Một báo cáo đầy tính cách mạng vừa được Tổ chức Hành động Tài chính (FATF) công bố, nhằm trang bị cho các bên liên quan như các cơ quan thực thi pháp luật; Cơ quan quản lý; Nhà cung cấp dịch vụ tài sản ảo (VASPs) và các tổ chức tài chính những hiểu biết cần thiết để giải quyết các dòng tiền liên quan đến tấn công ransomware.
Ransomware là một dạng mã độc chuyên mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng trên không gian mạng. Để được trả lại quyền truy cập, người dùng phải trả cho tin tặc một khoản tiền nhất định, gọi là tiền chuộc. Ransomware còn được biết đến với tên gọi ‘phần mềm tống tiền hay mã độc tống tiền’. Trong khi đó FATF là cơ quan đặt tiêu chuẩn quốc tế cho công tác chống rửa tiền và ngăn chặn tài trợ khủng bố (AML/CFT) – vấn đề đã trở thành một trong những hình thức tội phạm mạng phát triển nhanh và gây nhiều ảnh hưởng nhất trong những năm gần đây.
Trọng tâm lời kêu gọi của FATF để chống lại ransomware nhằm làm sáng tỏ các dòng tiền phi pháp của các nhóm tin tặc đứng sau ransomware và các mạng lưới hỗ trợ của chúng, đặc biệt khi các dòng tiền này chủ yếu di chuyển trong thị trường tài sản số. Hiện tại các quy định mới ngày càng đòi hỏi các nhân viên pháp lý tại VASPs và các tổ chức tài chính phải hiểu được cách nhận dạng và quản lý rủi ro tội phạm tài chính liên quan đến ransomware.
Ransomware và rủi ro rửa tiền
Ransomware trở thành một nguồn thu đặc biệt hấp dẫn trong những năm gần đây khi các tin tặc đã tìm ra cách tấn công hiệu quả bằng hình thức này với hiệu suất ngày càng tăng. Chúng thường sử dụng kỹ thuật được gọi là Big Game Hunting (cuộc tấn công quy mô lớn) và thường xuyên tiến hành các cuộc tấn công vào các bệnh viện, cơ quan chính phủ, công ty năng lượng và cơ sở hạ tầng quan trọng để cố gắng thu về số tiền chuộc lớn nhất có thể.
Những năm gần đây, các nhóm tin tặc ransomware – phần lớn đến từ Nga cũng như các khu vực như Iran và Triều Tiên đã thu về hàng trăm triệu USD mỗi năm bằng cách yêu cầu tiền chuộc lớn từ các nạn nhân. Thủ phạm chính được xác định là các tổ chức ransomware tại Nga như DarkSide, Conti và Ryuk, cũng như Nhóm Lazarus đến từ Triều Tiên.
Tài sản số được xem đóng vai trò quan trọng trong sự gia tăng của các hoạt động ransomware. Gần như tất cả các khoản thanh toán tiền chuộc được thực hiện bằng Bitcoin và tiền mã hoá, cho phép tin tặc nhận tiền vào các ví không lưu ký ẩn danh, do không phải trải qua các quy trình KYC.
Sau khi nhận được Bitcoin hoặc tiền mã hoá, tin tặc ransomware sẽ cần chuyển đổi sang tiền fiat tại một sàn giao dịch tiền mã hoá hoặc các VASP. Do dữ liệu trên nền tảng blockchain thường minh bạch, dòng tiền từ những cuộc tấn công này có thể theo dõi được khi chúng cố gắng rửa tiền thông qua hệ sinh thái tiền mã hoá. Vì vậy nhân viên pháp lý của các sàn giao dịch có thể phát hiện các địa chỉ ví bị tình nghi sử dụng tiền bẩn và gắn cờ chúng. Đây là biện pháp mà FATF đã hướng dẫn chi tiết trong các báo cáo, và cũng được ghi chú trong thông báo của Mạng lưới thực thi tội phạm tài chính thuộc Bộ tài chính Mỹ (FinCEN) cho các doanh nghiệp tư nhân.
Một số cảnh báo đỏ và các hành vi rửa tiền quan trọng thường xuất hiện trong các vụ tấn công ransomware có thể kể đến như, tiền từ các cuộc tấn công ransomware được gửi đến các sàn giao dịch tiền mã hoá có quy trình AML/CFT yếu hoặc không có, cũng như được gửi đến các khu vực pháp lý có rủi ro cao. Ví dụ như sàn giao dịch Bitzlato có trụ sở tại Nga, được FinCEN xác định là mối lo lớn về rửa tiền trong phần 9714 của Luật chống rửa tiền Nga. Tin tặc cũng có thể gửi tiền thông qua các dịch vụ và giao thức trộn tiền mã hoá như TornadoCash, ChipMixer nhằm xóa dấu vết đường đi và nguồn gốc của tiền nhờ công nghệ blockchain.
Ngoài ra chúng còn triển khai hình thức rửa tiền “chain-hopping’, cố gắng che dấu hoạt động bằng cách gửi tiền qua dịch vụ tài chính phi tập trung (DeFi) như các cầu nối chuỗi chéo (Cross-chain) để đưa tiền qua nhiều nền tảng blockchain khác nhau như Bitcoin, Ethereum và một số blockchain khác.
Trong khi các sàn giao dịch tiền mã hóa đang chịu ảnh hưởng trực tiếp và là mục tiêu được tìm đến của các hoạt động rửa tiền, ngành ngân hàng và các tổ chức tài chính cũng phải cảnh giác về các rủi ro rửa tiền tinh vi mới.
Sau khi tin tặc ransomware đổi thành công tài sản số thành tiền tệ fiat, chúng sẽ cố gắng rửa tiền thông các quỹ tài chính thuộc hệ thống ngân hàng. Tuy nhiên bằng cách hiểu được các tín hiệu đỏ và hình thức rửa tiền quan trọng liên quan đến ransomware, các nhóm pháp lý ngành ngân hàng có thể phát hiện các hoạt động đáng ngờ một cách nhanh chóng.
Thách thức về tuân thủ các lệnh trừng phạt quốc tế của Mỹ
Ngoài những rủi ro liên quan đến rửa tiền, các hoạt động ransomware cũng đang tạo ra những rủi ro và thách thức về việc tuân thủ lệnh trừng phạt quốc tế của. Trong vòng 18 tháng qua, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Mỹ (OFAC) đã tập trung trừng phạt các hoạt động tấn công ransomware và các mạng lưới hỗ trợ của chúng, bằng cách đóng băng tài sản liên quan đến các địa chỉ ví của tin tặc. Các địa chỉ này thường được đưa vào danh sách ‘Các cá nhân bị chỉ định đặc biệt và Các bên bị chặn của OFAC’ (Danh sách SDN).
Vào tháng 10/2020, OFAC đưa ra hướng dẫn có tên “Ransomware and the Use of the Financial System to Facilitate Ransom Payments” và được cập nhật vào tháng 9/2021 nhằm giải thích, việc thanh toán hoặc tạo điều kiện thanh toán cho các khoản tiền chuộc có thể dẫn đến hành vi vi phạm lệnh trừng phạt nếu những khoản thanh toán đó có lợi cho một cá nhân hoặc lãnh thổ đang bị trừng phạt.
Từ tháng 9/2021 đến tháng 4/2022, OFAC đã trừng phạt ba sàn giao dịch tài sản số đăng ký tại Đông Âu gồm SUEX, Chatex và Garantex vì tội rửa tiền cho các nhóm tin tặc ransomware.
Đến tháng 4/2022, OFAC cũng trừng phạt thị trường Hydra Darknet, khi đã hỗ trợ hoạt động cho các nhóm tin tặc ransomware và các công ty liên quan trước khi bị lực lượng chức năng Đức đánh sập.
Gần đây vào tháng 2/2023, OFAC đã thực hiện một hành động phối hợp chung với Cơ quan Thực thi Xử phạt Tài chính của Vương quốc Anh (OFSI) để đánh sập một nhóm tin tặc ransomware khác. Cả OFAC và OFSI đều đã áp đặt lệnh trừng phạt đối với bảy công dân Nga được cho là liên quan đến các chiến dịch ransomware của nhóm Conti và Ryuk.
Hành động này đặt ra yêu cầu cho các VASP và tổ chức tài chính phải đảm bảo rằng họ không hỗ trợ thanh toán cho các nhóm tin tặc ransomware và các bên liên quan bị áp đặt lệnh trừng phạt.
Đối phó các rủi ro
Việc đối phó với các hoạt động ransomware một cách hiệu quả đồng thời tuân thủ các yêu cầu quy định là việc hoàn toàn có thể. Đội ngũ pháp lý tại các VASP và tổ chức tài chính có thể thực hiện các bước kiểm tra để đảm bảo họ định vị được các rủi ro và hoạt động đáng ngờ liên quan đến ransomware một cách hiệu quả.
Đội ngũ này cần được đào tạo về cách nhận biết loại hình và tín hiệu cảnh báo liên quan đến ransomware. Tiếp theo họ cần làm quen và nắm bắt các yêu cầu quy định đang phát triển và các thông báo mới liên quan đến ransomware, đặc biệt là yêu cầu trừng phạt của OFAC và nên đảm bảo chính sách và thủ tục của họ phản ánh những phát triển này.
Cuối cùng, đội ngũ tuân thủ tại các VASP và tổ chức tài chính nên sử dụng các giải pháp phân tích blockchain để phát hiện các tín hiệu cảnh báo và các chỉ số khác về rủi ro giao dịch tài sản mã hoá liên quan đến ransomware, bao gồm các giải pháp phân tích blockchain có khả năng xác định dòng tiền xuyên chuỗi – loại hình rửa tiền được các tin tặc ransomware ngày càng sử dụng nhiều.
Là một hình thức tội phạm mạng đang phát triển nhanh chóng, hoạt động ransomware đặt ra những thách thức pháp lý đáng kể. Tuy nhiên bằng cách thực hiện các bước trên, đội ngũ pháp lý có thể làm việc để quản lý rủi ro một cách hiệu quả.
