Cuộc chiến “lãnh thổ” giữa DragonForce và RansomHub – Khi nạn nhân bị tống tiền gấp đôi

Hai nhóm ransomware khét tiếng tại Nga đang cạnh tranh dữ dội, khiến doanh nghiệp trở thành mục tiêu của double extortion – bị đòi tiền chuộc hai lần. Sự hỗn loạn này khiến nguy cơ tấn công doanh nghiệp tăng vọt, đồng thời làm tăng áp lực trong các vụ đòi tiền chuộc.

Theo báo cáo của Financial Times, vụ việc bắt đầu từ tháng 3/2025 khi DragonForce tái định vị hình ảnh như một “cartel”, mở rộng dịch vụ để lôi kéo affiliate, và thậm chí chiếm đoạt trang Dark‑Web của RansomHub, để lại thông điệp “R.I.P 3/3/25” – hành động thù địch rõ ràng. Tuy nhiên, RansomHub đã phản công bằng việc deface trang của DragonForce, tố họ là “kẻ phản bội”.

Hai nhóm này vốn hợp tác trong hệ thống affiliate nay đã biến thành đối thủ gay gắt. Thay vì chia sẻ mục tiêu cùng nhau, chúng giờ sẵn sàng tấn công cùng một doanh nghiệp – tạo ra tình trạng double extortion, bị tống tiền hai lần. Trước đây, ransomware thường tuân thủ một “nguyên tắc sinh tồn” – không “khiêu chiến” quá mức để bảo vệ nguồn affiliate. Tuy nhiên, khi DragonForce và RansomHub sẵn sàng đánh nhau để độc quyền affiliate, doanh nghiệp trở thành người bị kẹp giữa hai băng nhóm. Có thể nói, doanh nghiệp giờ đây phải đối mặt với chiến lược “tấn công kép” chưa từng có.

Thiệt hại từ các cuộc tấn công không chỉ là phí chuộc mà còn là tổn thất vận hành. Điển hình nhất là Marks & Spencer (M&S): hệ thống bán hàng trực tuyến bị đóng băng gần 7 tuần, thiệt hại lên tới gần £300 triệu (tương đương $409 triệu), dẫn đến tình trạng thiếu hàng, chi phí logistics tăng cao.

Những tên tuổi lớn như Harrods, Co‑Op, Qantas cũng đã trở thành mục tiêu trong chiến dịch này. Mối đe dọa không còn là một nhóm tấn công nội bộ, mà là hai nhóm liên tiếp gây áp lực tài chính và phi tài chính, khiến nạn nhân rơi vào thế bị thao túng theo những tình huống không lường trước được.

Trước bối cảnh đó, doanh nghiệp cần áp dụng phòng thủ đa lớp: triển khai backup offline, segment hệ thống, EDR/XDR, và mô hình zero‑trust để giảm nguy cơ lan rộng. Đồng thời, thiết lập chính sách phục hồi dữ liệu và chuẩn bị kịch bản ứng phó đa kênh nếu bị tống tiền nhiều lần. Cuối cùng, thực hiện giám sát và threat intelligence chủ động là cần thiết để phát hiện dấu hiệu affiliate chuyển hướng mục tiêu.

Theo: VSEC tổng hợp