Đằng sau nghề thương thuyết ransomware

Thời gian là vàng

Công ty S-RM (Anh) là một trong các doanh nghiệp an ninh mạng hàng đầu thế giới. Hơn 150 chuyên gia của S-RM trên khắp thế giới đang phục vụ hàng trăm tập đoàn lớn nhỏ khác nhau, chưa kể các khách hàng khẩn cấp tìm đến S-RM khi bị hacker tấn công. Chỉ cần bộ phận cấp cứu của S-RM nhận được cuộc gọi là họ có thể triển khai đội phản ứng nhanh trong vòng chưa đầy 6 phút. S-RM hiểu rằng họ chỉ có vài phút để ngăn chặn hacker đánh cắp cơ sở dữ liệu của khách hàng hay khiến dây chuyền sản xuất ngừng trệ.

Thời gian còn quý hơn vàng trong việc phòng thủ chống ransomware.

Ông Ted Cowell, Giám đốc lĩnh vực tin học của S-RM, cho biết: "Bệnh viện cấp cứu bệnh nhân khẩn trương thế nào thì S-RM cũng khẩn trương như vậy với khách hàng. Quá trình phòng thủ và khắc phục hậu quả tấn công mạng rất dễ kéo dài hàng trăm tiếng liên tục, nhưng bao giờ 1 tiếng đồng hồ đầu tiên cũng là thời gian quan trọng nhất. Nếu chúng tôi không hoàn thành được việc điều tra và ngăn chặn trong khoảng thời gian ít ỏi đó, hậu quả mà khách hàng phải chịu hoàn toàn có thể nhân lên trăm lần".

Theo ông Cowell, sau khi hacker xâm nhập được vào hệ thống, chúng cần thời gian để "thám thính" xem dữ liệu nào, phần cứng nào có giá trị nhất. Đây là khoảng thời gian "vàng" để bộ phận an ninh tin học tiến hành việc khắc phục lỗi và giảm thiểu thiệt hại. Mặt khác hacker cũng chịu áp lực về thời gian. Cuộc tấn công càng kéo dài thì lại càng có nhiều khả năng chúng bị cảnh sát và nhà cung cấp dịch vụ mạng tìm ra. Đấy là hai lý do vì sao những nhà thương thuyết đóng vai trò quan trọng trong việc giải quyết vụ tấn công mạng.

Cũng giống như khi thương thuyết với kẻ bắt cóc, nhà thương thuyết với tin tặc cần tìm cách kéo dài thời gian để bộ phận an ninh mạng thực hiện điều tra. Họ có thể yêu cầu hacker xuất trình bằng chứng rằng đã xâm nhập vào mạng nội bộ. Họ có thể thương lượng về số tiền chuộc. Họ thậm chí có thể tạm thời làm ngơ với tin tặc. Mỗi giây phút mà họ níu kéo được tương đương hàng chục nghìn USD mà nạn nhân không bị mất.

Ông Ted Cowell giải thích: "Bao giờ nhà thương thuyết của S-RM cũng ngồi ở cùng một phòng với khách hàng và các chuyên gia an ninh mạng. Nhà thương thuyết có trách nhiệm dẫn dắt khách hàng giữa lúc đang mất bình tĩnh, giúp họ suy nghĩ theo một hệ thống có thể giúp họ giảm tối đa thiệt hại... Việc thương thuyết càng kéo dài, nhà thương thuyến càng có thời gian tiếp xúc với tội phạm, từ đó hoàn chỉnh hồ sơ hành vi của đối tượng để đề phòng cho những vụ việc sau này".

Hiểm họa nghề nghiệp

Ngày 18/12/2025, Ryan Clifford Goldberg và Kevin Tyler Martin đã bị tòa án Mỹ tuyên án tội tiếp tay cho tin tặc thực hiện năm vụ tấn tấn công mạng gây tổng thiệt hại lên đến 9,5 triệu USD. Ryan Goldberg nguyên là chuyên gia an ninh mạng tại Công ty Sygnia, còn Kevin Martin là nhà thương thuyết của công ty DigitalMint. Hai đối tượng này đã cấu kết với nhóm hacker sử dụng ransomware ALPHV (còn có tên gọi là BlackCat) để tấn công một công ty vật tư y tế tại Florida, một công ty dược phẩm tại Maryland, một phòng khám tư nhân tại California, một công ty thiết kế ở California và một công ty sản xuất máy bay không người lái tại Virginia.

Ryan Goldberg đã tuồn thông tin về khách hàng của Sygnia cho nhóm tin tặc, còn Kevin Martin thì bí mật cấu kết với hacker trong quá trình thương thảo. Nhóm tội phạm đã nhận được gần 1,3 triệu USD từ công ty vật tư y tế; 4 nạn nhân còn lại không trả tiền chuộc. Tuy các đối tượng phạm tội đã bị xử lý nhưng đòn giáng vào uy tín của Sygnia và DigitalMint là quá lớn. Chủ tịch Tập đoàn DigitalMint Marc Jason Grens tuyên bố với hãng tin Bloomberg rằng công ty này sẽ sớm thực hiện thanh tra toàn bộ bộ máy nhân viên của họ.

Đây không phải lần đầu tiên nghề thương thuyết ransomware nhận tiếng xấu. Trong giai đoạn 2015 - 2018, mã độc SamSam đã tấn công hàng trăm mạng nội bộ tại Bắc Mỹ và Anh quốc, gay thiệt hại hơn 30 triệu USD. Trong số 200 nạn nhân của SamSam có các thành phố Atlanta, New Wark và New Jerrsey, cảng thành phố San Diego và bệnh viện Hollywood Presbyterian tại Los Angeles. Mạng lưới cung cấp nước của thành phố Atlanta bị SamSam làm tê liệt, buộc sở giao thông địa phương phải điều động lực lượng vệ binh quốc gia để đưa nước.

Kẻ đứng sau SamSam là hai tin tặc người Iran. Ước tính hai đối tượng này đã thu về ít nhất 6 triệu USD tiền chuộc. Tuy lực lượng hành pháp Mỹ không thể xử lý hai hacker này, họ đã tìm ra kẻ đồng phạm của chúng - một công ty thương thuyết ransomware tên là Proven Data Recovery đặt trụ sở ở Elmsford, New York. Công ty này giả vờ thương thuyết với tin tặc nhưng thực chất là thực hiện "chiến tranh tâm lý" với nạn nhân nhằm tối đa hóa số tiền chuộc nạn nhân đồng ý trả.

Tiến sỹ Charles Finlay, Trung tâm an ninh mạng Rogers trực thuộc trường Đại học Toronto Metropolitan (Canada), cho biết: "Việc thương thuyết với tin tặc luôn đi giữa lằn ranh của sự hợp pháp và bất hợp pháp. Các nhóm hacker không phải là thực thể pháp lý và cũng không có nghĩa vụ pháp lý phải hoàn thành thỏa thuận với nạn nhân. Trong khi đó thì cám dỗ với nhà thương thuyết lại có rất nhiều. Không có gì đáng ngạc nhiên khi một số nhà thương thuyết lại chọn cách cấu kết với tội phạm".

Đa số khách hàng của những công ty thương thuyết ransomware tìm đến họ sau khi được doanh nghiệp an ninh mạng, doanh nghiệp bảo hiểm giới thiệu tới. Hệ thống quản lý và thanh tra lĩnh vực này vẫn chưa đầy đủ về cả mặt pháp lý lẫn tổ chức. Những đối tượng tham gia thị trường làm ăn với nhau vẫn dựa nhiều vào lòng tin. Trong bối cảnh đó, khách hàng không được hạ thấp cảnh giác và phải luôn chú ý đến nhà thương thuyết.

Ông Ensar Seker, Giám đốc an ninh dữ liệu của Công ty An ninh mạng SOCRadar (Mỹ), cảnh báo nạn nhân của ransomware cần phải để tâm: "Các chủ công ty, tổ chức bị tin tặc tấn công nên có mặt trực tiếp trong quá trình thương thảo. Các nhà thương thuyết làm ăn chân chính bao giờ trước khi đưa ra đề nghị với tin tặc cũng phải trình bày trước với khách hàng. Ngay cả việc kỳ kèo nhằm hạ khoản tiền chuộc cũng có logic của nó. Giả sử hacker yêu cầu trả 10 triệu USD tiền chuộc. Một nhà thương thuyết thông minh sẽ đưa ra đề nghị bằng 1/30 lần yêu cầu trên, tức là khoảng 300.000 USD, và rồi sau đó đưa ra những lý do như rắc rối về tài chính, v.v...".

"Việc đàm phán về tiền chuộc không nên diễn ra trước ngày thứ hai kể từ khi xảy ra vụ tấn công. Từng đó thời gian là đủ để nạn nhân và phía an ninh mạng đánh giá đầy đủ rủi ro và đưa ra lộ trình hành động phù hợp, đồng thời gây thêm áp lực lên hacker... Bất kỳ nhà thương thuyết nào có dấu hiệu đẩy nhanh việc đàm phán hay không thể cung cấp thông tin và nhận định về nhóm tin tặc đều đáng bị đặt dấu hỏi".

Ông Seker còn cho biết thêm là một khách hàng ở khu vực Châu Á-Thái Bình Dương của SOCRadar từng bị hacker yêu cầu chi trả 8 triệu USD tiền chuộc, nhưng nhà thương thuyết không những giảm được 60% số tiền chuộc mà còn kéo dài cuộc đàm phán đến 36 tiếng, tạo cơ hội cho SOCRadar vá lỗi và phục hồi hoạt động các bộ phận quan trọng của doanh nghiệp.

Nhiều doanh nghiệp cực chẳng đã phải trả tiền chuộc dữ liệu cho hacker.

Tương lai nào cho nghề?

Càng ngày có nhiều doanh nghiệp và tổ chức chọn cách không trả tiền chuộc cho tin tặc. Sau các vụ tấn công bằng mã độc SamSam, một số chính quyền cấp thành phố tại Mỹ đã họp để bàn thảo về một kế hoạch chung đối phó với ransomware. Kết quả là bản thỏa thuận không trả tiền chuộc cho tin tặc được 1.400 thị trưởng ký vào ngày 10/7/2019. Một số tiểu bang khác sau đó cũng đã phê chuẩn điều luật cấm các cơ quan công quyền trả tiền chuộc ransomware. Tổ chức Sáng kiến Chống Ransomware quốc tế với 74 nước thành viên cũng đưa quy định không trả tiền chuộc vào thỏa thuận chung.

Có ít doanh nghiệp, tổ chức trả tiền chuộc đồng nghĩa với việc phục hồi dữ liệu càng ngày trở nên quan trọng. Nhiều công ty an ninh mạng hiện nay đang đặt việc phục hồi dữ liệu và giúp nạn nhân hoạt động bình thường trở lại quan trọng hơn việc điều tra truy tìm thủ phạm. Mặt khác tin tặc không chỉ mã hóa dữ liệu của nạn nhân mà còn đánh cắp cả dữ liệu. Chúng làm vậy để có thêm "đòn bẩy" đe dọa những nạn nhân lo sợ thông tin nội bộ của mình bị rò rỉ ra bên ngoài.

Các cơ quan chính phủ đang mở rộng vai trò của mình trong việc phòng chống ransomware. Trung tâm An ninh mạng Quốc gia Anh đã và đang trực tiếp liên hệ với doanh nghiệp để cảnh báo rằng họ ở trong nhóm gặp nguy hiểm cao. Doanh nghiệp, tổ chức nào càng để lộ nhiều thông tin thì càng dễ bị tin tặc tấn công và bị đòi hỏi khoản tiền chuộc cao hơn. Theo Tập đoàn viễn thông Verizon (Mỹ) thì 88% số vụ xâm nhập mạng nội bộ có liên quan đến thông tin định danh cá nhân bị rò rỉ, và 54% nạn nhân của ransomware có dữ liệu bị bày bán mà họ không biết. Các cơ quan chính phủ giám sát mạng lưới viễn thông vì thế nay lại nhận thêm chức năng cảnh báo cho đối tượng dễ bị tin tặc tấn công.

Một số doanh nghiệp thương thuyết ransomware đã mở các khóa huấn luyện dạy cho khách hàng cách đàm phán với tin tặc. Đây được dự báo sẽ là hướng đi tương lai của nghề nghiệp này. Ông Kurtis Minder, nhà sáng lập GroupSense (Mỹ) là một trong các công ty đi đầu trong hoạt động huấn luyện thương thuyết, trả lời hãng tin Bloomberg: "Bởi vì hacker liên lạc qua mạng Internet nên nhiều người quên mất "tôn chỉ" cơ bản của việc đàm phán: "Đàm phán là việc giữa người và người. Thành bại trong việc đàm phán dựa nhiều vào việc bên nào vận dụng môn tâm lý học tốt hơn".

Lê Công Vũ