triển với tốc độ mà chúng ta chưa từng thấy trước đây”.

Không thể biết chính xác chi phí của tội phạm mạng, vì phần lớn các thỏa thuận diễn ra trong bóng tối và nạn nhân của các cuộc tấn công ransomware có thể không muốn báo cáo tội phạm. Đôi khi điều này là do sợ rằng việc làm như vậy sẽ làm tổn hại đến danh tiếng của họ trong mắt khách hàng hoặc có thể dẫn đến việc họ bị phạt theo luật bảo vệ dữ liệu.

Tuy nhiên, rõ ràng là quy mô tội phạm này rất đáng kinh ngạc, với hàng tỷ, thậm chí có thể là hàng nghìn tỷ đô la chi phí kinh tế mỗi năm. Mức thấp nhất trong phạm vi này đến từ số liệu thống kê về tội phạm được các cơ quan thực thi pháp luật báo cáo. FBI cho biết họ đã nhận được báo cáo về tổn thất trực tiếp là 16,6 tỷ đô la vào năm 2024, tăng 33% so với năm 2023. Cộng thêm các khoản lỗ chưa được báo cáo và chi phí kinh tế quy mô rộng hơn đã dẫn đến các con số lớn hơn. Nước Anh ước tính số tiền phải chi trả hàng năm hiện tại của cho tội phạm mạng của nước này là hơn 27 tỷ bảng Anh (dựa trên dữ liệu cũ). Ủy ban Châu Âu ước tính rằng chi phí cho tội phạm mạng trên toàn thế giới là 5,5 nghìn tỷ euro (6,5 nghìn tỷ đô la) vào năm 2021.

Mặc dù ước tính về tổng chi phí khác nhau, hầu hết các nghiên cứu đều cho thấy tội phạm mạng đang bùng nổ. Một lý do là sự xuất hiện của DragonForce và các nhà cung cấp tương tự khác về bộ công cụ hack plug-and-play, khiến ngay cả những tên tội phạm không có kỹ năng nào cũng có khả năng phát động các cuộc tấn công ransomware. Điều này làm giảm đáng kể các rào cản đối với những kẻ mới vào nghề, những kẻ không còn phải tự viết phần mềm độc hại của riêng mình nữa. Hơn nữa, một hệ sinh thái rộng lớn hơn của các dịch vụ tội phạm đang được phát triển. Điều này cho phép tin tặc mua, thay vì đánh cắp, dữ liệu cá nhân mà chúng cần để xác định các nạn nhân tiềm năng hoặc tìm ra cách rửa tiền chuộc. Nhiều dịch vụ trong số này được truy cập thông qua các diễn đàn trực tuyến hoặc ứng dụng nhắn tin, chẳng hạn như Telegram và thường được thanh toán bằng tiền điện tử.

Những hacker phát triển ransomware sử dụng nhiều mô hình kinh doanh khác nhau, từ việc bán mã cơ bản, đôi khi chỉ tốn 2.000 đô la, cho đến ransomware-as-a-service. Theo mô hình dịch vụ, khách hàng (hoặc chi nhánh) được truy cập vào cổng thông tin web cho phép họ tùy chỉnh ransomware. Một số nhóm cũng cung cấp cổng thông tin liên lạc, qua đó khách hàng của họ có thể đàm phán ẩn danh với nạn nhân. Để đổi lấy các dịch vụ này, họ sẽ lấy một phần lợi nhuận. Các lực lượng thị trường và sự cạnh tranh đã đẩy những khoản này xuống còn khoảng 10-20% từ khoảng 30-40% cách đây vài năm.

Mô hình tội phạm theo mô-đun kiểu mới này không dễ bị các viên chức thực thi pháp luật ngăn chặn. Khi tội phạm mạng hoạt động thông qua vô số nhà cung cấp, việc chặn một nút hầu như không làm ảnh hưởng đến hệ thống. Năm 2023, Scattered Spider đã tấn công Caesars Entertainment và MGM Resorts International, hai nhà điều hành sòng bạc của Mỹ, nhưng FBI đã phải vật lộn để phá hủy mạng lưới cờ bạc này.

Các mô hình kinh doanh tội phạm cũng đang phát triển. DragonForce sử dụng phương pháp tống tiền kép. Dịch vụ này vừa đánh cắp một bản sao dữ liệu của nạn nhân vừa mã hóa dữ liệu đó trên hệ thống máy tính của nạn nhân. Do đó, nó có thể yêu cầu hai khoản tiền chuộc riêng biệt: một để giải mã dữ liệu và một để xóa bản sao bị đánh cắp. Các công ty từ chối trả tiền sẽ phải đối mặt với mối đe dọa rằng dữ liệu của họ sẽ bị rò rỉ cho những tên tội phạm mạng khác.

Việc nhắm mục tiêu vào các nhà bán lẻ lớn như M&S, Co-op và Harrods không phải là ngẫu nhiên: những công ty như vậy lưu trữ rất nhiều dữ liệu khách hàng. Sau các cuộc tấn công của Scattered Spider vào các công ty bán lẻ Anh, Google đã cảnh báo vào ngày 21 tháng 5 rằng nhóm này đang chuyển sự chú ý sang các công ty bán lẻ Mỹ.

Các loại thông tin cá nhân mà các nhà bán lẻ lớn nắm giữ—tên, địa chỉ email, thông tin chi tiết về thẻ tín dụng, thói quen mua sắm, thậm chí cả lịch sử duyệt web, vốn tiết lộ sở thích cá nhân—là xương sống của bán lẻ hiện đại. Những dữ liệu này nằm trong số những hàng hóa có giá trị nhất của tội phạm mạng. Với thông tin này, tội phạm có thể tạo ra các cuộc tấn công lừa đảo thuyết phục hơn (email mạo danh các công ty hợp pháp để lừa mọi người tiết lộ mật khẩu hoặc thông tin tài chính), phát động các cuộc tấn công phần mềm độc hại có mục tiêu và thực hiện hành vi gian lận. Các thị trường ngầm, được lưu trữ trên các ứng dụng nhắn tin hoặc trên dark web, hiện đóng vai trò là trung tâm giao dịch, nơi các nhà cung cấp bán thông tin chi tiết về thẻ tín dụng bị đánh cắp, hồ sơ ngân hàng và các dữ liệu bí mật khác. Ngoài việc tấn công các nhà bán lẻ lớn, tội phạm chuyên đánh cắp và bán dữ liệu còn nhắm mục tiêu vào các ngân hàng, công ty đầu tư và các công ty tài chính khác để lấy thông tin về các khách hàng giàu có và các mục tiêu có lợi nhuận khác.

Ngày càng nhiều tội phạm sử dụng phần mềm độc hại đánh cắp thông tin, thường được phân phối qua email lừa đảo hoặc quảng cáo độc hại, lây nhiễm vào máy tính và điện thoại thông minh. Phần mềm độc hại này thu thập lịch sử duyệt web, mật khẩu đã lưu (bao gồm từ ngân hàng trực tuyến), nhật ký trò chuyện, thông tin chi tiết về ví tiền điện tử và các nội dung cá nhân khác. Trong số những phần mềm đánh cắp mật khẩu này có RedLine Infostealer, đã được sử dụng để xâm nhập vào các tập đoàn lớn và META Infostealer (không nên nhầm lẫn với công ty điều hành Facebook). Chúng được phân phối thông qua mô hình phần mềm độc hại dưới dạng dịch vụ phi tập trung, trong đó tội phạm mạng mua quyền sử dụng trọn đời với giá 900 đô la hoặc đăng ký sử dụng với chi phí 150 đô la một tháng, theo đơn khiếu nại hình sự do Bộ Tư pháp Hoa Kỳ đệ trình lên tòa án ở Texas vào năm 2022. Một chuyên gia an ninh mạng hiện ước tính rằng hiện tại chi phí cho một quyền sử dụng trọn đời đã tăng lên 10.000 đô la.

Đổ thêm dầu vào lửa là trí tuệ nhân tạo (AI), thứ đã biến đổi hai loại tội phạm mạng phổ biến: tạo ra phần mềm độc hại và thực hiện các cuộc tấn công lừa đảo. Trước đây, các băng nhóm cần những chuyên gia có kỹ năng lập trình tiên tiến để viết phần mềm độc hại hoặc điều chỉnh nó cho các mục tiêu cụ thể, vốn là những nhiệm vụ mà AI tự sinh có thể dễ dàng thực hiện. Chuyên gia Jeff Sims của Infoblox, một công ty bảo mật, cho biết: “Những gì trước đây có thể khiến một nhóm tội phạm tiên tiến mất nhiều tuần để sửa đổi mã thì giờ đây bất kỳ tên tội phạm nào cũng có thể làm được chỉ trong vài phút”.

AI cũng cho phép tội phạm tạo ra các tin nhắn lừa đảo có sức thuyết phục, được viết tốt hơn (thường bằng ngôn ngữ không phải của kẻ lừa đảo). Những tin nhắn này có nhiều khả năng thành công trong việc lừa đảo nạn nhân, đặc biệt là khi kết hợp với dữ liệu bị đánh cắp. Các tổ chức tội phạm, ví dụ như các nhóm tội phạm người Trung Quốc hoạt động ở Đông Nam Á, đang sử dụng AI để dịch các tập lệnh cho các vụ lừa đảo tình cảm, lời mời làm việc giả mạo hoặc đầu tư gian lận, cho phép chúng nhắm mục tiêu vào nạn nhân trên toàn thế giới.

Các cơ quan thực thi pháp luật có xu hướng tập trung vào việc cố gắng đóng cửa hoặc phá vỡ các nhà cung cấp phần mềm tống tiền. Vào cuối tháng 5, một hoạt động của các cơ quan châu Âu và Bắc Mỹ đã phá hủy một mạng lưới rộng lớn và ban hành lệnh bắt giữ 20 người. Tuy nhiên, sự gia tăng liên tục của loại tội phạm này cho thấy việc thực thi đang thất bại, dẫn đến các đề xuất hà khắc hơn. Anh có kế hoạch cấm các cơ quan khu vực công và các nhà điều hành cơ sở hạ tầng quan trọng thanh toán tiền chuộc, hy vọng điều này sẽ khiến họ trở nên kém hấp dẫn hơn khi trở thành mục tiêu. Những công ty không phải chịu lệnh cấm này vẫn phải báo cáo các cuộc tấn công bằng phần mềm tống tiền cho chính quyền, điều này sẽ cho phép các quan chức thực thi pháp luật chặn các khoản thanh toán tiền chuộc. Tuy nhiên, các chuyên gia pháp lý lo ngại rằng điều này sẽ không ngăn chặn được các cuộc tấn công mạng (vì tin tặc vẫn có thể lấy được dữ liệu khách hàng mà chúng có thể bán) cũng như không bảo vệ được các công ty, những công ty có thể sụp đổ nếu không thể giành lại quyền kiểm soát dữ liệu của mình.

Nếu không có gì khác, tình thế tiến thoái lưỡng nan về cách ngăn chặn thế hệ tội phạm mạng mới làm nổi bật cách mà một trong những mối đe dọa tội phạm phát triển nhanh nhất thế giới không đến từ những tên côn đồ có vũ trang, mà từ những kẻ lập trình viết và bán mã nguồn độc hại trong thế giới ngầm đang phát triển của nền kinh tế tội phạm.