Băng Nhóm Ransomware của Nga Đang Bị Đặt Tên và Kết Án | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/3/2026

Nội dung bài viết

Băng Nhóm Ransomware của Nga Đang Bị Đặt Tên và Lên Án

Xem thêm

Đọc tóm tắt

- Băng nhóm ransomware từ Nga đã bị đặt tên và bị lên án do các cuộc tấn công vào doanh nghiệp, bệnh viện và cơ quan công cộng, đòi tiền tỷ đô từ nạn nhân, gây rối loạn nghiêm trọng.
- Chính phủ Anh và Hoa Kỳ đã tiết lộ danh tính và trừng phạt 7 thành viên của băng Conti và Trickbot, liên kết với dịch vụ tình báo Nga.
- Hành động này nhằm gửi thông điệp rõ ràng về trách nhiệm và chống lại các cuộc tấn công mạng gây thiệt hại đáng kể cho cộng đồng và kinh tế.

Băng Nhóm Ransomware của Nga Đang Bị Đặt Tên và Lên Án

Trong nhiều năm qua, các băng ransomware tại Nga đã tiến hành những cuộc tấn công hủy diệt vào doanh nghiệp, bệnh viện và các cơ quan trong lĩnh vực công cộng, đòi hỏi hàng trăm triệu đô la từ nạn nhân và gây ra sự rối loạn không ngừng. Và họ đã làm điều này một cách hễ thẻo—nhưng không còn nữa. Hôm nay, như một phần của đợt đẩy mạnh đóng cửa các băng ransomware, chính phủ Anh và Hoa Kỳ đã tiết lộ danh tính của một số tội phạm đứng sau các cuộc tấn công.

Trong một động thái hiếm hoi, các quan chức đã trừng phạt bảy thành viên được cho là thuộc các băng ransomware nổi tiếng và công bố tên thật, ngày sinh, địa chỉ email và hình ảnh của họ. Cả bảy tên tội phạm mạng được đặt tên được cho là thuộc các nhóm ransomware Conti và Trickbot, mà thường được gọi chung là Wizard Spider. Hơn nữa, Anh và Hoa Kỳ hiện đang công khai chỉ trích mối liên kết giữa Conti và Trickbot và các dịch vụ tình báo của Nga.

“Bằng cách trừng phạt những tội phạm mạng này, chúng tôi đang gửi một tín hiệu rõ ràng đến họ và những người tham gia ransomware rằng họ sẽ phải chịu trách nhiệm,” Bộ trưởng Ngoại giao Anh James Cleverly nói trong một tuyên bố vào ngày Thứ Năm. “Những cuộc tấn công mạng lạnh lùng này gây thiệt hại thực sự cho cuộc sống và sinh kế của người dân.”

Bảy thành viên băng nhóm được đặt tên bởi hai chính phủ là: Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, và Valery Sedletski. Tất cả các thành viên có biệt danh trực tuyến, như Baget và Tropa, họ sử dụng để giao tiếp với nhau mà không sử dụng danh tính thật của họ.

Vào ngày Thứ Năm, Trung tâm An ninh Mạng Quốc gia của Anh (NCSC) cho biết có “khả năng cao” rằng các thành viên của nhóm Conti có liên kết với “Cơ quan Tình báo Nga” và rằng những cơ quan đó “có khả năng” đã chỉ đạo một số hành động của băng. NCSC là một phần của cơ quan tình báo Anh GCHQ, và đây là lần đầu tiên Anh trừng phạt tội phạm ransomware.

Tương tự, Bộ Tài chính Hoa Kỳ đã kết luận rằng các thành viên của nhóm Trickbot có “liên quan đến Cơ quan Tình báo Nga.” Nó cũng thêm rằng hành động của nhóm trong năm 2020 đã phù hợp với lợi ích quốc tế của Nga và “mục tiêu trước đó được thực hiện bởi Cơ quan Tình báo Nga.”

Theo Bộ Tài chính Hoa Kỳ, những thành viên này đã tham gia phát triển malware và ransomware, rửa tiền, gian lận, tiêm mã độc hại vào trang web để đánh cắp thông tin đăng nhập và các vai trò quản lý. Như một phần của các biện pháp trừng phạt, Anh đã đóng băng tài sản thuộc sở hữu của các tác nhân ransomware và áp đặt lệnh cấm đi lại đối với họ. Tòa án Quận Hoa Kỳ cho Quận New Jersey cũng đã công bố một bản cáo trạng công bố án truy tố Vitaliy Kovalev với tội đồ âm mưu gian lận ngân hàng và tám tội đồ gian lận ngân hàng chống lại các tổ chức tài chính Hoa Kỳ trong năm 2009 và 2010.

Chính phủ đã gặp khó khăn trong việc kiểm soát mối đe doạ ransomware ngày càng gia tăng, chủ yếu do nhiều nhóm tội phạm hoạt động tại Nga. Kremlin đã cung cấp nơi trú ẩn an toàn cho những tác nhân xấu—as long as they don’t target Russian companies. Năm ngoái, sau một chuỗi cuộc tấn công mạnh mẽ và gây rối đối với các mục tiêu Hoa Kỳ và Anh, cảnh sát Nga đã bắt giữ hơn một chục thành viên được cho là thuộc nhóm ransomware nổi tiếng REvil. Nhưng Nga vẫn tiếp tục là điểm xuất phát cho nhiều hoạt động tội phạm mạng, bao gồm cả các cuộc tấn công ransomware.

Alex Holden, người sáng lập công ty an ninh Hold Security, đã theo dõi nhóm Conti và Trickbot trong phần lớn thập kỷ qua, vẽ ra bản đồ các thành viên và hoạt động của họ. Holden nói rằng “unmasking” những tội phạm có thể tạo ra sự khác biệt trong hành động của họ. “Các thành viên băng ransomware nên sợ tên thật của họ được công bố, vì họ sẽ bị buộc phải chạy trốn ngay cả khi họ không thể bị truy cứu trách nhiệm trong hệ thống pháp lý của chúng ta,” ông nói.

Việc phơi bày danh tính của các thành viên Conti và Trickbot đến sau hai vụ rò rỉ lớn từ các băng tội phạm vào đầu năm 2022. Sau cuộc xâm lược toàn diện của Vladimir Putin vào Ukraine vào tháng 2 năm 2022, các thành viên của băng Conti tuyên bố hỗ trợ Nga. Một nhà nghiên cứu an ninh mạng người Ukraine đã xâm nhập vào nhóm và phản ứng bằng cách rò rỉ hơn 60.000 tin nhắn trò chuyện nội bộ của nó, tiết lộ thông tin chính về các thành viên và hoạt động hack của họ. Điều này được tiếp theo bởi một lần rò rỉ thứ hai từ Trickbot, vài tuần sau đó. Có khả năng rằng những chi tiết này đã giúp cơ quan chức năng theo dõi và xác định danh tính các thành viên của băng.

Các nhà nghiên cứu lâu nay đã kết luận rằng các tội phạm mạng hoạt động tại Nga có mối liên kết không rõ ràng nhưng quan trọng với Kremlin, nhưng có rất ít thông tin rõ ràng, và các quan chức thường mơ hồ về động thái đó.

Kimberly Goody, một quản lý cấp cao trong phân tích tội phạm mạng tại Mandiant, công ty an ninh thuộc sở hữu của Google, cho biết các chi tiết từ các bản ghi chat rò rỉ vào đầu năm 2022 nhất quán với việc Mỹ và Anh liên kết một số yếu tố của các nhóm với các dịch vụ tình báo Nga.

Vụ rò rỉ chatlog của Conti cũng tiết lộ một số liên kết tiềm năng giữa các thành viên của Conti và nhà nước Nga. Những bản ghi cho thấy các thành viên của Conti đang làm việc trên “chủ đề chính trị” cho hoạt động hack của họ và minh họa kiến thức của họ về nhóm hack nổi tiếng do Kremlin tài trợ là Cozy Bear. Thành viên của Conti cũng thảo luận về việc họ có thể hack vào người liên quan đến đơn vị nghiên cứu báo chí đối lập Bellingcat.

Nhóm tội phạm mạng “không thể phủ nhận không nằm dưới tầm radar,” Goody nói. “Nga biết về điều đó, và họ [Nga] có lịch sử kết nối với cộng đồng tội phạm mạng của họ khi có lợi cho họ—chúng tôi đã thấy điều đó ở sự trừng phạt Dridex cũng.” Goody thêm rằng các cuộc trò chuyện rò rỉ cho thấy rằng các thành viên Trickbot khác, không được đặt tên trong các biện pháp trừng phạt gần đây nhất, cũng có thể đã nhận được chỉ đạo từ những người ở ngoài Trickbot.

Vào mùa hè năm 2022, Google’s Threat Analysis Group và IBM’s X-Force đều cho biết Trickbot và Conti đã chuyển trọng tâm tấn công sang Ukraine, một bước chuyển động rõ ràng hòa mình với lợi ích của Nga. Các nhà nghiên cứu an ninh của IBM cho biết họ chưa từng thấy nhóm trước đây tấn công Ukraine và gọi đó là một “di chuyển chưa từng có.”

Trong thập kỷ qua, các chính phủ ngày càng lên án những nỗ lực hack do các quốc gia như Nga, Trung Quốc và các quốc gia khác thực hiện, đôi khi thậm chí tiết lộ danh tính của các hacker chính phủ cá nhân. Nhưng các nhà nghiên cứu nói rằng việc tập trung vào việc đặt tên các tội phạm mạng cá nhân đại diện cho một sự chuyển động quan trọng. “Chúng ta đang thấy những phương pháp này ngày càng được sử dụng với các tác nhân ransomware, phản ánh ưu tiên ngày càng tăng của tội phạm mạng trên các nghị định an ninh quốc gia,” Jamie Collier, một cố vấn tình báo đe dọa cấp cao tại Mandiant, nói.

Nhưng tác động dài hạn của việc phơi bày các nhóm ransomware là không rõ. Trong khi nhóm Conti, ví dụ, đã tan rã vào tháng 6 năm 2022 sau khi tấn công chính phủ Costa Rica, các thành viên của nó được cho là đã tiếp tục hoạt động tội phạm của họ, có vẻ gia nhập vào các nhóm ransomware Quantum, Royal và Black Basta. Nhưng đối với những nạn nhân đã phải đối mặt với sự rối loạn và tàn phá tài chính từ tội phạm mạng, hành động mới mạnh mẽ từ các chính phủ thế giới không thể đến đúng lúc hơn.

Các câu hỏi thường gặp

Tại sao các băng nhóm ransomware của Nga lại được công khai đặt tên?

Việc công khai đặt tên các băng nhóm ransomware của Nga nhằm gửi tín hiệu mạnh mẽ rằng những tội phạm mạng này sẽ phải chịu trách nhiệm cho hành động của mình, theo tuyên bố của Bộ trưởng Ngoại giao Anh.

Các thành viên nào đã bị trừng phạt trong băng nhóm ransomware?

Bảy thành viên của băng nhóm ransomware gồm Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, và Valery Sedletski đã bị công khai và trừng phạt.

Liên kết giữa các băng ransomware và tình báo Nga là gì?

Nhiều báo cáo chỉ ra rằng các nhóm ransomware như Conti và Trickbot có liên kết với Cơ quan Tình báo Nga, cho thấy rằng chính phủ có thể đã chỉ đạo một số hành động của băng.

Tác động của việc công khai danh tính tội phạm mạng là gì?

Việc công khai danh tính tội phạm mạng có thể tạo áp lực lên họ, khiến họ phải thay đổi hành vi hoặc thậm chí buộc phải rời bỏ hoạt động tội phạm của mình.

Những biện pháp trừng phạt nào đã được áp dụng đối với băng nhóm ransomware?

Các biện pháp trừng phạt bao gồm đóng băng tài sản và lệnh cấm đi lại đối với các thành viên của băng nhóm ransomware, nhằm ngăn chặn hoạt động của họ.

Băng nhóm Conti đã hoạt động như thế nào trong quá khứ?

Băng nhóm Conti đã thực hiện nhiều cuộc tấn công mạng nghiêm trọng, gây thiệt hại lớn cho nhiều tổ chức và doanh nghiệp, thể hiện sự chuyên nghiệp trong việc phát triển malware.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]