trước đây đã đề cập rằng công ty ứng phó sự cố DigitalMint của Hoa Kỳ có một nhà đàm phán tống tiền, người thu tiền lợi ích do tin tặc trả để giúp tin tặc tống tiền những nạn nhân đến tìm kiếm sự giúp đỡ. Mới đây, 2 đồng nghiệp khác của nhà đàm phán này cũng bị xét xử tại tòa vì tội nhận hối lộ. Những nhà đàm phán này thậm chí còn tham gia triển khai ransomware.
Angelo Martino 41 tuổi là một nhà đàm phán ransomware với công việc chính là đại diện cho khách hàng (nạn nhân) Khi liên hệ với các nhóm hack để đàm phán đòi tiền chuộc, mục đích của các nhà đàm phán lẽ ra là giúp khách hàng hạ giá tiền chuộc càng nhiều càng tốt để thu được lợi ích lớn hơn cho khách hàng. Tuy nhiên, những nhà đàm phán bị bắt này đã làm điều ngược lại và giúp hacker đòi số tiền chuộc cao hơn từ các nạn nhân.
Nhóm hacker đã trả tiền chuộc là Alphv/BlackCat khét tiếng. Nhóm hacker này chủ yếu sử dụng nhiều phương pháp khác nhau để đánh cắp dữ liệu bí mật của công ty và mã hóa nó, sau đó yêu cầu công ty nạn nhân phải trả một khoản tiền chuộc cao để lấy được khóa giải mã. Một số công ty phải nhờ tới sự trợ giúp từ các chuyên gia đàm phán để liên hệ với hacker nhằm giảm số tiền chuộc vì không có bản sao lưu dữ liệu.
Các chuyên gia đàm phán giúp tin tặc yêu cầu số tiền chuộc cao hơn:
Các tài liệu do Bộ Tư pháp Hoa Kỳ công bố cho thấy Martino và hai đồng nghiệp đã thương lượng với tin tặc thay mặt cho ít nhất 5 công ty nạn nhân và cả 5 công ty đều trả phí tư vấn cho DigitalMint (Lưu ý: Phí tư vấn dành cho công ty đàm phán, còn tiền chuộc dành cho hacker).
Trong số đó: một công ty khách sạn buộc phải trả số tiền chuộc 16,484 triệu USD, một tổ chức phi lợi nhuận buộc phải trả số tiền chuộc 26,8 triệu USD, một công ty dịch vụ tài chính buộc phải trả số tiền chuộc 25,6 triệu USD, một công ty bán lẻ buộc phải trả số tiền chuộc 6,1 triệu USD và một công ty chăm sóc sức khỏe buộc phải trả số tiền chuộc 25,6 triệu USD. 213.000 USD.
Quy trình thông thường là người đàm phán tính phí tư vấn và sau đó thay mặt công ty nạn nhân thương lượng với tin tặc để giảm số tiền chuộc. Trong quá trình thực tế, Martino và đồng phạm đã tiết lộ thông tin bí mật nội bộ của công ty nạn nhân cho tin tặc và tin tặc yêu cầu các khoản tiền chuộc với nhiều mức giá khác nhau dựa trên thông tin bí mật này.
Thông tin bí mật này chủ yếu bao gồm giới hạn chính sách bảo hiểm mạng của công ty nạn nhân và chi tiết thanh toán tiền chuộc trong công ty. Sau khi hacker có được thông tin này, hắn thực sự đòi tiền chuộc theo giới hạn chính sách. Đối với công ty nạn nhân, những khoản tiền chuộc này cuối cùng sẽ được công ty bảo hiểm trả.
Tất nhiên, một số giới hạn chính sách có thể không đủ để chi trả cho số tiền chuộc thực tế mà tin tặc yêu cầu. Trong trường hợp này, tin tặc dựa vào các nhà đàm phán để đạt được sự sẵn lòng và giới hạn trên có thể có của khoản thanh toán tiền chuộc trong công ty, sau đó yêu cầu khoản tiền chuộc dưới giới hạn trên mà công ty có thể chấp nhận được.
Tôi nên làm gì nếu không có khách hàng? Các nhà đàm phán tìm mục tiêu để triển khai ransomware:
Điều sốc hơn nữa là Martino và đồng bọn thậm chí còn chủ động tìm kiếm khách hàng, tức là những người này trở thành nhà phân phối hạ nguồn của BlackCat ransomware. Trong khi tính phí tư vấn bằng cách triển khai ransomware cho khách hàng mục tiêu, họ cũng nhận được một phần tiền chuộc.
Bộ Tư pháp Hoa Kỳ tuyên bố trong các tài liệu công khai rằng nhóm nhỏ này đã tiến hành các cuộc tấn công vào nhiều công ty để triển khai ransomware từ tháng 4 đến tháng 11 năm 2023. Thực tế đã có 5 cuộc tấn công thành công và số tiền chuộc yêu cầu vượt quá 16 triệu USD.
Tất nhiên, không phải nạn nhân nào cũng sẵn sàng trả tiền chuộc. Bộ Tư pháp Hoa Kỳ chỉ đề cập rằng một công ty thiết bị y tế cuối cùng đã trả tiền chuộc để đổi lấy chìa khóa. Khoản tiền chuộc này khiến nhóm nhỏ thu lợi bất hợp pháp 1,274 triệu USD, nhưng Bộ Tư pháp Hoa Kỳ không công bố liệu 4 công ty còn lại có trả tiền chuộc hay không.
Công ty không phát hiện ra những thủ đoạn này:
Điều đáng chú ý là DigitalMint đã không phát hiện được bất kỳ hành vi bất hợp pháp nào của Martino và các cộng sự của anh ta, cho dù đó là rò rỉ thông tin khách hàng để giúp tin tặc đòi tiền chuộc cao hơn hay trực tiếp tham gia triển khai ransomware. Công ty đã không biết về vụ việc cho đến khi được Bộ Tư pháp Hoa Kỳ thông báo, lúc đó những người đàm phán về ransomware đã bị các cơ quan thực thi pháp luật bắt giữ. DigitalMint ngay lập tức sa thải các cá nhân này và cho biết họ không biết gì về vụ việc. Đánh giá từ cuộc điều tra hiện tại, DigitalMint thực sự không hề biết và không tham gia vào các hành động bất hợp pháp này. Tuy nhiên, với tư cách là một công ty ứng phó sự cố trong lĩnh vực an ninh, những sơ hở nội bộ lớn như vậy thực sự khiến người ta nghi ngờ năng lực thực tế của công ty.
Cuối cùng, Martino và đồng bọn sẽ phải hầu tòa vào ngày 30 tháng 4 năm 2026. Theo luật liên quan, Martino sẽ phải đối mặt với mức án ít nhất 10 năm tù và ước tính 10 triệu USD tài sản bị tịch thu sẽ phải được bồi thường.