Các nhà nghiên cứu "châm biếm" tội phạm mạng thay vì tôn vinh họ bằng những cái tên hào nhoáng

Trong thế giới an ninh mạng, các nhóm tội phạm thường được mô tả như những thực thể huyền bí với những cái tên nghe rất "ngầu" do các nhà bán hàng bảo mật đặt ra, chẳng hạn như "Wizard Spider" hay "Velvet Tempest". Chúng ẩn nấp trong các góc khuất của dark web, khiến nhiều người trong ngành bảo mật (infosec) có xu hướng nói về chúng như thể những kẻ bất khả chiến bại.

Tuy nhiên, không phải ai cũng đồng tình với xu hướng này. Cựu giám đốc CISA, Jen Easterly, và những người khác đã kêu gọi ngành công nghiệp ngừng tôn vinh các nhóm này, mà thay vào đó nên gọi chúng bằng những cái tên thô thiển như "Scrawny Nuisance" (Gã phiền phức gầy gò) hay "Evil Ferret" (Chồn dữ).

Trong một cuộc phỏng vấn với The Register tại Hội nghị RSA, John Fokker, Phó chủ tịch phụ trách tình báo đe dọa của Trellix, cho biết ông cũng đã quá chán ngấy với việc này.

"Tôi đang cố gắng khơi gợi một cuộc tranh luận, hay một cuộc đối thoại lành mạnh, về những gì chúng ta có thể làm với tư cách là một ngành công nghiệp," ông nói. "Mọi người đang sùng bái các tác nhân đe dọa, và điều đó không giúp gì cho khách hàng hay tổ chức của chúng ta. Đó chỉ là những cá nhân, họ chỉ dùng máy tính, và họ chỉ muốn đánh cắp dữ liệu của bạn để kiếm tiền. Họ không phải là huyền thoại. Họ không có siêu năng lực."

Chính vì thế, đội ngũ tại Trellix – công ty chuyên phát hiện và phản hồi mối đe dọa – đã quyết định áp dụng cách tiếp cận "gần như là tác chiến tâm lý (psyops)" khi đưa tin về thế giới ngầm tội phạm. "Chúng tôi không muốn tôn vinh họ, vậy thì điều trái ngược chúng ta có thể làm là gì? Chúng tôi sẽ chế giễu họ."

Và thế là, "Dark Web Roast" (Châm biếm Dark Web) ra đời. Đây là một blog thường xuyên có đầy đủ các meme (hình ảnh chế), sự chế giễu và tuyên bố từ chối trách nhiệm lấy cảm hứng từ Ricky Gervais: "Mặc dù những sự cố này thực sự gây cười, nhưng chúng đại diện cho các hoạt động tội phạm thực sự gây ra thiệt hại đáng kể. Nội dung này chỉ dành cho mục đích tình báo đe dọa và giáo dục."

Tội phạm làm trò hề trước công chúng

Ấn bản gần nhất của blog nhắm vào một nhóm ransomware (mã độc tống tiền) đã soạn thảo và lên lịch hàng loạt các nỗ lực tống tiền của họ như một lịch đăng bài nội dung. Các nhà nghiên cứu đã viết: "Cộng với khối lượng bài đăng kinh tởm và tê liệt của họ, có thể đặt cược chắc chắn rằng các 'nạn nhân' của họ có lẽ chỉ là các trang web giả mà chính nhóm này tự dựng lên để lấy nội dung, bởi vì không gì hét lên sự hợp pháp bằng việc phóng đại số liệu thống kê của bạn bằng các sự cố thỏa thuận giả tạo."

Ngoài ra còn có một kẻ phát triển mã khai thác (exploit developer) tên cortana9000 đã tìm ra lỗ hổng thực thi mã từ xa của Cisco (CVE-2026-20045) đang bị các nhóm được chính phủ bảo trợ khai thác và hỏi trên một diễn đàn: "Vậy cái này giá bao nhiêu"... sau đó lại niêm yết nó trên một diễn đàn khác với giá 70.000 USD.

Theo bài đăng châm biếm, một thành viên khác trên diễn đàn, KlopInko, đã nhanh chóng đưa ra một câu nhận xét đau đớn: "vì nó đã bị lộ, nên đây là một lỗ hổng 1day" – về cơ bản là nói cho cortana9000 biết rằng khoản tiền 70.000 USD của hắn đã bắt đầu mất giá ngay khoảnh khắc hắn mở miệng ra.

Một tội phạm khác sử dụng biệt danh patagon trên DarkForums đã cố gắng bán quyền truy cập quản trị viên tên miền đầy đủ vào lưới điện năng lượng của Nga với giá rẻ hơn cả một chiếc xe cũ, đánh giá thấp phát hiện của mình "nhiều cấp độ độ lớn".

Khi cảnh sát đi "câu cá"

Ông Fokker chỉ ra việc tịch thu và tháo dỡ hạ tầng của LockBit do Cơ quan Tội phạm Quốc gia Anh (NCA) dẫn đầu là sự khởi đầu của một sự thay đổi có chủ đích trong phản ứng của lực lượng thực thi pháp luật đối với tội phạm mạng. Trong vụ việc đó, cảnh sát đã châm biếm băng đản ransomware khét tiếng thông qua trang web của chính chúng trước khi cuối cùng vạch trần danh tính thực sự của LockBitSupp.

Chỉ đánh sập hạ tầng của các nhóm là không đủ, bởi vì chúng có thể简单地 dựng lên máy chủ và tên miền mới – điều mà ta cần lưu ý là LockBit đã làm. Khi đó, nó sẽ trở thành một trò chơi đánh ghen (whack-a-mole).

"Tội phạm nói, 'OK, tôi có thể chơi trò này cả ngày'. Vậy nên cách đó thực sự không hiệu quả," ông Fokker nói. Nhưng sự chế giễu công khai (như trường hợp LockBit) và sự thâm nhập như cách FBI đã làm với mạng lưới ransomware Hive có thể làm rạn nứt lòng tin giữa các tên trộm mạng. Và sự phân mảnh này có thể giúp những người bảo vệ tháo gỡ các hoạt động tội phạm và giữ cho con người cũng như dữ liệu được an toàn.

"Trong giới tội phạm ngầm, mọi thứ dựa trên nền tảng mạng lưới và cá nhân nhiều hơn," ông Fokker nói. Các nhóm ransomware làm việc với các môi giới truy cập ban đầu hoặc các nhà phát triển mã khai thác để đột nhập vào mạng của nạn nhân, và họ có các nhà phát triển viết mã độc, cùng các chi nhánh thực hiện các cuộc tấn công.

Phá vỡ lòng tin giữa những tên trộm

"Điều này cũng tạo ra sự phụ thuộc," ông Fokker nói. "Bạn có các nhóm đang hợp tác với nhóm ransomware, và họ đang đột nhập hoặc đánh cắp dữ liệu, sau đó bạn có các vụ lừa đảo rút tiền (exit scams), hoặc trình giải mã không hoạt động, và điều đó gây ra những vết nứt trong mô hình kinh doanh."

Trellix đã hỗ trợ cảnh sát quốc tế trong chiến dịch Operation Endgame kéo dài, và trong quá trình triệt phá phần mềm đánh cắp thông tin Rhadamanthys vào tháng 11 năm 2025, các quan chức đã phát hành một đoạn video hoạt hình đầy vẻ kiêu ngạo gợi ý về các thông tin tình báo thu thập được trong chiến dịch, được thiết kế để làm suy yếu lòng tin trong các tổ chức tội phạm.

Video cho thấy một quản trị viên đang rút ruột những bí mật giá trị nhất và khóa mã hóa tiền điện tử cho lợi ích cá nhân, trong khi chỉ chuyển dữ liệu ít lợi nhuận hơn cho khách hàng. Trellix đã biết về sự cố này trong một buổi họp với cảnh sát Hà Lan.

"Họ nói với chúng tôi: 'Chúng tôi phát hiện ra rằng quản trị viên này cũng đang ăn cắp từ chính khách hàng của mình'," ông Fokker nhớ lại. Sau khi thông cáo báo chí của Europol ra mắt, Trellix đã tung ra những lời châm biếm sắc sảo trên Dark Web Roast.

"Về cơ bản chúng tôi nói rằng bạn rất ngu ngốc nếu làm việc với hắn, vì hắn chỉ đang làm giàu cho bản thân, và chúng tôi chỉ chế giễu hắn," ông Fokker nói. "Chúng tôi không biết liệu tác động có đo lường được không, nhưng dù sao, chúng tôi đã có cơ hội để chạy theo câu chuyện này và biến quản trị viên này thành một gã hề hoàn toàn. Đó là điều gì đó."