Năm 2021, hệ thống y tế quốc gia của Ireland trở thành nạn nhân của một trong những sự cố tấn công mạng nghiêm trọng trong những năm gần đây.
Cụ thể vào tháng 3/2021, một nhân viên ở bệnh viện thuộc hệ thống y tế quốc gia của Ireland bị lừa nhấp vào một bảng tính trông có vẻ vô hại. Hành động này vô tình cấp quyền cho những kẻ hacker đứng sau truy cập vào hệ thống mạng nội bộ
Đến ngày 14/5, những kẻ xâm nhập, băng đảng khét tiếng đến từ Nga có tên là Conti đã khiến hầu hết hệ thống với 70.000 thiết bị bị vô hiệu hóa bằng cách mã hóa hàng loạt dữ liệu trên hệ thống.
Nhóm hacker sau đó chính thức đưa ra yêu cầu chuộc lại quyền kiểm soát với giá 20 triệu USD, biến đây trở thành vụ tấn công đòi tiền chuộc (ransomware) lớn nhất từ trước nay.
Sự chùn bước bất ngờ
Tác động của vụ hack là cực kỳ nghiêm trọng khi các hacker đã chiếm quyền hệ thống của 54 bệnh viện và khoảng 4.000 địa điểm thiết yếu, vận hành các thiết bị như máy xạ trị và theo dõi loại thuốc điều trị cho các bệnh nhân.
Đội ngũ bác sĩ và y tá cố gắng ứng biến bằng mọi cách để giữ cho bệnh nhân tránh khỏi tử thần. Trong khi đó, chính phủ Ireland thể hiện quan điểm cứng rắn.
“Chúng tôi sẽ không trả bất kỳ khoản tiền chuộc nào hoặc liên quan đến thứ gì đó tương tự”, Thủ tướng Ireland Micheal Martin phát biểu trên truyền hình vào ngày máy tính của hệ thống y tế quốc gia Ireland bị chiếm giữ.
Conti đã làm điều này hàng trăm lần trước đây và nhóm hacker tự tin nạn nhân cuối cùng sẽ phải nhượng bộ. Những hacker đến từ Nga thiết lập một cổng trò chuyện trực tuyến trên dark web và giải thích với đại diện cơ quan y tế công cộng Ireland (HSE) rằng họ "đã xâm nhập vào mạng và ở trong đó hơn 2 tuần”.
Các hacker còn cho biết thêm đã đánh cắp khoảng 700 GB dữ liệu, bao gồm thông tin cá nhân về bệnh nhân, nhân viên và hợp đồng, đồng thời chia sẻ một mẫu tài liệu nhạy cảm với HSE để chứng minh rằng nhóm không nói dối. “Khi nào bạn dự định tiến hành thanh toán?”, một hacker đặt câu hỏi.
Nhận thấy chính phủ vẫn giữ quan điểm không nhượng bộ, đến ngày 19/5, Conti đưa ra tối hậu thư với nội dung “chúng tôi sẽ bắt đầu bán và công khai dữ liệu”.
Tuy nhiên, bằng một cách bí ẩn nào đó, nhóm hacker khét tiếng bất ngờ chùn bước. Ngày hôm sau, Conti gửi khóa giải mã đến HSE, cho phép nhân viên bắt đầu quá trình khôi phục dữ liệu lâu dài.
“Chúng tôi đang cung cấp miễn phí công cụ giải mã cho mạng của bạn”, thông báo từ phía Conti viết. Nhóm hacker nhấn mạnh đây không phải là kết thúc và cảnh báo HSE “nếu không liên lạc, chúng tôi sẽ bán hoặc công khai nhiều dữ liệu riêng tư”.
Tuy nhiên, thực tế là cho đến tận ngày nay, Conti vẫn chưa rao bán bất kỳ dữ liệu nào và đã ngừng liên lạc với HSE. Dường như băng đảng khét tiếng này đã ngừng cuộc tấn công hoàn toàn dù không nhận được tiền chuộc.
Đến tháng 2/2023, phóng viên Bloomberg quyết định lật lại vụ án và điều tra nguyên nhân của sự nhượng bộ khó hiểu này. Theo một cựu thành viên trong nhóm, cuộc tấn công này không ngờ cũng tàn phá chính Conti.
Theo nhật ký trò chuyện nội bộ mà cựu thành viên này chia sẻ cùng một số cuộc phỏng vấn với những nguồn tin thân cận, một số hacker trong Conti đã bị hoảng sợ bởi những hậu quả nghiêm trọng hơn nữa nếu cuộc tấn công vào HSE được tiếp diễn.
Hóa ra, chiến thắng lớn nhất của Conti là xác định ranh giới mà những tay hacker khét tiếng cũng không dám vượt qua.
Kẻ phản bội
Khoảng một tuần sau cuộc tấn công đầu tiên, một hacker trong nhóm Conti đã sử dụng bí danh Alter để vào một phòng chat nội bộ và tố cáo về vụ tấn công hệ thống y tế.
Alter gợi ý rằng một thành viên hoặc chi nhánh khác, không ở trong phòng trò chuyện vào thời điểm đó, đã thực hiện cuộc tấn công và có lẽ nó còn không được nhóm chấp thuận.
“Tôi muốn nói rằng không ai trong số những người có mặt ở đây liên quan đến cuộc tấn công này. Chúng ta chưa từng tấn công những nơi công cộng như bệnh viện, sân bay hay bất cứ thứ gì tương tự và sẽ không bao giờ làm thế”, Bloomberg trích dẫn.
Tuy là một băng nhóm tội phạm, Conti vẫn áp dụng một số cấu trúc và thông lệ phổ biến như các doanh nghiệp công nghệ hợp pháp khác. Nhóm sử dụng một biến thể của mô hình kinh doanh tội phạm, được các chuyên gia an ninh mạng miêu tả với cái tên "dịch vụ ransomware".
Nói đơn giản hơn, một nhóm sẽ cho thuê phần mềm độc hại để các tội phạm mạng khác sử dụng. Trong trường hợp của Conti, nhóm vừa là người tạo ra phần mềm, vừa là thủ phạm đạo diễn cuộc tấn công. Các hacker sẽ có vai trò gần giống như nhân viên văn phòng, được quản lý và trả lương đúng hạn.
Theo một cựu thành viên tiết lộ với Bloomberg, các thành viên trong Conti được chia thành nhiều nhóm. Mỗi nhóm thường gồm khoảng 10 người trở lên và có trưởng nhóm riêng.
Nhiệm vụ của mỗi nhóm sẽ bao gồm thu thập thông tin tình báo về lĩnh vực hoạt động, thu nhập của công ty, hồ chi tiết về nhân viên, chẳng hạn như thông tin liên lạc và sở thích cá nhân.
Sau đó, một đội khác bao gồm các hacker chuyên phát triển phần mềm độc hại, sẽ tìm cách vượt qua phần mềm tường lửa của những công cụ chống virus phổ biến.
Tiếp theo, một nhóm sẽ phụ trách công việc lừa đảo, dẫn dụ người trong nội bộ nhấp vào các email chứa mã độc.
Sau khi vụ tấn công đã diễn ra thành công, một nhóm các chuyên gia đàm phán sẽ giao dịch trực tiếp với nạn nhân và cố gắng ép buộc họ phải trả tiền chuộc. Cuối cùng là một nhóm khác có nhiệm vụ mua máy chủ và quản lý cơ sở hạ tầng kỹ thuật khác.
Các chuyên gia bảo mật cho biết họ đã phát hiện ra dấu hiệu bất đồng về những hành vi được chấp nhận trong Conti. Richard Browne, giám đốc Trung tâm An ninh Mạng Quốc gia Ireland, cơ quan điều tra vụ tấn công khẳng định “chúng tôi biết điều gì đang xảy ra bên trong nhóm” khi vụ hack đang diễn ra.
Được biết, nhóm của Browne đã xác định được một nhánh khác trong băng đảng hacker này đã âm thầm phát triển mã độc tấn công hệ thống y tế. “Nhóm hacker này trẻ, năng nổ hơn và rất liều lĩnh. Đánh giá của chúng tôi là các thành viên khác trong nhóm không ưa họ”, Browne cho biết.
Những bất đồng bên trong Conti vẫn tiếp diễn sau khi cuộc tấn công vào HSE kết thúc. Một tháng sau, một thành viên của nhóm có tên Rashaev đã tuyên bố trong các cuộc trò chuyện nội bộ rằng Conti “quyết định không đụng chạm gì đến lĩnh vực y tế”.
Tuy nhiên, vào tháng 10/2021, một thành viên có biệt danh là Dollar đã bất tuân và thực hiện cuộc tấn công vào bệnh viện North Broward của Florida, Mỹ . Hacker này còn khoe trong một phòng chat rằng anh đã đánh cắp khoảng 8 GB dữ liệu.
Vụ việc đã khiến một thành viên băng đảng Conti có biệt danh Cybergangster tức giận. Người này sau đó đã nổi giận trong các cuộc trò chuyện nội bộ về hành vi của Dollar. “Hãy khai trừ tên Dollar này khỏi nhóm. Tôi đã hai lần nói với hắn rằng chúng ta sẽ không động đến lĩnh vực y tế”, Cybergangster nổi giận.
Dollar tiếp tục phớt lờ những quy tắc đó. Đỉnh điểm là vào tháng 2/2022, hacker này lên kế hoạch nhắm mục tiêu vào một tổ chức từ thiện dành cho người bại não. “Đây không phải là bác sĩ và không ai phải chết cả”, Dollar biện minh cho hành động của mình.
Đến tháng 5/2022, băng đảng Conti tan rã sau nhiều bất đồng giữa các thành viên. Nhiều hacker sau đó tiếp tục tham gia các băng nhóm khác, bao gồm một băng có tên Black Basta và Quantum.
Theo các tài liệu được Bloomberg thu thập, một số cựu thành viên của nhóm vẫn đang sử dụng máy chủ cũ để thực hiện các cuộc tấn công ransomware nhắm vào các thực thể ở Bắc Mỹ và Châu Âu, bao gồm Cơ quan quản lý nhà ở Newark, văn phòng luật sư New York và công ty hậu cần Canada.