Khoảng 21h ngày 23/11/2020, Matthew, giám đốc IT của một trường học ở trung tâm London, Anh nhận được tin nhắn từ một đồng nghiệp thông báo trang web của trường đã ngừng hoạt động. Anh thử đăng nhập nhưng không được nên lúc đầu tưởng quên mật khẩu. Sau nhiều lần thử, Matthew nhận ra tài khoản đã bị khóa. Các tập tin không thể mở, bị đổi tên với phần mở rộng .encrypt.

Anh nhận ra rằng trường đã bị tấn công bởi ransomware - mã độc, một trong những loại tội phạm mạng phổ biến nhất và phát triển nhanh nhất thế giới. Nó xâm nhập vào máy tính và khiến các tập tin không thể truy cập được nếu không có khóa giải mã với giá cắt cổ được tin tặc đưa ra.

"Tất cả tệp của ông đã bị khóa! Cấu trúc và dữ liệu trong các tệp đã bị thay đổi không thể phục hồi. Sau khi nhận được tiền chuộc, chúng tôi sẽ trả lại nguyên trạng... Ông có 2 ngày để quyết định thanh toán. Sau 2 ngày, cái giá sẽ tăng gấp đôi. Và sau một tuần, số tiền sẽ tăng gấp ba... Vì vậy, chúng tôi khuyên ông nên thanh toán ngay trong vài giờ", thư tống tiền gửi Matthew nêu.

Một vài ví dụ về các tin nhắn chứa mã độc. Ảnh: Guardian

Trường học dường như không còn lựa chọn nào khác ngoài việc trả tiền. Thư đòi tiền chuộc không ghi giá. Matthew đã viết thư tới địa chỉ Gmail do tin tặc chỉ định. "Trả ngay bây giờ là 10.000 euro, mai sẽ lên 15.000, ngày kia thì 20.000", bên kia hồi đáp.

Matthew biết nhà trường không đủ khả năng chi trả nên cố gắng mặc cả. "Tôi không có 10.000 euro, trường nghèo, nguồn lực nhỏ. Chúng tôi chỉ trả được 500". Hacker giảm giá xuống còn 1.000 euro, yêu cầu thanh toán bằng bitcoin.

"Tôi gửi rồi, hãy cho tôi biết cách khôi phục các tập tin", Matthew viết sau khi đổi tiền sang bitcoin và gửi vào tài khoản chỉ định, nhưng sững sờ khi nhận được hồi đáp. "Xin lỗi, 1.000 euro quá ít. Ông phải trả đủ 10.000 euro. Ông nợ tôi 9.000 nữa".

Hacker đã qua mặt ông bằng cách vờ thỏa hiệp. Matthew quá bối rối, gõ ra một lời kêu gọi tuyệt vọng: "Anh đã nói 1.000 euro cơ mà và chúng ta đã thống nhất. "Chà, đây đâu phải là vấn đề của tôi", tin tắc hồi đáp kèm biểu tượng mặt cười nhếch mép.

Đế chế khủng bố mới

Như nhà văn George Orwell từng nhận xét: "Lịch sử của nền văn minh phần lớn là lịch sử của vũ khí". Ngày nay, vũ khí kỹ thuật số đang định hình lại thế giới và ransomware có thể là mối đe dọa lớn nhất. Nhân loại đang trở nên phụ thuộc vào Internet trong mọi khía cạnh của cuộc sống, tội phạm mạng đang lợi dụng để kiếm tiền và tạo ra tình trạng hỗn loạn gần như vô hạn.

Tần suất và tác động của các cuộc tấn công ransomware được đánh giá thấp vì nhiều nạn nhân không công khai hoặc thông báo cho chính quyền. Nhưng trong những năm gần đây, hàng trăm chủng virus đã làm tê liệt hệ thống máy tính của hàng triệu công ty, cơ quan chính phủ, tổ chức phi lợi nhuận và cá nhân.

Lợi dụng sự phụ thuộc gần như hoàn toàn của xã hội vào máy tính, tin tặc đòi hỏi hàng nghìn, hàng triệu thậm chí hàng chục triệu USD để khôi phục hoạt động. Trong thời kỳ đại dịch, làn sóng tống tiền qua mạng đã làm tê liệt các bệnh viện và các dịch vụ quan trọng khác, buộc các doanh nghiệp và trường học phải đóng cửa và ngày càng cô lập người dân khỏi người thân, bạn bè và đồng nghiệp.

Kỷ lục của những vụ hacker tống tiền xảy ra hồi tháng 3/2021 với CNA Financial, một trong những công ty bảo hiểm lớn nhất Mỹ. Họ phải đã trả cho tin tặc 40 triệu USD sau khi một cuộc tấn công bằng ransomware đã chặn quyền truy cập vào mạng của công ty và đánh cắp dữ liệu của công ty.

Dù mới chỉ nổi lên vài năm gần đây, thiệt hại do loại tội phạm mạng này ước tính sẽ đạt 10,5 nghìn tỷ USD vào năm 2031, Cybersecurity Venture ước tính. Nếu tính theo một quốc gia thì tội phạm mạng sẽ là nền kinh tế lớn thứ ba toàn cầu, sau Mỹ và Trung Quốc.

Cuộc khủng bố công nghệ trắng trợn nhất tại Mỹ xảy ra gần đây, diễn ra tháng 5/2021, khi Colonial Pipeline, hệ thống đường ống dẫn dầu của nước này bị hacker tấn công. Dòng chảy của gần một nửa tổng số nhiên liệu tiêu thụ ở bờ biển phía đông nước Mỹ bị tạm dừng khiến các trạm xăng trên khắp miền đông nam đất nước phải đóng cửa.

Được FBI giám sát, Colonial Pipeline đã phải trả số tiền mà nhóm hacker yêu cầu (75 bitcoin hoặc 4,4 triệu USD) trong vòng 2 giờ để khôi phục hệ thống. Tuy nhiên, công cụ này yêu cầu thời gian xử lý rất dài.

Mỹ phải tuyên bố tình trạng khẩn cấp cho 17 tiểu bang và Washington, DC. Đây là cuộc tấn công mạng lớn nhất nhằm vào mục tiêu cơ sở hạ tầng dầu mỏ trong lịch sử nước này. Chính phủ liên bang đã nâng mức cảnh báo ransomware tương tự khủng bố.

Phạm vi ảnh hưởng của vụ "khủng bố" ransomeware lớn nhất nước Mỹ. Ảnh: CBC

Ngay cả những nơi được đánh giá là "tương thành kiên cố" như sở cảnh sát, tòa án, cũng trở thành nạn nhân của tội phạm mạng. Các sở cảnh sát khắp nước Mỹ đã bị tin tặc xâm nhập vào mạng nội bộ, vô hiệu hóa hệ thống email, đóng băng trung tâm cuộc gọi báo án khẩn cấp 911, đánh cắp hồ sơ mật của các vụ đại án.

Hacker trắng trợn đòi các cơ quan thực thi pháp luật phải trả tiền chuộc, đe dọa rò rỉ thông tin có độ nhạy cảm cao và có khả năng đe dọa đến tính mạng và an ninh quốc gia.

Tháng 4/2021, Sở Cảnh sát Washington, DC bị hacker đánh cắp 250 gigabyte dữ liệu nội bộ và bị đe dọa sẽ rò rỉ dữ liệu đó nếu yêu cầu tiền chuộc không được đáp ứng trong ba ngày. Chúng không quên list ra những mục tiêu béo bở tiếp theo: FBI và Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng của Bộ An ninh Nội địa. Chỉ trong 4 tháng đầu năm đó, ít nhất 30 cơ quan chính phủ Mỹ đã bị tấn công bởi ransomware.

Ngay sau cuộc tấn công vào sở cảnh sát Washington, Tổng thống Joe Biden đã bổ nhiệm John Carlin, quyền phó tổng chưởng lý, để lãnh đạo một đội đặc nhiệm chống tội phạm mạng, gồm các đặc vụ FBI và công tố viên từ các bộ phận tội phạm và an ninh quốc gia của Bộ Tư pháp, cùng những người khác.

"Ransomware có thể gây ra những hậu quả tàn khốc về con người và tài chính. Khi tội phạm nhắm mục tiêu vào cơ sở hạ tầng quan trọng như bệnh viện, tiện ích công cộng và mạng lưới chính quyền, tư pháp, sẽ gây nguy hiểm cho sự an toàn không khác gì khủng bố", ông John Carlin đánh giá ngay sau khi được bổ nhiệm.

"Thợ săn ransomware" - những hiệp sĩ trong bóng tối

Sau nhiều ngày lùng sục trên mạng, Matthew khi này vẫn hy vọng vào một phép màu. Trên một trang web có tên BleepingComputer, anh tình cờ thấy một diễn đàn dành cho các nạn nhân của ransomware. Anh đăng lời cầu cứu và được mách tới một account có tên Demonslay335.

Tên thật của Demonslay335 là Michael Gillespie, một thiên tài công nghệ tự học, 29 tuổi, sống ở trung tâm bang Illinois, cách London sáu múi giờ, làm việc tại nhà trong một văn phòng khiêm tốn.

Khi nào có thời gian rảnh rỗi, anh đều giải mã các tập tin bị nhiễm ransomware như một dịch vụ công cộng. Gần như ẩn danh, không cần tìm kiếm sự công nhận hay phần thưởng, Gillespie đã trở thành một trong những chuyên gia phá mã độc tống tiền hàng đầu thế giới. Thời niên thiếu, anh được mọi người gọi là "thần đồng" vì tự học lập trình năm 12 tuổi và phát hiện những lỗ hổng an ninh trong website trường học và dịch vụ công cộng địa phương.

Năm 2017, khi 24 tuổi, anh được FBI trao Giải thưởng Lãnh đạo Cộng đồng vì "dịch vụ công cộng, sự cống hiến và giúp đỡ các nạn nhân của ransomware ở Mỹ và thế giới".

Michael Gillespie nhận giải thưởng của FBI, năm 24 tuổi. Ảnh: Ret Hot Cyber

Ít nhất một triệu nạn nhân trên toàn thế giới đã tải xuống các công cụ giải mã do anh ta tạo ra. Không tính phí cho họ một xu, anh ta đã cứu họ khỏi việc phải trả chung hàng trăm triệu USD tiền chuộc. Trong số hơn 1.000 loại ransomware đã biết, anh đã bẻ khóa được hơn 100 loại.

Tháo vát và không biết mệt mỏi, Gillespie là thành viên năng nổ nhất của Đội săn ransomware, một tổ chức ưu tú chỉ dành cho những người được mời gồm khoảng chục "pháp sư công nghệ" cống hiến cho việc bẻ khóa ransomware.

Trên toàn cầu, nhóm tình nguyện viên ít người biết đến này thường là nơi trông cậy duy nhất cho những nạn nhân không đủ khả năng trả tiền chuộc cho hacker. Nhóm đã bẻ khóa hơn 300 chủng và biến thể ransomware chính, cứu khoảng 4 triệu nạn nhân khỏi phải trả hàng tỷ USD tiền chuộc, may mắn thay, bao gồm cả trường học của Matthew.

Trong văn phòng của mình, tháng 11/2020, Gillespie ngập trong những lời cầu xin từ các nạn nhân khác. Nhưng liếc qua email của Matthew, "thợ săn" Gillespie ngay lập tức nhận ra vấn đề.

Ngay tối muộn hôm đó, Matthew nhận được tin nhắn hồi đáp. Làm theo hướng dẫn của Gillespie, Matthew lấy lại được quyền truy cập vào máy chủ và khôi phục hồ sơ học sinh. Gillespie cũng đưa ra nhiều lời khuyên bảo mật rất có ích cho trường học, tránh những vụ hack tương lai.

Hầu hết thành viên của "biệt đội thợ săn" này đều có trình độ kỹ thuật điêu luyện, đáng ngạc nhiên, phần lớn do tự học, đều xuất thân từ hoàn cảnh nghèo đói hoặc bị lạm dụng. Chính điều này đã giúp họ có thêm động lực để chống lại những kẻ bắt nạt.

Họ cư trú ở ít nhất bảy quốc gia: Mỹ, Anh, Đức, Tây Ban Nha, Italy, Hungary và Hà Lan. Nhóm đã lấp đầy một khoảng trống mà ngay cả Chính phủ Mỹ đã thừa nhận, bối rối trước mối đe dọa ransomware ngày càng tăng. FBI không thể xử lý được vấn đề này, khuyên nạn nhân không nên trả tiền chuộc nhưng không đưa ra giải pháp nào. Việc xác định danh tính hoặc vị trí của hacker là vô cùng khó khăn vì không có bằng chứng vật lý nào để thu thập hoặc quan sát.

Sau những cuộc "khủng bố mạng" tai tiếng gần đây, cái nhìn của các chính phủ về nhóm "thợ săn tin tặc" này đã thay đổi.

FBI đã sẵn sàng hợp tác với các "biệt đội thợ săn ransomware" để trợ giúp những kỹ năng mà ngay cả những bộ nào công nghệ thiên tài của FBI cũng bó tay.

Nhưng tin tặc cũng ngày càng tinh vi hơn. Mã độc của chúng đang được cải thiện và chúng cũng chọn mục tiêu một cách khôn ngoan hơn. Cuộc chiến đang leo thang từ cả hai phía. Cácdoanh nghiệp, trường học, bệnh viện và cơ quan chính phủ bị khủng bố bởi ransomware, đang cần những "thợ săn" này hơn bao giờ hết.

Hải Thư (Theo Guardian, AP, Verizon)