LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

2025-05-29 An toàn dữ liệu, Bài viết chia sẻ thông tin, Tin tức

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI Group

Cuối tháng 4/2025 chứng kiến một cú nổ chấn động trong giới an ninh mạng: toàn bộ cơ sở dữ liệu nội bộ của LockBit – nhóm ransomware khét tiếng nhất thế giới – đã bị rò rỉ công khai. Những gì từng được xem là bí mật tuyệt đối của một tổ chức tội phạm mạng tinh vi, giờ đây được phơi bày trên GitHub, mở toang cánh cửa cho các nhà điều tra, nhà báo và chuyên gia an ninh mạng đi sâu vào “cỗ máy ransomware” vận hành suốt nhiều năm qua.

lockbit

LockBit không đơn thuần là một nhóm hacker. Đây là một hệ sinh thái ransomware-as-a-service (RaaS) – trong đó nhóm cốt lõi phát triển phần mềm mã độc, còn các “đại lý” (affiliate) phân phối, tấn công và thu tiền chuộc. Doanh thu được chia theo tỷ lệ định sẵn. Với hơn 2.000 nạn nhân toàn cầu, LockBit từng được ví như “Amazon” trong giới tội phạm mạng.

Và giờ, bộ cơ sở dữ liệu bị rò rỉ hé lộ:

– 59.000+ địa chỉ ví Bitcoin, cho thấy các nguồn thu và giao dịch liên quan.

5.000+ đoạn hội thoại giữa hacker và nạn nhân.

Hơn 240 mục tiêu được định danh trong file clients.csv, có cả doanh nghiệp Đông Nam Á.

Cấu hình phần mềm mã độc, khóa mã hóa, tài khoản quản trị hệ thống nội bộ.

Các bản tin nội bộ trong file lockbit-news.csv cho thấy LockBit hoạt động gần như một startup công nghệ: họ có chiến dịch cập nhật phần mềm, tuyển affiliate, đánh giá hiệu suất và phân tích kết quả theo từng tháng.

Trích tài liệu nội bộ LockBit: “Chúng ta cần nâng cấp cơ chế lây nhiễm để tăng tỷ lệ mã hóa thành công trên các hệ điều hành mới.”

Bên trong là một quy trình tự động hóa khép kín: từ phát hành ransomware, thu tiền chuộc, chia hoa hồng cho affiliate đến vô hiệu hóa người dùng không hiệu quả. Tất cả được mã hóa, theo dõi bằng hệ thống.

ransomware

Nếu bạn nghĩ có thể đánh động lòng trắc ẩn của tin tặc bằng hoàn cảnh cá nhân, hãy đọc các đoạn hội thoại từ lockbit-socket-messages.csv:

“Mẹ tôi vừa mất, tôi không đủ khả năng trả.” – “Không cảm xúc. Trả tiền, hoặc mất toàn bộ dữ liệu.”

Thực tế, LockBit chỉ quan tâm đến một thứ duy nhất: tiền. Tuy nhiên, các đoạn hội thoại cũng hé lộ rằng những nạn nhân biết cách đàm phán thông minh – trì hoãn, giả vờ nghèo, xin giải mã mẫu trước – thường ép được giá xuống dưới 10.000 USD. Đó là một điểm sáng nhỏ trong bức tranh tối màu.

Dữ liệu rò rỉ gồm gần 60.000 địa chỉ ví Bitcoin là một mỏ vàng cho các chuyên gia truy vết dòng tiền chuộc. Kết hợp với các công cụ như Chainalysis, Crystal Blockchain hoặc Recon ITR, đã có những địa chỉ được gắn kết với các sàn giao dịch cụ thể, dấu vết giao dịch chéo và thậm chí là IP truy cập.

Điều này khiến LockBit đối mặt với nguy cơ lớn nhất: mất lớp vỏ ẩn danh – điều từng là “lá chắn bất bại” của chúng.

Thông điệp dành cho doanh nghiệp Việt Nam & Đông Nam Á:

Tuyệt đối không coi nhẹ an ninh mạng. LockBit đã tấn công cả các tổ chức nhỏ lẻ, chứ không chỉ tập đoàn lớn.

– Luôn duy trì ít nhất 3 bản sao lưu, trong đó: 1 bản offline hoàn toàn (air-gap), 1 bản đám mây bảo mật cao, 1 bản cục bộ được mã hóa.

Tách biệt hệ thống backup khỏi mạng chính, đảm bảo không có quyền truy cập trực tiếp từ máy chủ hoặc tài khoản người dùng.

Áp dụng mô hình Zero Trust, giới hạn quyền truy cập từng cấp người dùng.

Huấn luyện định kỳ cho nhân viên: nhận biết phishing, kịch bản giả lập ransomware.

Có thể LockBit vẫn tồn tại. Nhưng sự kiện lần này giống như việc FBI đột nhập được vào “sổ kế toán bí mật” của một tổ chức tội phạm. Sự minh bạch ngoài ý muốn này khiến mỗi dòng mã độc, mỗi ví Bitcoin, mỗi đoạn chat của chúng – trở thành bằng chứng buộc tội.

HTI Services đang tiếp tục phân tích bộ dữ liệu này để hỗ trợ các đơn vị pháp luật, doanh nghiệp bị ảnh hưởng và cộng đồng chuyên gia. Nếu bạn nghi ngờ hệ thống của mình từng là mục tiêu, hoặc muốn kiểm tra khả năng bảo mật của tổ chức – đừng chờ đến khi bị khóa dữ liệu mới tìm đến giải pháp.

 Hãy liên hệ với chúng tôi để nhận tư vấn chuyên sâu và triển khai phòng thủ ransomware toàn diện trước khi quá muộn.

Tìm hiểu thêm: Dịch vụ tư vấn giải mã dữ liệu bị mã hóa

Hotline: 0928.765.688

Từ khóa:

Chia sẻ:

Bài viết liên quan

data_recovery
12Jul

Khôi phục dữ liệu: Những câu hỏi thường gặp

Tổng hợp những câu hỏi thường gặp nhất mà người dùng đặt ra khi gặp sự cố mất dữ... read more

huy_du_lieu_an_toan
11Jul

Giải pháp hủy dữ liệu an toàn cho các cơ quan chính phủ trong thời đại số

Các cơ quan, tổ chức nhà nước hiện đang quản lý một khối lượng dữ liệu khổng lồ -... read more

be_khoa_mat_khau
10Jul

Bẻ khóa mật khẩu từ A đến Z

Bẻ khóa mật khẩu và truy cập vào dữ liệu bị mã hóa là chủ đề nhận được rất... read more

loi_dau_tu_hdd
09Jul

Lỗi đầu từ trong khôi phục dữ liệu HDD

Một trong những nguyên nhân phổ biến gây ra tình trạng mất dữ liệu trên ổ cứng HDD là... read more

tao_anh_o_dia
04Jul

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

0928765688