Ukraine và Đức đã xác định các nghi phạm liên quan đến nhóm ransomware Black Basta có liên hệ với Nga và phát động truy nã quốc tế thông qua Interpol để tìm thêm thủ phạm.
Cuộc điều tra đa quốc gia còn thu giữ bằng chứng số và crypto trong các cuộc khám xét ở miền tây Ukraine, cho thấy ransomware ngày càng gắn với dòng tiền điện tử và buộc các nước phải phối hợp chia sẻ tình báo để triệt phá mạng lưới.
- Ukraine và Đức nêu tên nghi phạm Black Basta, trong đó có một công dân Nga bị đưa vào danh sách truy nã quốc tế qua Interpol.
- Khám xét tại Ivano-Frankivsk và Lviv thu giữ crypto và nhiều bằng chứng số, nhưng không công bố loại tài sản hay giá trị.
- Vụ án khác tại Áo cho thấy tội phạm bạo lực có thể nhắm trực tiếp vào ví tiền điện tử để cưỡng đoạt mật khẩu và rút sạch tài sản.
Ukraine và Đức mở truy nã quốc tế với nghi can Black Basta
Nhà chức trách Ukraine và Đức cho biết họ đã nhận diện các nghi phạm liên quan Black Basta và dùng kênh Interpol để truy nã quốc tế nghi can bị cáo buộc là tổ chức, nhằm mở rộng truy bắt thêm đồng phạm.
Theo trang chính thức của lực lượng cảnh sát mạng Ukraine, hai công dân Ukraine bị xác định là thành viên tích cực của nhóm, trong khi một công dân Nga (không nêu tên) bị cáo buộc đóng vai trò tổ chức. Phía Đức xác nhận người này đã bị đưa vào danh sách truy nã quốc tế thông qua Interpol.
Hành động trên là kết quả điều tra phối hợp giữa Ukraine, Đức, Thụy Sĩ, Hà Lan và Vương quốc Anh. Europol cũng tham gia hỗ trợ và đánh giá Black Basta là một trong những chiến dịch tội phạm mạng nguy hiểm nhất trong những năm gần đây.
Mạng ransomware Black Basta bị cáo buộc tấn công diện rộng từ năm 2022
Cơ quan điều tra Ukraine cho biết Black Basta hoạt động ít nhất từ đầu năm 2022 và bị cáo buộc nhắm vào doanh nghiệp, bệnh viện, cơ quan công tại các nước phương Tây để mã hóa dữ liệu và tống tiền.
Nhà chức trách cáo buộc nhóm ransomware này chọn mục tiêu mà họ cho là “có khả năng chi trả về mặt kinh tế”, rồi triển khai tấn công nhằm giành quyền truy cập hệ thống. Nạn nhân được mô tả gồm doanh nghiệp, tổ chức y tế và cơ quan công tại các quốc gia phương Tây.
Thiệt hại được ước tính ở mức “hàng trăm triệu euro” trong giai đoạn 2022–2025 đối với các tổ chức công nghiệp và y tế tại châu Âu và Mỹ. Ngoài ra, nhóm bị cáo buộc phát tán thông tin riêng tư sang các mạng lưới hacker khác.
Cách thức xâm nhập: đánh cắp thông tin đăng nhập rồi leo thang đặc quyền
Nhà chức trách mô tả các nghi phạm đã phối hợp xâm nhập hệ thống doanh nghiệp, đánh cắp thông tin đăng nhập và mở rộng quyền quản trị để truy cập tệp nội bộ, sau đó vô hiệu hóa hệ thống và triển khai mã độc mã hóa dữ liệu để đòi tiền chuộc.
Hai nghi phạm người Ukraine được cho là đặt căn cứ ở miền tây Ukraine và làm việc với các hacker khác để phá lớp bảo mật hệ thống công ty, trích xuất thông tin đăng nhập. Khi có dữ liệu xác thực của nhân viên, họ dùng nó để xâm nhập mạng nội bộ và mở rộng quyền quản trị.
Quyền truy cập bị đánh cắp tiếp tục được dùng để vô hiệu hóa các hệ thống trọng yếu. Sau đó, phần mềm độc hại được triển khai nhằm mã hóa dữ liệu, tạo sức ép để nạn nhân trả tiền chuộc đổi lấy việc khôi phục quyền truy cập.
Khám xét ở miền tây Ukraine thu giữ bằng chứng số và crypto
Cảnh sát Ukraine cho biết các cuộc khám xét tại Ivano-Frankivsk và Lviv đã thu giữ crypto và vật chứng liên quan, nhưng không công bố loại tài sản số hay giá trị, trong khi Đức dùng kênh Interpol phát lệnh truy nã theo yêu cầu tố tụng.
Nhà chức trách cho biết các lệnh khám xét được thực hiện tại nơi ở bị nghi là của tội phạm mạng tại các vùng Ivano-Frankivsk và Lviv. Trong quá trình khám xét, lực lượng chức năng đã thu giữ crypto, song không nêu rõ đó là loại tài sản số nào hoặc tổng giá trị.
Trước đó, các cuộc khám xét theo đề nghị của đối tác nước ngoài cũng đã diễn ra tại Kharkiv và khu vực lân cận nhằm vào các nghi phạm khác. Nhóm điều tra Đức tin rằng một công dân Nga đã sáng lập và điều hành Black Basta, đồng thời có liên quan tới một chiến dịch ransomware và tống tiền mạng khét tiếng khác.
Theo yêu cầu của Cơ quan Cảnh sát Hình sự Liên bang Đức và công tố Frankfurt, các kênh Interpol được sử dụng để phát thông báo truy nã. Đây là bước nhằm mở rộng truy bắt ra ngoài biên giới quốc gia khi nghi can không ở trong phạm vi thẩm quyền trực tiếp.
“Black Basta là mối đe dọa tội phạm mạng cấp độ cao… là mối đe dọa đáng kể đối với an ninh mạng toàn cầu.”
– Cảnh sát mạng Ukraine, tuyên bố chính thức
Trong phần kết luận, các cơ quan nhấn mạnh không quốc gia nào có thể tự mình triệt phá những mạng lưới như vậy, đồng thời kêu gọi nhiều nước hơn mở rộng cơ chế chia sẻ báo cáo tình báo.
Thông báo của cảnh sát mạng Ukraine được đăng tại bài công bố chính thức.
Vụ cướp crypto gây chết người tại Áo cho thấy rủi ro tấn công trực tiếp vào ví
Cảnh sát Áo từng bắt hai nghi phạm liên quan một vụ cướp crypto dẫn đến tử vong, trong đó nạn nhân bị ép giao mật khẩu ví tiền điện tử để rút sạch tài sản, phản ánh mặt bạo lực của tội phạm nhắm vào crypto.
Gần hai tháng trước, cảnh sát Áo bắt hai nghi phạm liên quan vụ cướp crypto gây chết người, được xác định là hai người đàn ông Ukraine 19 và 45 tuổi. Nạn nhân là một công dân Ukraine 21 tuổi, thi thể được phát hiện bị cháy sau nửa đêm ngày 26/11 trong một chiếc Mercedes biển số Ukraine tại quận Donaustadt, Vienna.
Lực lượng ứng cứu ghi nhận chiếc xe bị thiêu rụi, còn cảnh sát pháp y sau đó thu được một can xăng bị nóng chảy ở hàng ghế sau. Theo các báo cáo địa phương, vụ việc bắt đầu gần khách sạn SO/Vienna tại bãi đỗ xe ngầm, camera an ninh ghi lại cuộc đối đầu giữa nạn nhân và hai người đàn ông.
Một khách sạn báo lễ tân và cảnh sát được gọi đến, nhưng khi lực lượng chức năng tới nơi thì các đối tượng đã rời đi. Nạn nhân được cho là bị ép lên chính xe của mình, bị đưa tới Donaustadt, bị hành hung và buộc cung cấp mật khẩu của hai ví tiền điện tử, sau đó các ví bị rút sạch.
Truyền thông Áo đưa tin nạn nhân bị thương nặng trong lúc bị tấn công và đã tử vong trước khi chiếc xe bị phóng hỏa.
Những câu hỏi thường gặp
Black Basta là gì?
Black Basta là một nhóm tội phạm mạng bị cáo buộc triển khai ransomware để xâm nhập hệ thống tổ chức, mã hóa dữ liệu và đòi tiền chuộc, đồng thời có thể rò rỉ dữ liệu riêng tư sang các mạng lưới hacker khác.
Vì sao Interpol được sử dụng trong vụ Black Basta?
Interpol được dùng để phát thông báo truy nã quốc tế khi nghi can và hoạt động phạm tội vượt biên giới, giúp các nước phối hợp truy tìm, bắt giữ hoặc trao đổi thông tin phục vụ điều tra.
Nhà chức trách đã thu giữ crypto gì trong các cuộc khám xét tại Ukraine?
Cảnh sát Ukraine xác nhận có thu giữ crypto trong các cuộc khám xét ở Ivano-Frankivsk và Lviv, nhưng không công bố loại tài sản số hoặc giá trị cụ thể.
Nhóm bị cáo buộc tấn công các mục tiêu nào?
Theo mô tả của cơ quan điều tra, các mục tiêu gồm doanh nghiệp, bệnh viện và tổ chức công tại các nước phương Tây mà nhóm đánh giá có khả năng chi trả, sau đó nhóm tìm cách xâm nhập, leo thang đặc quyền và triển khai mã hóa dữ liệu.
Vụ án tại Áo liên quan gì đến rủi ro tiền điện tử?
Vụ việc cho thấy tội phạm có thể dùng bạo lực để ép nạn nhân cung cấp mật khẩu ví tiền điện tử rồi rút sạch tài sản, tức rủi ro không chỉ nằm ở hack kỹ thuật mà còn ở cưỡng đoạt ngoài đời thực.