Vào tháng 1/2023, tin tặc đã tấn công Công ty Bưu chính Royal Mail của Anh và khiến hoạt động vận chuyển thư quốc tế của công ty bị tạm dừng. Chưa đầy một tháng sau, tin tặc lại tấn công một công ty Fintech của Anh, làm tê liệt hoạt động giao dịch phái sinh toàn cầu. Tin tặc cũng đã tấn công làm tê liệt cảng biển lớn nhất Nhật Bản và ảnh hưởng đến hoạt động kinh doanh phân phối và phụ tùng của Boeing.

Nhưng không có cuộc tấn công mạng nào gần đây do LockBit dàn dựng - một trong những nhóm ransomware mạnh nhất mọi thời đại - đã làm rung chuyển thế giới tài chính hơn vụ tin tặc tấn công Ngân hàng Công nghiệp và Thương mại Trung Quốc (ICBC) vào ngày 8/11. Sự cố của ngân hàng lớn nhất thế giới này đã ảnh hưởng tới một số giao dịch trên thị trường trái phiếu Kho bạc Mỹ, buộc một số tổ chức liên quan phải định tuyến lại các giao dịch.

“Đây thực sự là một cú sốc. Đó là kiểu tấn công quy mô lớn… sẽ khiến các ngân hàng lớn trên toàn cầu chạy đua để cải thiện khả năng phòng vệ của họ, bắt đầu từ hôm nay”, Marcus Murray, người sáng lập công ty an ninh mạng Thụy Điển Truesec cho biết.

Sự tàn phá của LockBit đã được hình thành trong khoảng 4 năm qua. Theo Bộ Tư pháp Mỹ, nhóm này đã hoạt động ít nhất là từ đầu năm 2020 và đã tấn công tới 1.000 nạn nhân trên toàn cầu, đòi tiền chuộc hơn 100 triệu USD. Theo các chuyên gia trong ngành, các thành viên của nhóm này có quan hệ mật thiết với Nga và hoạt động tích cực trên các diễn đàn tội phạm mạng bằng tiếng Nga.

Nhóm này được biết đến như một doanh nghiệp “dịch vụ tống tiền”. Tin tặc core của LockBit phát triển phần mềm độc hại và các công cụ khác. Sau đó, tội phạm mạng tự do đăng ký với LockBit để có quyền truy cập vào các công cụ và cơ sở hạ tầng của chúng và tự mình thực hiện việc hack. Theo các công ty an ninh mạng, khi các cuộc tấn công thành công, LockBit sẽ nhận được hoa hồng, thường là khoảng 20% số tiền chuộc được trả.

Jon DiMaggio, chiến lược gia bảo mật tại Analyst1 cho biết trong một cuộc phỏng vấn đầu năm nay: “Họ điều hành nó như một doanh nghiệp và đó là cách tốt nhất để giải thích điều đó. Nhà sáng lập LockBit điều hành nó như thể ông ấy là Steve Jobs, điều này thành công đối với họ nhưng lại là tin xấu đối với phần còn lại của chúng tôi”.

Tin tặc LockBit sử dụng ransomware để xâm nhập vào hệ thống và sử dụng chúng làm con tin. Chúng yêu cầu thanh toán để mở khóa các máy tính mà chúng đã xâm nhập và thường đe dọa rò rỉ dữ liệu bị đánh cắp để gây áp lực buộc nạn nhân phải trả tiền.

Theo công ty an ninh mạng Kaspersky, nạn nhân của băng nhóm này trải dài khắp châu Âu và Mỹ, cũng như Trung Quốc, Ấn Độ, Indonesia và Ukraine.

Các nhà nghiên cứu từ lâu đã nghiên cứu các công cụ hack của LockBit và xác định rằng nhóm này thường xuyên cập nhật phần mềm độc hại của mình để tránh bị các sản phẩm an ninh mạng phát hiện. Các nhà nghiên cứu của Sophos Group cho biết, một loại phần mềm độc hại có tên LockBit Black cho thấy băng nhóm này đã thử nghiệm một loại phần mềm độc hại tự phát tán giúp tin tặc dễ dàng xâm nhập vào các tổ chức mà không cần có chuyên môn kỹ thuật thường được yêu cầu để làm điều đó.

Hiện chưa rõ chính xác có bao nhiêu người tham gia vào LockBit và họ sinh sống ở đâu, nhưng nhóm này đã nói trên trang web của mình rằng họ không tấn công các quốc gia hậu Liên Xô vì hầu hết các nhà phát triển và đối tác của họ đều sinh ra và lớn lên ở đó.

Tính đến cuối ngày thứ Năm (8/11), ICBC vẫn chưa được liệt kê là nạn nhân trên trang web của LockBit. Mattias Wåhlén, chuyên gia tình báo mối đe dọa của Truesec cho biết, điều đó không có gì bất thường.

“Nhiều thông báo đòi tiền chuộc ban đầu có đề nghị rằng, nếu nạn nhân trả tiền nhanh chóng, nhóm ransomware sẽ không công bố tên nạn nhân, để tránh gây ra sự xấu hổ cho công chúng”, ông cho biết.

Eric Noonan, giám đốc điều hành của công ty dịch vụ bảo mật CyberSheath đã mô tả LockBit là “phần mềm ransomware được triển khai nhiều nhất trên thế giới vào năm 2022”, đồng thời lưu ý rằng nó cũng “hoạt động khá tích cực” trong năm nay. “Thật ngạc nhiên khi một ngân hàng Trung Quốc lại trở thành mục tiêu”, ông cho biết.

Theo ông Wåhlén, do chính phủ Trung Quốc cấm giao dịch tiền điện tử - phương thức thanh toán ưa thích của tin tặc - nên các băng nhóm thường không nhắm mục tiêu vào khu vực này. Trung Quốc cũng có truyền thống được xem là đồng minh của Nga, nên khiến nước này ít trở thành mục tiêu hơn của những người có quan hệ với Nga.

“Nếu việc nhắm mục tiêu đó hóa ra là một lỗi, thì chúng tôi có thể thấy LockBit hỗ trợ quá trình khôi phục bằng cách cung cấp giải mã miễn phí như họ đã làm trước đây khi nhắm nhầm mục tiêu vào các nạn nhân”, ông Eric Noonan cho biết.

Các tin tặc LockBit trước đây đã nói rõ rằng họ đều là những kẻ cơ hội như nhau. Trong một tuyên bố được đưa ra vào đầu năm ngoái, họ đã tự mô tả họ là những người “phi chính trị”.