Tội phạm "ngớ ngẩn" phá vỡ quy tắc đầu tiên của hội ransomware: Tuyệt đối không tấn công Nga và CIS

Tội phạm "ngớ ngẩn" phá vỡ quy tắc đầu tiên của hội ransomware: Tuyệt đối không tấn công Nga và CIS

Một thành viên liên kết của nhóm ransomware Nova đã mắc lỗi nghiêm trọng khi tấn công vào công ty Eriell Group có trụ sở tại Uzbekistan và văn phòng tại Moscow, đi ngược lại quy tắc bất thành văn của giới tội phạm mạng. Để tránh sự trừng phạt từ chính quyền sở tại, nhóm này đã phải xin lỗi chính thức và cam kết hỗ trợ khôi phục dữ liệu miễn phí cho nạn nhân.

Sai lầm "ngớ ngẩn" của tội phạm mạng

Ngay cả các cartel ransomware chuyên nghiệp cũng có lúc mắc sai lầm, và trong trường hợp này, đó là một lỗi lầm lớn có thể khiến tên tội phạm chịu trách nhiệm bị đưa vào các trại giam của Nga: vô tình lây nhiễm cho một công ty nằm trong một quốc gia thuộc SNG (Cộng đồng các Quốc gia Độc lập).

Dominic Alvieri, một chuyên gia săn lùng mối đe dọa, đã gọi đây là "kẻ ngốc của ngày hôm nay". Vào thứ Ba, Nova - chương trình liên kết của nhóm ransomware RAlord - đã đưa ra lời xin lỗi tới Eriell Group, một công ty lớn cung cấp dịch vụ dầu khí có trụ sở chính tại Uzbekistan và văn phòng doanh nghiệp tại Moscow. Rõ ràng, Eriell đã liên hệ với Nova và thông báo cho các operator của nhóm ransomware về sự sai lầm của đối tác liên kết.

Theo thông tin, đối tác liên kết này đã bị cấm hoạt động khỏi tổ chức tội phạm kể từ đó. Ngoài việc đưa ra "lời xin lỗi chính thức", băng đảng ransomware còn hứa sẽ hỗ trợ Eriell trong quá trình khôi phục dữ liệu "miễn phí". Những kẻ phát tán phần mềm độc hại tuyên bố rằng họ không mã hóa bất kỳ tệp nào và cam kết không rò rỉ bất kỳ dữ liệu nào đã bị đánh cắp.

Quy tắc bất thành văn của giới tội phạm

"Rõ ràng, quy tắc đầu tiên của hội ransomware là bạn không được tấn công các tổ chức trong SNG (CIS), và quy tắc này vẫn rất hiệu quả vào năm 2026," Allan Liska, nhà phân tích tình báo mối đe dọa tại Recorded Future, chia sẻ với The Register.

Mặc dù tội phạm mạng về mặt kỹ thuật là bất hợp pháp ở Nga và các nước SNG khác, nhưng chính phủ các nước này thường cung cấp nơi trú ẩn an toàn cho những kẻ tống tiền và các tội phạm khác có động cơ tài chính - đặc biệt là nếu họ cũng vừa làm việc cho nhà nước với tư cách là tin tặc được tài trợ - và cảnh sát địa phương thường làm ngơ trừ khi các băng đảng lây nhiễm cho các tổ chức trong nước.

Một số nhóm, như cartel DragonForce, nhóm ransomware-as-a-service VanHelsing và những kẻ vận hành LockBit khét tiếng, đều cấm rõ ràng các thành viên và đối tác của mình nhắm vào các mục tiêu tại Nga và các nước SNG khác. Có lẽ, đối tác liên kết của Nova sẽ đứng đầu danh sách "không tuyển dụng" của tất cả các băng đảng này trong một thời gian dài.

Tuy nhiên, họ không phải là tội phạm mạng đầu tiên, dù nói tiếng Nga hay không, mắc những sai lầm ngớ ngẩn nghiêm trọng.

Những sai lầm kỹ thuật của các nhóm hacker khác

Vào đầu năm nay, nhóm Scattered Lapsus$ Hunters khét tiếng, chuyên rò rỉ dữ liệu và tống tiền, tuyên bố họ đã có "toàn quyền truy cập" vào hệ thống của Resecurity và đánh cắp "tất cả mọi thứ". Sau đó, Resecurity đã gửi "lời chúc mừng" đến nhóm tội phạm mạng này, vì họ đã rơi vào bẫy honeypot của nhóm tình báo mối đe dọa - dẫn đến việc một lệnh triệu tập được ban hành cho một trong những tên trộm dữ liệu.

Nhóm hacktivist thân Nga CyberVolk đã trở nên lỏng lẻo khi ra mắt dịch vụ ransomware vào cuối năm ngoái. Họ đã hardcode (nhúng cứng) các khóa chính - cùng một khóa này mã hóa tất cả các tệp trên hệ thống của nạn nhân - vào các tệp thực thi, do đó cho phép nạn nhân khôi phục dữ liệu đã mã hóa mà không cần trả bất kỳ khoản tiền tống tiền nào.

Trong khi sai lầm đó có lợi cho các tổ chức nạn nhân, một lỗi lập trình khác được thực hiện bởi các nhà phát triển phần mềm độc hại Sicarii khiến các công ty gần như không thể khôi phục tệp của mình: trình mã hóa của Sicarii tạo ra một cặp khóa mật mã mới trong mỗi lần thực thi - nhưng sau đó loại bỏ khóa riêng tư, nghĩa là không có khóa chính nào có thể khôi phục được.

Tương tự, một lỗi lập trình trong ransomware Nitrogen ngăn chặn trình giải mã của băng đảng khôi phục tệp của nạn nhân, một lần nữa khiến việc trả tiền trở nên vô ích.

John Fokker, Phó Chủ tịch Chiến lược Tình báo Mối đe dọa tại Trellix, gần đây đã chia sẻ rằng ông quá mệt mỏi khi thấy ngành bảo mật "tôn vinh các tác nhân đe dọa", nên ông và nhóm của mình quyết định trêu chọc những kẻ xấu và bắt đầu xuất bản "Dark Web Roast".

"Đó chỉ là những cá nhân, họ chỉ sử dụng máy tính, và họ chỉ muốn đánh cắp dữ liệu của bạn và kiếm tiền," Fokker nói với The Register. "Họ không phải là huyền thoại. Họ không có siêu năng lực." Và giống như bất kỳ cá nhân nào khác - hoặc siêu anh hùng - đôi khi họ cũng vấp ngã, mang lại cho những người còn lại của chúng ta một chút niềm vui mỉa mai.