Bộ Tư pháp Hoa Kỳ, phối hợp với nhiều cơ quan thực thi pháp luật trong nước và quốc tế, đã công bố việc phong tỏa cơ sở hạ tầng quan trọng liên quan đến nhóm BlackSuit ransomware, trước đây được biết đến là Royal. Hoạt động này đánh dấu một bước tiến đáng kể trong cuộc chiến chống lại các mối đe dọa mạng.

Chiến dịch Phá vỡ Hạ tầng BlackSuit Ransomware

Trong khuôn khổ chiến dịch này, các nhà chức trách đã vô hiệu hóa bốn máy chủ chỉ huy và kiểm soát (C2) và chín tên miền được các tác nhân đe dọa sử dụng. Những hạ tầng này phục vụ cho việc triển khai các payload ransomware, tống tiền nạn nhân thông qua chiến thuật tống tiền kép (double-extortion), và rửa tiền bất hợp pháp thông qua các dịch vụ trộn tiền mã hóa (cryptocurrency mixing services).

Nỗ lực đa cơ quan này được dẫn đầu bởi Bộ An ninh Nội địa (DHS) với các đơn vị Điều tra An ninh Nội địa (HSI), Cơ quan Mật vụ Hoa Kỳ, Cục Điều tra Tội phạm IRS (IRS-CI), và FBI. Hoạt động nhận được sự hỗ trợ kỹ thuật từ các đối tác ở Vương quốc Anh, Đức, Ireland, Pháp, Canada, Ukraine và Litva.

Chiến dịch nhắm mục tiêu vào cơ sở hạ tầng backend của nhóm BlackSuit, vốn tạo điều kiện cho việc truy cập ban đầu thông qua các chiến dịch lừa đảo (phishing), khai thác giao thức máy tính từ xa (RDP), và chuỗi lỗ hổng (vulnerability chaining) trong các chồng phần mềm lỗi thời. Điều này cho phép chúng thực hiện di chuyển ngang (lateral movement) trong mạng nạn nhân và trích xuất dữ liệu trước khi mã hóa.

Thu giữ Tài sản và Tác động Tài chính

Việc công bố lệnh tịch thu tài sản liên bang đã tiết lộ việc tịch thu các tài sản tiền ảo trị giá khoảng 1.091.453 USD tại thời điểm bị thu giữ. Đây là một phần số tiền thu được từ ransomware đã được truy vết thông qua phân tích blockchain.

Hoạt động tịch thu này, được thực hiện bởi Văn phòng Luật sư Hoa Kỳ cho Quận Columbia dựa trên bằng chứng thu thập bởi các đối tác ở Khu vực phía Đông Virginia vào khoảng ngày 21 tháng 6 năm 2024, nhấn mạnh việc áp dụng pháp y kỹ thuật số tiên tiến và truy vết giao dịch để phá vỡ hệ sinh thái tài chính hỗ trợ các hoạt động ransomware-as-a-service (RaaS).

Trợ lý Tổng Chưởng lý An ninh Quốc gia John A. Eisenberg nhấn mạnh việc nhóm BlackSuit ransomware kiên trì nhắm mục tiêu vào các ngành cơ sở hạ tầng quan trọng của Hoa Kỳ, bao gồm sản xuất quan trọng, cơ sở chính phủ, hệ thống chăm sóc sức khỏe và y tế công cộng, và các cơ sở thương mại. Điều này gây ra rủi ro nghiêm trọng cho an toàn công cộng thông qua các tác động tiềm tàng như từ chối dịch vụ (denial-of-service) và rò rỉ dữ liệu.

Vụ án đang được truy tố bởi Trợ lý Luật sư Hoa Kỳ Laura D. Withers, Jacques Singer-Emery, và Rick Blaylock Jr., với các cuộc điều tra đang diễn ra liên quan đến các đối tác quốc tế như Cơ quan Tội phạm Quốc gia của Anh và Cục Cảnh sát Mạng của Ukraine. Chi tiết vụ án có thể xem thêm tại Justice.gov.

Cơ chế Hoạt động và TTPs của BlackSuit

Một bản tư vấn an ninh mạng chung từ FBI và Cơ quan An ninh Cơ sở hạ tầng (CISA), được cập nhật để phản ánh việc BlackSuit ransomware đổi tên từ Royal, đã cung cấp chi tiết về các chiến thuật, kỹ thuật và quy trình (TTPs) của nhóm này. Các TTPs bao gồm:

• Sử dụng Cobalt Strike beacons để thực thi lệnh.
• Đánh cắp thông tin xác thực (credential dumping) thông qua Mimikatz.
• Các cơ chế duy trì sự hiện diện (persistence mechanisms) như scheduled tasks và sửa đổi registry.

Nạn nhân thường bị buộc phải trả tiền chuộc bằng Bitcoin (BTC) qua các dịch vụ ẩn danh Tor trên darknet. Một trường hợp được ghi nhận vào ngày 4 tháng 4 năm 2023, liên quan đến khoản thanh toán 49.3120227 BTC tương đương 1.445.454,86 USD vào thời điểm đó. Số tiền này sau đó đã được rửa qua một loạt các khoản gửi và rút trên một sàn giao dịch tiền ảo cho đến khi bị phong tỏa vào ngày 9 tháng 1 năm 2024.

Các Chỉ số Nhận diện Sự xâm nhập (IOCs) và Biện pháp Phòng ngừa

Các chỉ số nhận diện sự xâm nhập (IOCs) được cung cấp trong bản tư vấn của CISA bao gồm:

• Các địa chỉ IP độc hại.
• Giá trị hash cho các mã nhị phân ransomware.
• Các quy tắc YARA để phát hiện.

Những IOC này cho phép các tổ chức tăng cường khả năng phòng thủ. Để bảo vệ hệ thống khỏi các cuộc tấn công mạng như BlackSuit ransomware, các biện pháp phòng ngừa được khuyến nghị bao gồm:

• Phân đoạn mạng (network segmentation).
• Xác thực đa yếu tố (MFA).
• Kịp thời cập nhật bản vá các lỗ hổng đã biết, ví dụ như CVE-2021-44228 (Log4Shell). Chi tiết về lỗ hổng Log4Shell có thể tìm thấy tại NVD.NIST.gov.

Chiến lược và Tác động của Hoạt động Chống Ransomware

Erik S. Siebert, Luật sư Hoa Kỳ cho Khu vực phía Đông Virginia, nhấn mạnh chiến lược “disruption-first” (ưu tiên phá vỡ), ưu tiên các hành động gỡ bỏ hạ tầng chủ động hơn là phản ứng sự cố. Mục tiêu là làm suy yếu khả năng hoạt động của các tác nhân đe dọa mạng, trong đó có BlackSuit ransomware.

Phó Trợ lý Giám đốc Michael Prado của Trung tâm Tội phạm Mạng thuộc HSI mô tả hành động này là một sự phá vỡ toàn diện hệ sinh thái ransomware, bao gồm không chỉ việc gỡ bỏ máy chủ mà còn cả việc chặn các đường ống rửa tiền dựa vào các dịch vụ trộn tiền (tumblers) và các sàn giao dịch phi tập trung.

Chiến dịch này minh họa sự dịch chuyển sang các hoạt động phá vỡ đa quốc gia, dựa trên thông tin tình báo. Điều này tiềm năng làm giảm bề mặt tấn công cho các chi nhánh RaaS và khuyến khích nạn nhân báo cáo sự cố thay vì trả tiền chuộc, từ đó làm cạn kiệt nguồn doanh thu của các tác nhân đe dọa.

Khi các mã độc tống tiền tiếp tục phát triển với mã đa hình (polymorphic code) và khai thác zero-day, những nỗ lực phối hợp như vậy nhấn mạnh sự cần thiết của quan hệ đối tác công-tư trong việc nâng cao khả năng phục hồi an ninh mạng trên các lĩnh vực trọng yếu. Việc nắm bắt và ứng phó với các lỗ hổng CVE mới nổi là trọng tâm để duy trì an ninh. BlackSuit ransomware là một ví dụ điển hình cho mối đe dọa dai dẳng này.