Cơ quan thực thi pháp luật châu Âu vừa phối hợp cùng nhiều quốc gia mở đợt truy quét quy mô lớn mang tên Operation Endgame. Đây được xem là một trong những chiến dịch chống tội phạm mạng lớn nhất năm 2025, hướng thẳng vào hạ tầng của ba dòng mã độc đang gây thiệt hại nặng nề trên toàn thế giới: Rhadamanthys, VenomRAT và Elysium.
Trong chiến dịch này, các lực lượng phối hợp đã vô hiệu hóa hơn 1.000 máy chủ điều khiển và đóng băng hàng loạt tên miền phục vụ tội phạm mạng. Kết quả này không chỉ cắt đứt kênh hoạt động của nhiều nhóm tin tặc, mà còn ngăn chặn nguy cơ lan rộng của những đợt tấn công chiếm đoạt dữ liệu, tài khoản đăng nhập và ví tiền điện tử.
Operation Endgame lần này có sự tham gia của lực lượng cảnh sát và công tố từ 11 quốc gia, trải dài từ Australia, Canada, Đan Mạch cho tới Pháp, Đức, Hy Lạp, Litva, Hà Lan, Anh và Mỹ.
Trung tâm chỉ huy đặt tại Europol quy tụ hơn 100 sĩ quan làm việc liên tục trong nhiều ngày, chia sẻ dữ liệu máy chủ bị thu giữ, phân tích luồng tiền và xác định vai trò của các nghi phạm. Eurojust hỗ trợ về mặt pháp lý, bao gồm phát hành Lệnh bắt giữ châu Âu và điều phối lệnh khám xét xuyên biên giới.
Bên cạnh các lực lượng chức năng nhà nước, nhiều tổ chức an ninh mạng quốc tế cũng đóng vai trò quan trọng như: Shadowserver, Cryptolaemus, SpyCloud, CrowdStrike, Proofpoint, Lumen, Abuse.ch, Spamhaus, Bitdefender... đã cùng tham gia.
Các đội ngũ chuyên gia này hỗ trợ kỹ thuật như phân tích mã độc, theo dõi giao dịch, thu thập hạ tầng máy chủ và thực hiện sinkhole (chuyển hướng máy tính nhiễm malware sang máy chủ do lực lượng chức năng kiểm soát để vô hiệu hóa hoạt động của chúng).
Một đối tượng được coi là “nhân vật chủ chốt” trong mạng VenomRAT đã bị bắt tại Hy Lạp, góp phần làm suy yếu đáng kể chuỗi cung ứng của dòng mã độc này. Nhiều máy chủ điều khiển (C2) nằm tại châu Âu và Bắc Mỹ bị tịch thu, khiến các chiến dịch tấn công phụ thuộc vào chúng gần như tê liệt ngay lập tức.
Dù đạt kết quả lớn, các chuyên gia cảnh báo rằng cuộc chiến còn lâu mới kết thúc. Những nền tảng tội phạm theo mô hình “malware-as-a-service” có thể được tái lập nhanh chóng khi kẻ tấn công thay đổi tên miền, mua hạ tầng mới hoặc cập nhật lại mã độc.
Thành công của Operation Endgame 3.0 cho thấy sức mạnh của sự hợp tác quốc tế, khi nhiều quốc gia và doanh nghiệp an ninh mạng cùng lúc tấn công vào hạ tầng kỹ thuật, tội phạm mạng mất đi thời gian, nguồn lực và cả lợi nhuận. Các chuyên gia an ninh mạng đồng loạt khuyến cáo người dùng nên tự kiểm tra xem dữ liệu của mình có bị rò rỉ hay không thông qua các trang uy tín.
Với các doanh nghiệp, việc tăng cường kiểm soát truy cập, quét mã độc định kỳ và huấn luyện nhân viên nhận diện email giả mạo vẫn là biện pháp quan trọng để tránh trở thành nạn nhân.
Chiến dịch lần này không chỉ dừng lại ở việc triệt phá vài hạ tầng malware, mà còn mang ý nghĩa lớn hơn, đó là nỗ lực bóc gỡ tầng dịch vụ nền tảng của tội phạm mạng – nơi các công cụ trộm dữ liệu, điều khiển từ xa và mạng botnet hỗ trợ cho các cuộc tấn công ransomware toàn cầu. Khi những mắt xích cốt lõi bị phá vỡ, chuỗi tội phạm phía sau cũng bị suy yếu đáng kể.
Trong chiến dịch này, các lực lượng phối hợp đã vô hiệu hóa hơn 1.000 máy chủ điều khiển và đóng băng hàng loạt tên miền phục vụ tội phạm mạng. Kết quả này không chỉ cắt đứt kênh hoạt động của nhiều nhóm tin tặc, mà còn ngăn chặn nguy cơ lan rộng của những đợt tấn công chiếm đoạt dữ liệu, tài khoản đăng nhập và ví tiền điện tử.
- Rhadamanthys là một loại phần mềm đánh cắp thông tin (infostealer) chuyên thu thập thông tin đăng nhập, cookie trình duyệt và dữ liệu ví tiền điện tử. Chỉ riêng dòng mã độc này đã giúp kẻ vận hành có được quyền truy cập vào hơn 100.000 ví tiền mã hóa, với giá trị ước tính lên tới hàng triệu euro.
- VenomRAT cho phép tin tặc điều khiển máy tính từ xa để do thám, cài thêm mã độc hoặc triển khai tấn công tống tiền.
- Elysium hoạt động như một mạng botnet, tận dụng hàng nghìn máy tính bị nhiễm để thực hiện tấn công từ chối dịch vụ (DDoS) hoặc phát tán thư rác trên diện rộng.
Trung tâm chỉ huy đặt tại Europol quy tụ hơn 100 sĩ quan làm việc liên tục trong nhiều ngày, chia sẻ dữ liệu máy chủ bị thu giữ, phân tích luồng tiền và xác định vai trò của các nghi phạm. Eurojust hỗ trợ về mặt pháp lý, bao gồm phát hành Lệnh bắt giữ châu Âu và điều phối lệnh khám xét xuyên biên giới.
Bên cạnh các lực lượng chức năng nhà nước, nhiều tổ chức an ninh mạng quốc tế cũng đóng vai trò quan trọng như: Shadowserver, Cryptolaemus, SpyCloud, CrowdStrike, Proofpoint, Lumen, Abuse.ch, Spamhaus, Bitdefender... đã cùng tham gia.
Các đội ngũ chuyên gia này hỗ trợ kỹ thuật như phân tích mã độc, theo dõi giao dịch, thu thập hạ tầng máy chủ và thực hiện sinkhole (chuyển hướng máy tính nhiễm malware sang máy chủ do lực lượng chức năng kiểm soát để vô hiệu hóa hoạt động của chúng).
Một đối tượng được coi là “nhân vật chủ chốt” trong mạng VenomRAT đã bị bắt tại Hy Lạp, góp phần làm suy yếu đáng kể chuỗi cung ứng của dòng mã độc này. Nhiều máy chủ điều khiển (C2) nằm tại châu Âu và Bắc Mỹ bị tịch thu, khiến các chiến dịch tấn công phụ thuộc vào chúng gần như tê liệt ngay lập tức.
Dù đạt kết quả lớn, các chuyên gia cảnh báo rằng cuộc chiến còn lâu mới kết thúc. Những nền tảng tội phạm theo mô hình “malware-as-a-service” có thể được tái lập nhanh chóng khi kẻ tấn công thay đổi tên miền, mua hạ tầng mới hoặc cập nhật lại mã độc.
Thành công của Operation Endgame 3.0 cho thấy sức mạnh của sự hợp tác quốc tế, khi nhiều quốc gia và doanh nghiệp an ninh mạng cùng lúc tấn công vào hạ tầng kỹ thuật, tội phạm mạng mất đi thời gian, nguồn lực và cả lợi nhuận. Các chuyên gia an ninh mạng đồng loạt khuyến cáo người dùng nên tự kiểm tra xem dữ liệu của mình có bị rò rỉ hay không thông qua các trang uy tín.
Với các doanh nghiệp, việc tăng cường kiểm soát truy cập, quét mã độc định kỳ và huấn luyện nhân viên nhận diện email giả mạo vẫn là biện pháp quan trọng để tránh trở thành nạn nhân.
Chiến dịch lần này không chỉ dừng lại ở việc triệt phá vài hạ tầng malware, mà còn mang ý nghĩa lớn hơn, đó là nỗ lực bóc gỡ tầng dịch vụ nền tảng của tội phạm mạng – nơi các công cụ trộm dữ liệu, điều khiển từ xa và mạng botnet hỗ trợ cho các cuộc tấn công ransomware toàn cầu. Khi những mắt xích cốt lõi bị phá vỡ, chuỗi tội phạm phía sau cũng bị suy yếu đáng kể.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
