Hệ sinh thái tội phạm mạng nói tiếng Anh được biết đến với tên gọi “The COM” đã trải qua một sự phát triển đáng kể. Từ một nền văn hóa ngầm chuyên biệt, nó đã trở thành một nền kinh tế định hướng dịch vụ chuyên nghiệp, tinh vi. Hệ thống này hiện đang tổ chức một số cuộc tấn công mạng gây gián đoạn lớn nhất thế giới, đặt ra những mối đe dọa mạng nghiêm trọng cho các tổ chức toàn cầu.

Trong thập kỷ qua, mạng lưới phi tập trung này đã chuyển đổi mạnh mẽ. Từ khởi nguồn là các diễn đàn giao dịch tên người dùng “OG”, nó đã trở thành một chuỗi cung ứng tội phạm toàn diện. Các mục tiêu bao gồm các tập đoàn đa quốc gia, tổ chức chính phủ, cơ sở hạ tầng quan trọng và các nhà đầu tư bán lẻ trên toàn cầu.

Sự Phát Triển của Hệ Sinh Thái Tội Phạm Mạng The COM

Từ Diễn Đàn OG đến Chuỗi Cung Ứng Tội Phạm Chuyên Nghiệp

Quỹ đạo của The COM bắt đầu vào đầu và giữa những năm 2010. Các diễn đàn như RaidForums và OGUsers là nơi các tội phạm mạng nói tiếng Anh trao đổi các tài khoản mạng xã hội “OG” (original gangster) và xây dựng danh tiếng trong cộng đồng.

Chính từ các cộng đồng nền tảng này, các kỹ năng kỹ thuật xã hội (social engineering) và các chiến thuật thao túng đã được nuôi dưỡng. Những kỹ năng này sau đó trở thành đặc điểm nổi bật, định hình nên hệ sinh thái tội phạm mạng The COM. Để tìm hiểu thêm về nguồn gốc, bạn có thể tham khảo phân tích chuyên sâu về The COM.

Hiệu Ứng Di Cư và Sự Hội Tụ Năng Lực

Một chuyển đổi cơ bản đã diễn ra sau các cuộc truy quét lớn của cơ quan thực thi pháp luật. Điều này đã kích hoạt một “Hiệu ứng Di cư”, nơi chuyên môn kỹ thuật xã hội của các giao dịch viên OG hòa nhập với khả năng kỹ thuật của những hacker chuyên về xâm nhập.

Sự hội tụ này đã tạo ra một thế hệ tội phạm mạng mới đầy linh hoạt. Thế hệ này được thúc đẩy bởi danh tiếng và có khả năng thực hiện các cuộc tấn công ngày càng tinh vi. The COM đã chứng minh khả năng thích ứng cao trước các thách thức.

Hoạt Động Hiện Tại và Các Mối Đe Dọa Chính

Phạm Vi Hoạt Động Đa Diện của The COM

Ngày nay, The COM hoạt động như một nền kinh tế tội phạm đa diện. Nó tạo điều kiện cho các hoạt động như:

• Các vụ rò rỉ dữ liệu quy mô lớn (data breaches).
• Các chiến dịch tống tiền (extortion campaigns).
• Các cuộc tấn công hoán đổi SIM (SIM-swapping attacks).
• Các hoạt động mã độc tống tiền (ransomware operations).
• Đánh cắp tiền điện tử và các vụ lừa đảo tài chính (rug pulls, financial fraud).

Các Tổ Chức Đe Dọa Chủ Chốt

Các tác nhân đe dọa chính trong hệ sinh thái tội phạm mạng The COM bao gồm:

• Lapsus$
• ShinyHunters (đã từng tuyên bố xâm nhập BreachForums – xem chi tiết)
• Scattered Spider (còn được biết đến là UNC3944)
• Silent Ransom Group

Các nhóm này hoạt động với các vai trò chuyên biệt và cấu trúc phân cấp rõ ràng. Họ kiếm tiền từ khả năng của mình thông qua các chuỗi cung ứng ngầm. Điều này giúp trừu tượng hóa sự phức tạp và giảm rào cản gia nhập cho những người mới tham gia.

Các Phương Thức Tấn Công Chính

Kỹ Thuật Xã Hội: Vòng Biên Giới Con Người

Trọng tâm của thành công hoạt động của The COM nằm ở một lỗ hổng cơ bản: vòng biên giới con người. Kỹ thuật xã hội đã nổi lên như là phương thức tấn công chính trong toàn bộ hệ sinh thái này.

Các ví dụ điển hình bao gồm các “caller” của OGUsers, việc Lapsus$ thao túng nhân viên IT, và vụ hack GTA VI khét tiếng được thực hiện từ một phòng khách sạn. Những nhóm này hiểu rằng nhân viên là mắt xích yếu nhất trong bảo mật thông tin của doanh nghiệp.

Bỏ Qua Xác Thực Đa Yếu Tố Dựa Trên SMS

Một lỗ hổng nghiêm trọng khác mà hệ sinh thái tội phạm mạng The COM khai thác là xác thực đa yếu tố (MFA) dựa trên SMS. Kỹ thuật hoán đổi SIM (SIM-swapping), được tiên phong trên các diễn đàn OGUsers, cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ 2FA truyền thống. Từ đó, chúng có thể rút tiền từ ví tiền điện tử hoặc xâm nhập các tài khoản doanh nghiệp.

Kỹ thuật này đã chứng minh hiệu quả tàn khốc, biến MFA dựa trên SMS thành một lỗ hổng cốt lõi. Các tổ chức phải giải quyết vấn đề này bằng cách chuyển sang các phương pháp chống lừa đảo (phishing-resistant) như FIDO2/WebAuthn để tăng cường bảo mật thông tin.

Khả Năng Phục Hồi và Phi Tập Trung

Phản Ứng Với Các Cuộc Truy Quét Pháp Luật

Điều khiến The COM khác biệt so với các mô hình tội phạm mạng trước đây là khả năng phục hồi và tính phi tập trung của nó. Mặc dù các hoạt động thực thi pháp luật đã làm gián đoạn các diễn đàn lớn như RaidForums và BreachForums (ví dụ, chính quyền đã triệt phá BreachForums vào tháng 3 năm 2023 – đọc thêm), nhưng những hành động này chỉ khiến hệ sinh thái bị phân mảnh chứ không bị loại bỏ.

Cụ thể, vào ngày 31 tháng 1 năm 2022, Coelho đã bị bắt tại Croydon, Anh. Tiếp đó là cuộc thu giữ có phối hợp tất cả cơ sở hạ tầng của RaidForums vào ngày 25 tháng 2 năm 2022. Sau đó, vào ngày 16 tháng 3 năm 2022, Conor Brian Fitzpatrick, được biết đến với biệt danh “Pompompurin”, đã ra mắt BreachForums – một bản sao gần như hoàn chỉnh của RaidForums.

Di Chuyển Sang Nền Tảng Mã Hóa

Các tác nhân đe dọa đã di chuyển sang các nền tảng nhắn tin được mã hóa như Telegram, Discord và các kênh riêng tư chỉ dành cho thành viên được mời. Điều này khiến việc giám sát diễn đàn truyền thống không còn phù hợp cho việc thu thập thông tin tình báo về mối đe dọa mạng.

Hệ sinh thái này đã chứng tỏ khả năng hấp thụ sự gián đoạn và thích ứng cơ sở hạ tầng của mình một cách hiệu quả. Đây là một thách thức lớn trong cuộc chiến chống lại các cuộc tấn công mạng.

Động Cơ Vượt Ra Ngoài Lợi Nhuận Tài Chính

Động cơ của các tác nhân đe dọa trong The COM không chỉ dừng lại ở lợi ích tài chính thuần túy. Các nhóm như Lapsus$ và ShinyHunters theo đuổi sự gián đoạn và danh tiếng ngang bằng với các mục tiêu tài chính.

Chúng thực hiện các cuộc tấn công theo kiểu “leak-and-brag”, với đặc điểm là phơi bày dữ liệu theo thời gian thực và công khai chế nhạo nạn nhân. Sự thay đổi hành vi này đòi hỏi các chương trình ứng phó sự cố phải phát triển vượt ra ngoài việc ngăn chặn đánh cắp dữ liệu.

Chúng cần phải giải quyết thiệt hại về danh tiếng và phối hợp phản ứng giữa các nhóm SOC, PR và pháp lý để đảm bảo bảo mật thông tin toàn diện.

Chiến Lược Phòng Thủ Toàn Diện

Khi The COM tiếp tục phát triển, các tổ chức phải nhận thức rằng tội phạm mạng là một mối đe dọa mạng dai dẳng và kiên cường. Điều này đòi hỏi các chiến lược an ninh toàn diện dựa trên các nguyên tắc Zero Trust, nâng cao nhận thức bảo mật cho nhân viên, và đa dạng hóa việc thu thập thông tin tình báo đe dọa trên các nền tảng mới nổi.