Khi mạng điện thoại và máy tính tại ba bệnh viện thuộc Trung tâm Y tế Ridgeview ở bang Minnesota ngừng hoạt động ngày 24/10/2020, tổ chức này phải lên Facebook để thông báo cho bệnh nhân về tình trạng gián đoạn. Các xe cứu thương buộc phải chuyển hướng đến những bệnh viện khác.
Vụ sập hệ thống này không phải lỗi kỹ thuật. Các chuyên gia bảo mật xác nhận có nhiều dấu hiệu cho thấy nó liên quan đến Trickbot, một trong những nhóm chuyên phát tán phần mềm tống tiền (ransomware) nổi tiếng tại Nga. Hai ngày sau đó, các thành viên Trickbot cách đó hàng nghìn cây số cũng khoe với nhau về thành tích của mình trong các tin nhắn nội bộ, khẳng định bệnh viện và các tổ chức y tế là mục tiêu dễ dàng bị tấn công.
"Mọi người thấy bệnh viện và các trung tâm y tế phản ứng nhanh thế nào chưa. Hồi đáp từ những nơi khác thường mất đến vài ngày, trong khi Ridgeview trả lời ngay lập tức", Target, một thành viên chủ chốt trong nhóm, viết trong tin nhắn nội bộ cách đây hơn một năm, nhưng mới được tiết lộ gần đây.
Các thành viên Trickbot lúc đó đang triển khai đợt tấn công ransomware khổng lồ nhằm vào hơn 400 bệnh viện khắp nước Mỹ. Mục tiêu của họ là buộc bệnh viện nhanh chóng trả tiền chuộc giữa lúc bận rộn ứng phó Covid-19. Đợt tấn công khiến nhiều cơ quan liên bang Mỹ phát cảnh báo khẩn, trong đó có Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA).
Loạt tin nhắn được trao đổi trong vài tháng trước khi Bộ tư lệnh Tác chiến mạng thuộc quân đội Mỹ phá hủy phần lớn cơ sở hạ tầng của Trickbot, khiến nhóm ngừng hoạt động. Tuy nhiên, các hacker nhanh chóng khôi phục và cải tiến hệ thống malware sau đó không lâu, đồng thời tiếp tục tấn công doanh nghiệp toàn cầu.
Cơ quan An ninh Liên bang Nga (FSB) gần đây bắt giữ nhiều thành viên nhóm hacker REvil sau nỗ lực ngoại giao giữa Tổng thống Vladimir Putin và người đồng cấp Mỹ Joe Biden, nhưng dàn thủ lĩnh của Trickbot dường như vẫn không hề hấn.
Trickbot bắt nguồn từ nhóm phát triển trojan Dyre cuối năm 2015, giai đoạn nhiều thành viên Dyre bị bắt. Họ ban đầu chỉ phát triển mã độc nhằm vào ngân hàng, nhưng dần xây dựng bộ công cụ hack đa chức năng, cho phép sử dụng nhiều loại ransomware và phần mềm thu thập dữ liệu trái phép trong mỗi cuộc tấn công.
"Tôi không biết mã độc nào khác có nhiều module và tính năng mở rộng như vậy", Vlad Pasca, nhà phân tích cấp cao tại công ty an ninh Lifar - tổ chức từng giải mã nguồn malware của Trickbot, cho hay. Mức độ phức tạp của đòn tấn công giúp nhóm hacker thu được hàng triệu USD từ các nạn nhân.
Hoạt động của Trickbot xoay quanh một vài thành viên chủ chốt. Mỗi người có chuyên môn riêng, như quản lý đội ngũ lập trình viên hoặc giám sát triển khai ransomware. Danh tính thực sự của những người này vẫn là bí ẩn và giới nghiên cứu chỉ biết kẻ đứng đầu có bí danh Stern.
"Đó là ông chủ của Trickbot. Anh ta muốn có báo cáo và duy trì liên lạc, cũng như chỉ đưa ra những quyết định quan trọng", Alex Holden, CEO công ty an ninh mạng Hold Security, cho hay. Stern đóng vai trò như CEO của nhóm hacker và chỉ liên lạc với các thành viên cùng cấp, không ai rõ liệu đây có phải người đứng đầu thực sự của Trickbot hay không.
Loạt tin nhắn ngày 20/8/2020 cho thấy Target báo cáo cho Stern về cách mở rộng hoạt động trong những tuần tiếp theo.
"Sẽ có 6 văn phòng và 50-80 người vào cuối tháng 9", Target cho hay. Những văn phòng này được cho là đặt tại thành phố Saint Petersburg của Nga, nơi ở của nhiều thành viên Trickbot. Ước tính hiện tại nhóm hacker có 100-400 thành viên, trở thành một trong những tổ chức tội phạm mạng lớn nhất từng tồn tại.
Các tin nhắn giữa Target và Stern cũng cho thấy nhóm hacker đang chi tiền tại ba khu vực chính. Hai văn phòng được dùng cho hoạt động của nhóm vận hành, "các văn phòng hacker" có khả năng tiếp nhận trên 20 người để phỏng vấn tuyển dụng, cũng như đặt trang thiết bị và máy chủ. Cuối cùng là "văn phòng cho lập trình viên".
"Một trưởng nhóm giỏi đã được tuyển dụng và anh ta sẽ giúp tập hợp nhân lực. Tôi chắc chắn mọi thứ sẽ xứng đáng nên không thấy căng thẳng", Target viết.
Thành viên nhóm nhiều lần đề cập tới "quản lý cấp cao" trong bộ máy điều hành Trickbot. "Thường có một nhóm nhà phát triển cốt lõi, cùng một quản lý giám sát công việc phát triển. Họ cũng có những lập trình viên làm việc trong từng dự án cụ thể", Kimberly Goody, Giám đốc phân tích tội phạm mạng tại công ty an ninh Mandiant, cho hay.
Các thành viên được khuyến khích đề xuất ý tưởng, như malware mới, để nhóm phát triển có thể làm việc. Nhân lực cấp thấp thường không nói chuyện với đồng nghiệp cấp cao. Phần lớn hoạt động thảo luận nội bộ được thực hiện thông qua tin nhắn nhanh trên máy chủ Jabber.
Một người có bí danh Professor giám sát phần lớn quá trình triển khai ransomware. "Chúng tôi tin Professor còn có tên khác là Alter. Đây là người đóng vai trò quan trọng trong triển khai các chiến dịch ransomware, cũng như yêu cầu phát triển các công cụ chuyên biệt để thực hiện việc này", Goody nói.
Trong một cuộc thảo luận, Target trả lời nhiều câu hỏi từ một thành viên lo ngại bị bắt. Người này cho rằng các cộng sự có thể làm lộ vị trí thông qua địa chỉ IP khi không sử dụng phần mềm VPN để che giấu tung tích. "Lộ địa chỉ IP không phải vấn đề. Ở đây chúng tôi đảm bảo không ai có thể chạm tới các bạn và các bạn sẽ không bị dẫn độ đi đâu cả", Target đáp.
Những cuộc nói chuyện này chỉ là phần nhỏ trong hoạt động tương tác của Trickbot. Một số chi tiết về hoạt động của Trickbot được hé lộ hồi giữa năm 2021, khi Bộ Tư pháp Mỹ công khai những cáo buộc nhằm vào hai người được cho là thành viên của nhóm gồm Alla Witte và Vladimir Dunaev. Tài liệu cáo buộc tập trung vào hoạt động tin tặc và rửa tiền của nhóm, cho thấy nhiều cuộc nói chuyện giữa những thành viên không được công khai tên tuổi.
Điệp Anh (theo Wired)