Giúp các công ty trả tiền chuộc cho những kẻ tống tiền kỹ thuật số là một công việc khá kỳ lạ.

Một mặt, bạn đang "thương lượng" với tội phạm mạng và nhờ đó có thể giảm chi phí khắc phục hậu quả của một vụ tấn công ransomware cụ thể. Mặt khác, bạn đang giúp tội phạm kiếm tiền, tài trợ cho hoạt động của chúng và làm tăng khả năng xảy ra các cuộc tấn công tiếp theo.

Và luôn có một sự cám dỗ tiềm ẩn trong loại công việc này. Chứng kiến ​​những khoản tiền khổng lồ bị cuốn vào tay các sàn giao dịch tiền điện tử và "dịch vụ trộn tiền"... Nhận ra từ góc nhìn cận cảnh mức độ dễ bị tổn thương của các công ty... Biết rằng phần mềm tống tiền hiện đại có thể hoạt động như một dịch vụ, nơi bạn về cơ bản "thuê" mã nguồn từ các nhà phát triển để đổi lấy một phần lợi nhuận...

Một ngày nào đó, bạn có thể thức dậy với tâm trạng tồi tệ và tự hỏi: "Tại sao số tiền mình đang chuyển cho những tên tội phạm khác lại không đến tay mình, một tên tội phạm đáng giá hơn nhiều?"

Theo FBI, đây là những gì đã xảy ra với ba chuyên gia an ninh mạng người Mỹ, những người đã hành động bất chính trong hai năm qua, cài đặt phần mềm độc hại của riêng họ vào các doanh nghiệp tại Mỹ và thu về những lợi nhuận béo bở nhưng bất hợp pháp.

(Thực ra thì đó là phần thưởng. Hóa ra việc tống tiền các phòng khám bác sĩ và các công ty sản xuất địa phương khó hơn tưởng tượng. Nhưng lát nữa chúng ta sẽ nói thêm về điều đó.)

Dĩ nhiên, bạn cũng phải lo lắng về việc FBI sẽ đột nhập vào nhà bạn và cuối cùng bạn sẽ (như một người trong câu chuyện này) than thở về những lựa chọn của mình với chính những người có súng đang cố gắng bắt bạn, lảm nhảm về việc sẽ phải ngồi tù liên bang suốt đời, rồi mua vé một chiều đến Paris và cuối cùng lại ở trong một buồng giam.

Chẳng mấy chốc, toàn bộ cuộc sống của bạn sẽ bị đảo lộn.

Doanh thu liên kết

Kevin Martin từng làm việc với vai trò là người đàm phán về mã độc tống tiền cho DigitalMint, một công ty ở Chicago tuyên bố có thể hỗ trợ "đánh giá yêu cầu, tìm nguồn cung cấp tiền điện tử hợp pháp và tạo điều kiện cho các giao dịch an toàn để giảm thiểu thiệt hại tài chính và đáp ứng nhanh chóng các yêu cầu của kẻ tấn công" sau một cuộc tấn công.

Theo FBI, vào năm 2023, Martin đã thực hiện các bước để trở thành "đối tác" của nhóm phát triển mã độc tống tiền BlackCat. BlackCat cung cấp dịch vụ phần mềm độc hại trọn gói, cung cấp mã độc tống tiền hiện đại và cơ sở hạ tầng web đen để đổi lấy một phần lợi nhuận từ các đối tác, những người tự tìm kiếm và tấn công mục tiêu của mình. (Và đúng vậy, đôi khi các nhà phát triển BlackCat cũng lừa đảo chính các đối tác của họ .)

Martin đã chứng kiến ​​cách hệ thống này hoạt động trong thực tế thông qua công việc của mình, và người ta nói rằng anh ta đã tiếp cận hai người khác để giúp anh ta kiếm được một khoản tiền dễ dàng. Một trong số những người này được cho là Ryan Goldberg đến từ Watkinsville, Georgia, người làm quản lý sự cố tại công ty an ninh mạng Sygnia. Goldberg nói với FBI rằng Martin đã tuyển dụng anh ta để "thử tống tiền một số công ty".

Vào tháng 5 năm 2023, nhóm này đã tấn công mục tiêu đầu tiên, một công ty y tế có trụ sở tại Tampa, Florida. Nhóm đã cài đặt phần mềm BlackCat vào mạng lưới của công ty, mã hóa dữ liệu doanh nghiệp và đòi khoản tiền chuộc 10 triệu đô la để lấy khóa giải mã.

Cuối cùng, công ty bị tống tiền đã quyết định trả tiền—mặc dù chỉ là 1,27 triệu đô la. Số tiền được trả bằng tiền điện tử, một phần thuộc về các nhà phát triển của BlackCat và phần còn lại được chia cho Martin, Goldberg và một kẻ đồng mưu thứ ba chưa được nêu tên.

Tuy nhiên, thành công đó chỉ kéo dài trong thời gian ngắn. Trong suốt năm 2023, nhóm tống tiền này được cho là đã nhắm vào một công ty dược phẩm ở Maryland, một phòng khám bác sĩ và một công ty kỹ thuật ở California, cùng với một nhà sản xuất máy bay không người lái ở Virginia.

Số tiền chuộc được yêu cầu rất khác nhau: 5 triệu đô la, hoặc 1 triệu đô la, hoặc thậm chí chỉ 300.000 đô la.

Nhưng không ai khác trả tiền cả.

Đầu năm 2025, cuộc điều tra của FBI được đẩy mạnh, và Cục đã khám xét tài sản của Martin vào tháng Tư. Sau đó, Goldberg cho biết ông nhận được cuộc gọi từ thành viên thứ ba trong nhóm, người này đang "hoảng loạn" về cuộc đột kích vào nhà Martin. Đầu tháng Năm, Goldberg tìm kiếm trên mạng tên của Martin kèm theo cụm từ "doj.gov", rõ ràng là để tìm kiếm thông tin về cuộc điều tra.

Ngày 17 tháng 6, Goldberg cũng bị khám xét và các thiết bị của anh ta bị thu giữ. Anh ta đồng ý nói chuyện với các đặc vụ và ban đầu phủ nhận việc biết bất cứ điều gì về các cuộc tấn công bằng mã độc tống tiền, nhưng cuối cùng anh ta đã thú nhận sự liên quan của mình và chỉ ra Martin là kẻ cầm đầu. Goldberg nói với các đặc vụ rằng anh ta đã giúp thực hiện các cuộc tấn công để trả một số khoản nợ, và anh ta rất chán nản với ý nghĩ "phải vào tù liên bang suốt đời".