Bóc Trần Mã Độc Ransomware BlackBasta: Nguy Hiểm Bulletproof Hosting

Thế giới tội phạm mạng thường ẩn mình trong bóng tối, nhưng khi những thành viên nội bộ trở mặt, bức màn đó dần hé lộ. Vào tháng 2 năm 2025, một cá nhân với biệt danh ExploitWhispers đã xuất hiện trên Telegram và tiết lộ các thông tin liên lạc nội bộ từ nhóm mã độc ransomware BlackBasta. Sự việc này không chỉ làm rung chuyển cộng đồng tội phạm mạng mà còn cung cấp cái nhìn sâu sắc về cách thức hoạt động của các nhóm mã độc ransomware hiện đại.

Rò Rỉ Nội Bộ: Phơi Bày Hoạt Động Của Mã Độc Ransomware BlackBasta

Vụ rò rỉ đầu tiên bao gồm một tệp JSON chứa khoảng 200.000 tin nhắn, trải dài hơn một năm từ tháng 9 năm 2023 đến tháng 9 năm 2024. Những tin nhắn này hé lộ nhiều chi tiết quan trọng, bao gồm cả danh tính thật của các thành viên.

Trong số các thông tin bị phơi bày, đáng chú ý là Kirill Zatolokin, một nhân vật được biết đến trên các diễn đàn ngầm với biệt danh Slim Shady. Tiết lộ này đã khơi mào một chuỗi phản ứng, dần dần làm sáng tỏ toàn bộ mạng lưới hạ tầng tội phạm.

Giải Mã Hạ Tầng Ngầm: Yalishanda và Media Land

Vụ rò rỉ đầu tiên được tiếp nối bằng một vụ khác vào tháng 3 năm 2025. Một tác nhân không xác định đã công bố cơ sở dữ liệu liên quan đến Media Land, một doanh nghiệp Nga có vẻ hợp pháp trên bề mặt. Cơ sở dữ liệu này chứa cấu hình máy chủ, hồ sơ mua hàng của khách hàng, thông tin tài khoản người dùng và địa chỉ ví tiền điện tử.

Câu hỏi đặt ra là tại sao một công ty được cho là hợp pháp lại vướng vào các hoạt động mã độc ransomware? Câu trả lời rất rõ ràng và đầy tính buộc tội: Media Land thực chất là Yalishanda, một nhà cung cấp bulletproof hosting đã hoạt động từ cuối năm 2009. Yalishanda đóng vai trò xương sống quan trọng cho nhiều hoạt động tội phạm mạng.

Mối Liên Kết Giữa Các Thực Thể

Các nhà phân tích của Analyst1 đã xác định cách hai vụ rò rỉ này liên kết BlackBasta với hạ tầng hỗ trợ nó. Mối liên kết được trình bày chi tiết trong báo cáo Infrastructure in the Shadows. Hệ sinh thái tội phạm mạng vận hành theo nhiều lớp, nơi các nhóm mã độc ransomware phụ thuộc vào các dịch vụ bảo vệ, công ty vỏ bọc và nhà cung cấp hạ tầng thường được ngụy trang dưới danh nghĩa pháp nhân hợp pháp.

Yalishanda, dưới vỏ bọc hợp pháp của Media Land, đã cung cấp dịch vụ lưu trữ và hỗ trợ kỹ thuật, cho phép BlackBasta thực hiện các cuộc tấn công mà không bị can thiệp. Mối quan hệ này đại diện cho một chuỗi cung ứng tội phạm chuyên nghiệp, trong đó mỗi thành phần đóng một vai trò chuyên biệt, tạo nên một mối đe dọa mạng phức tạp và khó phát hiện.

Hoạt Động Của Bulletproof Hosting và Hỗ Trợ Kỹ Thuật

Các nhà cung cấp bulletproof hosting như Yalishanda tồn tại dựa trên một lời hứa duy nhất: họ bỏ qua các khiếu nại về lạm dụng. Đối với các nhà điều hành mã độc ransomware, điều này tạo ra một nơi trú ẩn an toàn, nơi các máy chủ command-and-control (C2), hạ tầng đánh cắp dữ liệu và cổng thanh toán có thể hoạt động không bị gián đoạn.

Yalishanda cung cấp một gói dịch vụ toàn diện bao gồm: lưu trữ máy chủ, đăng ký tên miền, hỗ trợ kỹ thuật, và quan trọng nhất là bảo vệ khỏi các yêu cầu gỡ xuống. Các cuộc trò chuyện bị rò rỉ của BlackBasta tiết lộ rằng nhóm này duy trì khoảng 200 máy chủ thông qua hạ tầng của Media Land.

Họ tiêu thụ từ 17 đến 20 gigabit mỗi giây băng thông và có kế hoạch mở rộng lên đến 50 gigabit mỗi giây. Thành viên REvil sử dụng biệt danh Unknown cũng đã tham gia vào một cuộc trò chuyện với đại diện của Yalishanda, cho thấy sự đa dạng trong đối tượng khách hàng của nhà cung cấp này.

Vai Trò Của Kirill Zatolokin

Zatolokin hoạt động như đầu mối liên hệ kỹ thuật chính giữa BlackBasta và Media Land. Anh ta điều phối các yêu cầu về hạ tầng thông qua tài khoản Telegram @ohyehhellno. Các tin nhắn từ các cuộc trò chuyện bị rò rỉ cho thấy anh ta cung cấp kết quả kiểm tra tốc độ, tính toán băng thông và các khuyến nghị nâng cấp.

Trong một cuộc trao đổi, Zatolokin mô tả các dịch vụ của Media Land đến từ một “trung tâm dữ liệu riêng tư” chứ không phải từ các mạng thuê ngoài. Điều này nhấn mạnh sự ưu tiên đặc biệt mà BlackBasta nhận được. Mức độ hỗ trợ hạ tầng chuyên biệt này chứng tỏ các nhóm mã độc ransomware hiện đại dựa vào các nhà cung cấp dịch vụ chuyên nghiệp thay vì tự quản lý các hoạt động kỹ thuật.

Cách tiếp cận này cho phép các nhóm tội phạm tập trung vào việc nhắm mục tiêu nạn nhân và mã hóa dữ liệu, đồng thời thuê ngoài sự phức tạp của việc duy trì hạ tầng kiên cường, chống lạm dụng. Đây là một khía cạnh quan trọng của an ninh mạng mà các tổ chức cần hiểu rõ.

Hậu Quả Pháp Lý và Các Biện Pháp Trừng Phép

Các vụ rò rỉ đã thúc đẩy hành động pháp lý nhanh chóng. Vào ngày 19 tháng 11 năm 2025, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ, phối hợp với các cơ quan chức năng ở Úc và Vương quốc Anh, đã áp đặt lệnh trừng phạt đối với Media Land và công ty con của nó, Data Center Kirishi.

Hai cá nhân phải đối mặt với hậu quả trực tiếp: Aleksandr Volosovik, giám đốc công ty, được biết đến trong giới tội phạm với biệt danh Yalishanda, và Kirill Zatolokin, người đã đóng vai trò tích cực trong việc hỗ trợ các hoạt động của BlackBasta. Volosovik đã tiếp thị hạ tầng cho các tác nhân đe dọa, trong khi Zatolokin xử lý hỗ trợ khách hàng và điều phối kỹ thuật dưới biệt danh Slim Shady.

Các Chỉ Số Nhận Dạng (IOCs)

Dựa trên các thông tin rò rỉ, các chỉ số nhận dạng sau đây có thể được sử dụng để theo dõi và phân tích các hoạt động liên quan:

• Nhóm Ransomware: BlackBasta
• Tên Công ty (vỏ bọc): Media Land
• Tên Công ty (thực tế/bulletproof hosting): Yalishanda
• Công ty Con: Data Center Kirishi
• Biệt danh/Tên cá nhân:
  • ExploitWhispers (người rò rỉ thông tin)
  • Kirill Zatolokin (Slim Shady, @ohyehhellno trên Telegram)
  • Aleksandr Volosovik (Yalishanda – biệt danh của giám đốc)
  • Unknown (thành viên REvil liên hệ với Yalishanda)