Chính phủ Hoa Kỳ, Úc và Vương quốc Anh đã công bố các lệnh trừng phạt phối hợp chống lại Media Land, một công ty cung cấp dịch vụ bulletproof hosting có trụ sở tại Nga. Công ty này cung cấp cơ sở hạ tầng thiết yếu cho các nhóm mã độc ransomware và các tội phạm mạng khác, tạo ra một mối đe dọa mạng đáng kể trên toàn cầu. Cục Điều tra Liên bang Hoa Kỳ (FBI) cũng đã phối hợp hành động này, nhắm mục tiêu vào đội ngũ lãnh đạo của công ty và các thực thể liên quan.

Hiểu Về Dịch Vụ Bulletproof Hosting và Rủi Ro An Ninh Mạng

Các nhà cung cấp dịch vụ bulletproof hosting chuyên biệt hóa trong việc cung cấp máy chủ được thiết kế để giúp tội phạm mạng che giấu hoạt động bất hợp pháp và né tránh sự truy quét của cơ quan thực thi pháp luật. Những dịch vụ này cung cấp cho các băng nhóm mã độc ransomware, tin tặc và các tội phạm mạng khác cơ sở hạ tầng cần thiết để triển khai các cuộc tấn công mạng quy mô lớn, nhắm vào các doanh nghiệp và cơ sở hạ tầng trọng yếu.

Đặc điểm kỹ thuật của bulletproof hosting bao gồm việc bỏ qua các yêu cầu gỡ bỏ nội dung (DMCA), ghi nhật ký hoạt động lỏng lẻo hoặc không tồn tại, và thường đặt máy chủ ở các khu vực pháp lý có quy định lỏng lẻo hoặc thiếu hợp tác quốc tế. Các nhà cung cấp này thường chấp nhận các hình thức thanh toán ẩn danh, như tiền điện tử, để tăng cường khả năng che giấu danh tính của khách hàng. Điều này cho phép tội phạm duy trì sự ẩn danh và liên tục hoạt động ngay cả khi bị phát hiện, biến chúng thành một mối đe dọa mạng dai dẳng.

Cơ Chế Vận Hành và Các Kỹ Thuật Né Tránh

Các dịch vụ bulletproof hosting thường sử dụng các kỹ thuật phức tạp để né tránh sự phát hiện và gỡ bỏ. Chúng có thể bao gồm việc xoay vòng địa chỉ IP thường xuyên, sử dụng kỹ thuật Fast Flux DNS để liên tục thay đổi địa chỉ IP của máy chủ độc hại, hoặc cung cấp các dịch vụ proxy và VPN để che giấu nguồn gốc thực sự của lưu lượng truy cập. Những cơ chế này giúp các máy chủ C2 (Command and Control) của mã độc, các trang web lừa đảo (phishing) và các hạ tầng botnet duy trì hoạt động trong thời gian dài, làm phức tạp các nỗ lực phản ứng và điều tra của lực lượng thực thi pháp luật.

Sự tồn tại của các nhà cung cấp này làm tăng đáng kể rủi ro bảo mật cho các tổ chức, vì nó cung cấp một “lá chắn” vững chắc cho các tác nhân đe dọa. Khả năng phục hồi của các máy chủ độc hại này làm cho việc theo dõi, gỡ bỏ và ngăn chặn các cuộc tấn công mạng trở nên khó khăn hơn, đặc biệt đối với các chiến dịch ransomware kéo dài.

Media Land: Nhà Cung Cấp Hạ Tầng Cho Các Nhóm Ransomware Khét Tiếng

Media Land, có trụ sở chính tại St. Petersburg, Nga, đã cung cấp dịch vụ hosting cho nhiều nhóm mã độc ransomware lớn, bao gồm LockBit, BlackSuit và Play. Cơ sở hạ tầng của công ty này cũng bị lợi dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các công ty và hệ thống quan trọng của Hoa Kỳ. Đội ngũ lãnh đạo của Media Land đóng vai trò trực tiếp trong các hoạt động tội phạm này.

Vai trò của các dịch vụ bulletproof hosting như Media Land là rất quan trọng trong chuỗi cung ứng tội phạm mạng. Chúng không chỉ cung cấp không gian vật lý cho máy chủ mà còn thường xuyên hỗ trợ các dịch vụ kỹ thuật khác như cấu hình mạng, bảo vệ chống lại các cuộc tấn công truy quét từ các nhà nghiên cứu bảo mật, và thậm chí là hỗ trợ thanh toán ẩn danh. Điều này tạo điều kiện thuận lợi cho sự phát triển và mở rộng của các mối đe dọa mạng tinh vi.

Các Cá Nhân và Thực Thể Bị Trừng Phạt và Liên Quan

Các lệnh trừng phạt quốc tế đã xác định rõ ràng các cá nhân chủ chốt và thực thể liên quan đến các hoạt động của Media Land. Việc nhắm mục tiêu vào các thành viên chủ chốt trong đội ngũ điều hành nhằm phá vỡ cấu trúc và khả năng hoạt động của tổ chức tội phạm này.

Danh Sách Các Cá Nhân và Tổ Chức Bị Chỉ Định:

• Aleksandr Volosovik: Tổng giám đốc của Media Land, đã quảng cáo các dịch vụ của công ty trên các diễn đàn tội phạm mạng dưới biệt danh “Yalishanda” và trực tiếp cung cấp máy chủ cho các đối tượng ransomware.
• Kirill Zatolokin: Một nhân viên của Media Land, chịu trách nhiệm thu thập các khoản thanh toán từ khách hàng và phối hợp với các tác nhân mạng khác.
• Yulia Pankova: Hỗ trợ Volosovik trong các vấn đề pháp lý và quản lý tài chính của công ty.
• Hypercore Ltd.: Một công ty đăng ký tại Vương quốc Anh, được tạo ra bởi Aeza Group sau khi nhóm này bị trừng phạt vào tháng 7 năm 2025 nhằm né tránh các lệnh trừng phạt.
• Maksim Makarov và Ilya Zakirov: Các giám đốc liên quan đến nỗ lực né tránh trừng phạt của Aeza Group.
• Các thực thể liên quan ở Serbia và Uzbekistan cũng là mục tiêu của các lệnh trừng phạt.

Nỗ lực né tránh các lệnh trừng phạt bằng cách thành lập các công ty mới hoặc chuyển dịch hoạt động sang các khu vực khác là một chiến thuật phổ biến của các tổ chức tội phạm. Tuy nhiên, các cơ quan chức năng quốc tế đang tăng cường hợp tác và năng lực tình báo để phát hiện và vô hiệu hóa những nỗ lực này, nhằm giảm thiểu rủi ro bảo mật do các hoạt động phi pháp gây ra.

Tác Động Của Các Lệnh Trừng Phạt Đối Với Hoạt Động Tội Phạm Mạng Toàn Cầu

Tất cả tài sản và tài sản thuộc sở hữu của các cá nhân và công ty bị chỉ định tại Hoa Kỳ hiện đã bị đóng băng. Các công dân và doanh nghiệp Hoa Kỳ bị cấm thực hiện các giao dịch với các thực thể này. Các tổ chức tài chính tham gia giao dịch với các bên bị trừng phạt có nguy cơ phải đối mặt với các hành động thực thi pháp luật nghiêm khắc.

Các lệnh trừng phạt này không chỉ làm gián đoạn dòng tiền mà còn cắt đứt khả năng tiếp cận các dịch vụ thiết yếu, như đăng ký tên miền, dịch vụ đám mây hợp pháp, và thậm chí là khả năng trả lương cho nhân sự của các tổ chức tội phạm. Bằng cách đóng băng tài sản và cấm giao dịch, các cơ quan chức năng hy vọng sẽ cắt đứt khả năng tài chính và hậu cần mà các nhóm này cần để duy trì các cuộc tấn công mạng và phát triển các biến thể mã độc ransomware mới. Điều này làm giảm đáng kể khả năng của chúng trong việc gây ra các mối đe dọa mạng toàn cầu.

Bộ Tài chính Hoa Kỳ đã nhấn mạnh rằng những hành động phối hợp quốc tế này thể hiện cam kết mạnh mẽ trong việc ngăn chặn mã độc ransomware và bảo vệ công dân khỏi tội phạm mạng. Đây là một phần quan trọng trong chiến lược tổng thể nhằm tăng cường an ninh mạng và bảo vệ cơ sở hạ tầng thiết yếu khỏi các mối đe dọa mạng đang ngày càng gia tăng.

Chỉ Dẫn Bảo Vệ và Tăng Cường An Ninh Mạng

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã phát hành hướng dẫn bổ sung về cách bảo vệ chống lại các nhà cung cấp dịch vụ bulletproof hosting và các mối đe dọa mạng liên quan. Mặc dù không có chi tiết cụ thể trong nội dung gốc về các biện pháp này, nguyên tắc chung là củng cố tư thế an ninh mạng toàn diện và chủ động.

Các tổ chức nên thực hiện các biện pháp sau để giảm thiểu mối đe dọa mạng từ các nhà cung cấp hosting độc hại và các tác nhân đe dọa:

• Triển khai giải pháp phát hiện và ngăn chặn xâm nhập (IDS/IPS): Sử dụng các hệ thống IDS/IPS tiên tiến để giám sát lưu lượng mạng, phát hiện các mẫu hoạt động độc hại, và chặn kết nối đến/từ các địa chỉ IP hoặc miền có liên quan đến các dịch vụ bulletproof hosting hoặc các nhóm tội phạm mạng đã biết.
• Cập nhật bản vá bảo mật định kỳ và quản lý lỗ hổng: Đảm bảo tất cả hệ thống, phần mềm và ứng dụng đều được cập nhật các bản vá lỗi mới nhất một cách kịp thời. Thực hiện đánh giá lỗ hổng và kiểm thử xâm nhập định kỳ để xác định và khắc phục các điểm yếu mà tội phạm mạng có thể khai thác.
• Tăng cường kiểm soát truy cập và xác thực đa yếu tố (MFA): Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege) cho tất cả người dùng và hệ thống. Triển khai MFA cho tất cả các tài khoản, đặc biệt là tài khoản quản trị và tài khoản truy cập từ xa, để ngăn chặn truy cập trái phép ngay cả khi thông tin đăng nhập bị đánh cắp.
• Sao lưu dữ liệu thường xuyên và chiến lược khôi phục: Thiết lập các quy trình sao lưu dữ liệu tự động và lưu trữ các bản sao lưu ngoài mạng (offline) hoặc bất biến (immutable backup) để đảm bảo khả năng khôi phục nhanh chóng sau các cuộc tấn công ransomware mà không phải trả tiền chuộc. Kế hoạch khôi phục thảm họa cần được kiểm tra định kỳ.
• Đào tạo nhận thức bảo mật cho nhân viên: Nâng cao hiểu biết của nhân viên về các mối đe dọa hiện tại như lừa đảo (phishing), kỹ thuật xã hội, và các phương pháp bảo vệ cơ bản. Nhân viên là tuyến phòng thủ đầu tiên và cuối cùng của một tổ chức.
• Sử dụng Threat Intelligence và chia sẻ thông tin: Theo dõi các báo cáo về các mối đe dọa mạng mới nổi, các chiến thuật, kỹ thuật và quy trình (TTPs) của các nhóm tội phạm mạng. Tham gia vào các cộng đồng chia sẻ thông tin về an ninh mạng để chủ động phòng vệ và ứng phó.

Những nỗ lực phối hợp giữa các chính phủ cùng với việc các tổ chức tăng cường an ninh mạng là chìa khóa để chống lại các mối đe dọa mạng tinh vi và giảm thiểu tác động của tội phạm mạng toàn cầu.

Để biết thêm thông tin chi tiết về các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ, bạn có thể tham khảo thông cáo báo chí chính thức.