LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

2025-05-29 An toàn dữ liệu, Bài viết chia sẻ thông tin, Tin tức

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI Group

Cuối tháng 4/2025 chứng kiến một cú nổ chấn động trong giới an ninh mạng: toàn bộ cơ sở dữ liệu nội bộ của LockBit – nhóm ransomware khét tiếng nhất thế giới – đã bị rò rỉ công khai. Những gì từng được xem là bí mật tuyệt đối của một tổ chức tội phạm mạng tinh vi, giờ đây được phơi bày trên GitHub, mở toang cánh cửa cho các nhà điều tra, nhà báo và chuyên gia an ninh mạng đi sâu vào “cỗ máy ransomware” vận hành suốt nhiều năm qua.

lockbit

LockBit không đơn thuần là một nhóm hacker. Đây là một hệ sinh thái ransomware-as-a-service (RaaS) – trong đó nhóm cốt lõi phát triển phần mềm mã độc, còn các “đại lý” (affiliate) phân phối, tấn công và thu tiền chuộc. Doanh thu được chia theo tỷ lệ định sẵn. Với hơn 2.000 nạn nhân toàn cầu, LockBit từng được ví như “Amazon” trong giới tội phạm mạng.

Và giờ, bộ cơ sở dữ liệu bị rò rỉ hé lộ:

– 59.000+ địa chỉ ví Bitcoin, cho thấy các nguồn thu và giao dịch liên quan.

5.000+ đoạn hội thoại giữa hacker và nạn nhân.

Hơn 240 mục tiêu được định danh trong file clients.csv, có cả doanh nghiệp Đông Nam Á.

Cấu hình phần mềm mã độc, khóa mã hóa, tài khoản quản trị hệ thống nội bộ.

Các bản tin nội bộ trong file lockbit-news.csv cho thấy LockBit hoạt động gần như một startup công nghệ: họ có chiến dịch cập nhật phần mềm, tuyển affiliate, đánh giá hiệu suất và phân tích kết quả theo từng tháng.

Trích tài liệu nội bộ LockBit: “Chúng ta cần nâng cấp cơ chế lây nhiễm để tăng tỷ lệ mã hóa thành công trên các hệ điều hành mới.”

Bên trong là một quy trình tự động hóa khép kín: từ phát hành ransomware, thu tiền chuộc, chia hoa hồng cho affiliate đến vô hiệu hóa người dùng không hiệu quả. Tất cả được mã hóa, theo dõi bằng hệ thống.

ransomware

Nếu bạn nghĩ có thể đánh động lòng trắc ẩn của tin tặc bằng hoàn cảnh cá nhân, hãy đọc các đoạn hội thoại từ lockbit-socket-messages.csv:

“Mẹ tôi vừa mất, tôi không đủ khả năng trả.” – “Không cảm xúc. Trả tiền, hoặc mất toàn bộ dữ liệu.”

Thực tế, LockBit chỉ quan tâm đến một thứ duy nhất: tiền. Tuy nhiên, các đoạn hội thoại cũng hé lộ rằng những nạn nhân biết cách đàm phán thông minh – trì hoãn, giả vờ nghèo, xin giải mã mẫu trước – thường ép được giá xuống dưới 10.000 USD. Đó là một điểm sáng nhỏ trong bức tranh tối màu.

Dữ liệu rò rỉ gồm gần 60.000 địa chỉ ví Bitcoin là một mỏ vàng cho các chuyên gia truy vết dòng tiền chuộc. Kết hợp với các công cụ như Chainalysis, Crystal Blockchain hoặc Recon ITR, đã có những địa chỉ được gắn kết với các sàn giao dịch cụ thể, dấu vết giao dịch chéo và thậm chí là IP truy cập.

Điều này khiến LockBit đối mặt với nguy cơ lớn nhất: mất lớp vỏ ẩn danh – điều từng là “lá chắn bất bại” của chúng.

Thông điệp dành cho doanh nghiệp Việt Nam & Đông Nam Á:

Tuyệt đối không coi nhẹ an ninh mạng. LockBit đã tấn công cả các tổ chức nhỏ lẻ, chứ không chỉ tập đoàn lớn.

– Luôn duy trì ít nhất 3 bản sao lưu, trong đó: 1 bản offline hoàn toàn (air-gap), 1 bản đám mây bảo mật cao, 1 bản cục bộ được mã hóa.

Tách biệt hệ thống backup khỏi mạng chính, đảm bảo không có quyền truy cập trực tiếp từ máy chủ hoặc tài khoản người dùng.

Áp dụng mô hình Zero Trust, giới hạn quyền truy cập từng cấp người dùng.

Huấn luyện định kỳ cho nhân viên: nhận biết phishing, kịch bản giả lập ransomware.

Có thể LockBit vẫn tồn tại. Nhưng sự kiện lần này giống như việc FBI đột nhập được vào “sổ kế toán bí mật” của một tổ chức tội phạm. Sự minh bạch ngoài ý muốn này khiến mỗi dòng mã độc, mỗi ví Bitcoin, mỗi đoạn chat của chúng – trở thành bằng chứng buộc tội.

HTI Services đang tiếp tục phân tích bộ dữ liệu này để hỗ trợ các đơn vị pháp luật, doanh nghiệp bị ảnh hưởng và cộng đồng chuyên gia. Nếu bạn nghi ngờ hệ thống của mình từng là mục tiêu, hoặc muốn kiểm tra khả năng bảo mật của tổ chức – đừng chờ đến khi bị khóa dữ liệu mới tìm đến giải pháp.

 Hãy liên hệ với chúng tôi để nhận tư vấn chuyên sâu và triển khai phòng thủ ransomware toàn diện trước khi quá muộn.

Tìm hiểu thêm: Dịch vụ tư vấn giải mã dữ liệu bị mã hóa

Hotline: 0928.765.688

Từ khóa:

Chia sẻ:

Bài viết liên quan

NVIDIA RTX PRO 6000 Blackwell Workstation
27May

Đập hộp VGA “khủng” nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation

HTI Services đã sở hữu VGA "khủng" nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation – Một trong... read more

khôi phục dữ liệu raid 5
22May

Một ca RAID 5 mất dữ liệu đáng tiếc

RAID (Redundant Arrays of Independent Disks) là một giải pháp lưu trữ dữ liệu an toàn và hiệu quả,... read more

khôi phục dữ liệu camera hvideo
19May

Khôi phục dữ liệu camera an ninh

Vừa qua, HTI Services tiếp nhận yêu cầu hỗ trợ từ khách hàng sở hữu hệ thống giám sát... read more

WannaCry
15May

RANSOMWARE – BE AWARE [WannaCry]

Trong lịch sử ngành an ninh mạng, hiếm có cuộc tấn công nào gây chấn động và lan rộng... read more

thiết bị tạo ảnh ổ đĩa
14May

Khôi phục và tạo ảnh dữ liệu hệ thống RAID với Hermers Forensics

RAID – Thách thức lớn trong điều tra và phục hồi dữ liệu Trong môi trường doanh nghiệp, tổ chức... read more

Hermers Forensics
14May

Tăng tốc quá trình tạo ảnh, phân tích dữ liệu với Hermers Forensics

Trong lĩnh vực điều tra kỹ thuật số, thời gian luôn là yếu tố then chốt. Việc phải xử... read more

Hotline
092 876 5688