Huy hiệu, Byte và Tống tiền

Giới thiệu: Một góc nhìn về cuộc chiến chống tội phạm mạng đang phân tán

Sự tinh vi và đa dạng ngày càng tăng của tội phạm mạng đã buộc các cơ quan thực thi pháp luật trên toàn thế giới phải ứng phó thông qua các hành động ngày càng phối hợp và công khai. Tuy nhiên, bất chấp tính hiển hiện của các hoạt động này, theo hiểu biết của chúng tôi, vẫn chưa có cái nhìn tổng thể toàn diện về cách các cơ quan thực thi pháp luật đang giải quyết tội phạm mạng trên toàn cầu. Thông tin công khai bị phân tán khắp các cơ quan, khu vực pháp lý, báo cáo cụ thể về từng trường hợp (ví dụ: "Operation Endgame")^[1] và các định dạng báo cáo, đưa ra những hiểu biết rời rạc thay vì một sự hiểu biết gắn kết về các loại tội phạm đang được nhắm mục tiêu, các hành động được thực hiện và những kẻ phạm tội là ai. Điều này dẫn đến những cái nhìn cô lập thay vì một bức tranh toàn cầu nhất quán. Do đó, theo hiểu biết của chúng tôi, không có bản tóm tắt công khai nào tổng hợp một cách có hệ thống thông tin về các hành động của cơ quan thực thi pháp luật.

Để giải quyết khoảng trống này, phân tích này giới thiệu một bộ dữ liệu được xây dựng một cách có hệ thống gồm 418 hoạt động thực thi pháp luật được công bố công khai, thực hiện từ năm 2021 đến giữa năm 2025. Dữ liệu được thu thập bởi các nhóm tình báo của Orange Cyberdefense, những người liên tục giám sát và đánh giá các mối đe dọa không gian mạng để xác định các xu hướng mới nổi và sự phát triển của các sự cố mạng.

Trong bộ dữ liệu của chúng tôi, mỗi mục đại diện cho một hành động thực thi pháp luật đã được xác minh được thu thập từ các thông báo chính thức và báo cáo truyền thông, sau đó được nhóm Orange Cyberdefense Security Research Center làm giàu thủ công bằng cách đối chiếu từng mục để bao gồm các chi tiết ngữ cảnh và nhân khẩu học khi có sẵn.

Một trọng tâm chính nằm ở loại hành động thực thi pháp luật được thực hiện, chẳng hạn như bắt giữ, dẫn độ, gỡ bỏ các nền tảng bất hợp pháp, tịch thu hoặc trừng phạt. Loại hoạt động bất hợp pháp cũng được ghi lại bằng cách ghi chú loại hoạt động mà hành động thực thi pháp luật đã giải quyết, ví dụ: Hacking, Distributed Denial of Service (DDoS) Attack, IT Worker Fraud, hoặc Cyber Extortion, và sau đó được dịch sang hành vi phạm tội thực tế của các cuộc tấn công đó.

Những hành vi phạm tội nào đã được giải quyết?

Dữ liệu cho thấy Extortion (bao gồm cả ransomware) là hành vi phạm tội được giải quyết nhiều nhất, tiếp theo sát là Installation or Distribution of Malicious Software (Malware) và Unauthorized Access or Intrusion (Hacking). Cùng nhau, ba loại này chiếm ưu thế và minh họa sự tập trung liên tục của cơ quan thực thi pháp luật vào các hoạt động Cyber Extortion và các cuộc xâm nhập kỹ thuật cho phép chúng.

Các hành vi phạm tội nổi bật khác, bao gồm Unauthorized Access for Espionage (Cyber Espionage), Provision of Criminal Infrastructure (Dark Web Marketplace / Sites or Infrastructure and Hosting Services) và Deceptive Acquisition of Financial Assets (Fraud), cho thấy rằng các nhà chức trách cũng đang nhắm mục tiêu vào những kẻ hỗ trợ và tạo điều kiện cho tội phạm mạng. Mặc dù ít thường xuyên hơn, các hành vi phạm tội như Data/ Information Trafficking (Selling Stolen Goods (Data)), Use of Cryptocurrency to Conceal or Facilitate Crime (Cryptocurrency Misuse) và Concealment of Criminal Proceeds via ICT (Money Laundering) phản ánh sự chú ý ngày càng tăng của cơ quan thực thi pháp luật đối với các giao dịch tài chính và cơ chế rửa tiền làm nền tảng cho các hoạt động mạng.

Mặc dù lợi ích tài chính vẫn là động lực chính của các hành vi phạm tội mạng^[2,3,4], ranh giới giữa các động cơ ngày càng trở nên mờ nhạt, trong một số trường hợp thay đổi để ứng phó với các sự kiện địa chính trị, như chúng tôi đã liên tục báo cáo trong hai năm qua^[5,6]. Các hoạt động ban đầu được coi là động cơ tài chính có thể nhanh chóng mang các khía cạnh chính trị hoặc ý thức hệ. Những ranh giới linh hoạt này minh họa cách các động cơ tài chính, chính trị và nhận thức ngày càng tồn tại song song, thách thức những phân biệt truyền thống giữa hoạt động mạng tội phạm và hoạt động mạng có tính ý thức hệ.

Những hành động nào đã được cơ quan thực thi pháp luật thực hiện?

Bắt giữ chiếm tỷ lệ lớn nhất (29%) trong các hành động thực thi pháp luật, minh họa sự tập trung liên tục của cơ quan thực thi pháp luật vào trách nhiệm cá nhân và truy tố. Takedowns (17%) và Charges (14%) cho thấy sự nhấn mạnh mạnh mẽ vào việc phá vỡ các mạng lưới hoạt động và đưa những kẻ phạm tội ra trước công lý, và cùng nhau đại diện cho gần một phần ba tổng số hoạt động. Các biện pháp bổ sung như Sentences (11%), Sanctions (7%) và Seizures (4%) cho thấy cơ quan thực thi pháp luật đang giải quyết cả những kẻ phạm tội và cơ sở hạ tầng kinh tế duy trì hoạt động của chúng. Cụ thể, các lệnh trừng phạt đã cho thấy sự gia tăng ổn định trong những năm gần đây và phản ánh việc sử dụng ngày càng tăng các cơ chế thực thi phi truyền thống để đưa các công cụ kinh tế và ngoại giao vào kho vũ khí của cơ quan thực thi pháp luật.

Các hành động như investigations, wanted notices và extraditions thể hiện sự hợp tác xuyên biên giới và chiều sâu thủ tục đằng sau mỗi nỗ lực thực thi pháp luật được công bố. Wanted notices đại diện cho một biện pháp thực thi không cưỡng chế tập trung vào việc nhận dạng và truy đuổi công khai. Chúng thu hẹp khoảng cách giữa investigation và arrest bằng cách tạo điều kiện phối hợp xuyên biên giới và duy trì áp lực lên các nghi phạm. Thông qua public attribution, chúng cũng phục vụ chức năng răn đe, báo hiệu khả năng và phạm vi tiếp cận của cơ quan thực thi pháp luật ngay cả khi không thể bắt giữ trực tiếp ngay lập tức.

Nếu chúng ta kết hợp dữ liệu hiển thị loại hoạt động bất hợp pháp được giải quyết với loại hành động thực thi pháp luật, chúng ta có thể thấy rằng Arrests chiếm ưu thế trên gần như tất cả các loại tội phạm, đặc biệt là Cyber Extortion (22) và Hacking (19).

Charges và Sentences là những phản hồi thường xuyên tiếp theo, cho thấy nhiều trường hợp tiến triển qua quy trình tư pháp. Cyber Extortion, Malware, Hacking và Cyber Espionage thu hút phạm vi phản ứng đa dạng nhất (bao gồm arrests, charges, sentences và sanctions).

Takedowns có liên quan chặt chẽ với các trang web hoặc marketplace trên Dark Web^[7,8,9] và cơ sở hạ tầng Malware^[10,11,12], điều này có ý nghĩa do logic hoạt động đằng sau các hành động như vậy. Các hoạt động này thường liên quan đến việc phối hợp tháo dỡ cơ sở hạ tầng trực tuyến, chẳng hạn như máy chủ, tên miền hoặc nền tảng truyền thông cho phép hoạt động tội phạm. Trong trường hợp Dark Web Marketplaces, takedowns thường bao gồm tịch thu máy chủ, bắt giữ quản trị viên và thay thế các trang đích của trang web bằng các biểu ngữ của cơ quan thực thi pháp luật, báo hiệu sự kiểm soát và răn đe. Sanctions dường như chủ yếu gắn liền với Cyber Espionage và các hoạt động do nhà nước tài trợ, phản ánh các hành động cấp chính phủ hơn là giải quyết các cá nhân.

Những tổ chức hàng đầu trong thực thi pháp luật là ai?

Vai trò lãnh đạo toàn cầu của Hoa Kỳ trong thực thi pháp luật không gian mạng được thể hiện qua việc nước này được liệt kê là bên tham gia chính trong gần một nửa số hành động (45%).

Cụm thứ hai, gồm Đức, Vương quốc Anh, Nga, Ukraine, Hà Lan, Tây Ban Nha và Pháp, đại diện cho cốt lõi của năng lực thực thi không gian mạng toàn cầu bên ngoài Hoa Kỳ. Sự tham gia tích cực của các quốc gia thành viên EU vào các hoạt động do Europol và Eurojust tạo điều kiện cho thấy sự nhấn mạnh của Liên minh vào một cách tiếp cận thực thi chung, xuyên biên giới.

Sự hiện diện của Nga và Ukraine gần đầu danh sách này đáng chú ý. Các quốc gia này thường là mục tiêu của các hành động thực thi pháp luật toàn cầu nhưng cũng tiến hành các vụ truy tố trong nước và các hoạt động chống tội phạm mạng của riêng mình, thường liên quan đến các trường hợp nhạy cảm về chính trị. Các mục như International và European Countries phản ánh vai trò của các lực lượng đặc nhiệm đa quốc gia nơi sự phân công lãnh đạo được chia sẻ. Những hoạt động này bao gồm các vụ takedowns do Europol điều phối, các hoạt động của Interpol và sự hợp tác của Five Eyes. Trong một số trường hợp, các thông báo của cơ quan thực thi pháp luật không đi vào chi tiết và chỉ mô tả các hành động đa quốc gia này của các quốc gia châu Âu hoặc quốc tế; bất cứ khi nào các quốc gia được liệt kê riêng, chúng đều được ghi lại như vậy trong dữ liệu của chúng tôi.

Sự phân bố của các cơ quan chức năng quốc gia tham gia tự nhiên phản ánh các mô hình địa lý tương tự được quan sát trong phân tích cấp quốc gia.

Một nghiên cứu về 20 tổ chức hàng đầu tham gia vào các hành động thực thi pháp luật được báo cáo cho thấy sự thống trị rõ ràng của các cơ quan Hoa Kỳ. Bộ Tư pháp Hoa Kỳ (DOJ) và Cục Điều tra Liên bang (FBI) dẫn đầu với biên độ rộng, tiếp theo là các tổ chức tư nhân, xuất hiện như một tác nhân hỗ trợ chính trong các nỗ lực phá vỡ tội phạm mạng. Sự hiện diện của OFAC^[13] minh họa thêm sự tích hợp các công cụ tài chính và chính trị vào các phản ứng tội phạm mạng.

Sự đại diện mạnh mẽ của các tổ chức tư nhân trong số các thực thể hỗ trợ đặc biệt đáng chú ý. Trong bộ dữ liệu này, các tổ chức tư nhân xếp trong số ba bên tham gia được nhắc đến thường xuyên nhất. Trong số 169 tổ chức được phân tích, 74 thực thể tư nhân khác nhau được xác định là hỗ trợ các nỗ lực theo cách này hay cách khác. Đây là một chỉ số quan trọng về quy mô hợp tác công-tư ngày càng mở rộng, minh họa tầm quan trọng ngày càng tăng của nó trong cuộc chiến chống tội phạm mạng.

Các kiểu loại tội phạm mạng nói chung và theo nhóm tuổi

Sự phân bố giữa các đối tượng tham gia hoạt động tội phạm mạng theo nhóm tuổi cho thấy sự thay đổi đáng kể về các loại tội phạm trong suốt vòng đời.

Điều đáng chú ý là một số nhóm tuổi được đại diện bởi rất ít trường hợp, hạn chế khả năng giải thích. Trong bộ dữ liệu của chúng tôi (n=193 tội phạm với dữ liệu tuổi đã xác minh), nhóm tuổi 35-44 chiếm 37%, tiếp theo là 25-34 tuổi (30%) và 18-24 tuổi (21%), cùng nhau đại diện cho gần 90% tổng số tội phạm được xác định. Ngược lại, các nhóm tuổi trẻ hơn (12-17 tuổi) và lớn hơn (55 tuổi trở lên) mỗi nhóm chiếm chưa đến 5% số trường hợp, khiến việc phân tích thống kê các danh mục đó ít có ý nghĩa hơn. Đặc biệt đối với những người từ 12-17 tuổi trở xuống, điều đáng chú ý là những người phạm tội trẻ tuổi có khả năng bị thiếu đại diện, vì trẻ vị thành niên thường được bảo vệ khỏi việc truy tố và tiết lộ công khai theo các khuôn khổ pháp lý quốc gia, hạn chế khả năng hiển thị của họ trong báo cáo thực thi pháp luật.

Theo đó, chúng tôi sẽ tập trung chủ yếu vào ba nhóm tuổi cốt lõi (18-24, 25-34 và 35-44 tuổi), nơi sự đại diện của tội phạm là mạnh mẽ nhất.

Trong số những người trẻ tuổi (18-24 tuổi), tội phạm mạng xuất hiện rất đa dạng nhưng chủ yếu tập trung vào kỹ thuật. Hacking rõ ràng chiếm ưu thế trong nhóm này (30%), tiếp theo là Selling Stolen Goods (data) và các cuộc tấn công DDoS (mỗi loại 10%), các hoạt động thường dựa vào kỹ năng kỹ thuật và có thể phục vụ mục đích danh tiếng hoặc khám phá hơn là lợi ích tài chính trực tiếp. Một cụm tội phạm thứ cấp gồm Malware, Fraud, Telecom fraud, hoạt động Dark Web Marketplace và Cyber Extortion (mỗi loại 8%) minh họa tính chất thử nghiệm và đa diện của sự tham gia của nhóm tuổi này vào tội phạm mạng.

Một sự thay đổi trở nên rõ ràng trong số những người phạm tội từ 25-34 tuổi, nơi các hoạt động như Selling Stolen Goods (Data) (21%), Cyber Extortion (14%) và triển khai Malware (12%) chiếm ưu thế. Điều này có thể cho thấy một sự chuyển dịch sang các hoạt động có động cơ lợi nhuận trong số các đối tượng ở độ tuổi này.

Xu hướng này tăng cường với nhóm 35-44 tuổi, đây là nhóm lớn nhất trong bộ dữ liệu này cho thấy sự đa dạng cao nhất về các loại. Trong nhóm này, Cyber Extortion (22%) là hành vi phạm tội chiếm ưu thế, tiếp theo là Malware (19%), Cyber Espionage (13%), Hacking (10%) và Money Laundering (7%). Cùng nhau, các danh mục này chiếm phần lớn các hoạt động do nhóm tuổi này thực hiện, có khả năng cho thấy sự tập trung vào các hành động có tác động lớn, mang ý nghĩa tài chính và chính trị.

Quốc tịch

Quốc tịch của tội phạm được tiết lộ trong 365 trường hợp. Bộ dữ liệu chứa các tội phạm từ 64 quốc tịch khác nhau, cho thấy sự phân bố địa lý và văn hóa rộng lớn. Mặc dù quốc tịch có thể cung cấp cái nhìn sâu sắc có giá trị về bối cảnh địa lý và xã hội chính trị của tội phạm, nó chỉ cung cấp một cái nhìn một phần trong một không gian kỹ thuật số được kết nối.

Với tính chất xuyên quốc gia của internet và bản sắc phức tạp, linh hoạt của các đối tượng hoạt động trên các khu vực pháp lý, quốc tịch đơn thuần không thể mô tả đáng tin cậy nguồn gốc hoặc sự liên kết thực sự của các nhà khai thác mạng.

Sự phân bố bị lệch nặng về một số ít quốc gia. Công dân Nga chiếm ưu thế trong bộ dữ liệu, với 85 cá nhân (23%), tiếp theo là người Mỹ (11%), người Trung Quốc (11%), người Ukraine (9%) và người Triều Tiên (5%). Cùng nhau, năm quốc tịch này đại diện cho hơn một nửa số trường hợp (58%). Đáng chú ý, một lời giải thích cho số lượng tội phạm Mỹ tương đối cao có thể được giải thích bởi sự thiên vị về quyền tài phán và báo cáo: các nhà chức trách Hoa Kỳ thực hiện và công khai nhiều vụ truy tố tội phạm mạng hơn hầu hết các quốc gia khác, làm cho các trường hợp của Mỹ dễ thấy hơn trong dữ liệu mở.

Những kẻ phạm tội quốc tịch Anh (n=17) cũng đại diện cho một phần đáng kể những người đóng góp. Sự tham gia của các quốc gia phương Tây cho thấy hai điều: những nỗ lực liên tục và sự minh bạch mà họ cung cấp, đồng thời, các hoạt động mạng và các hành vi phạm tội liên quan không chỉ giới hạn ở các quốc gia thường bị liên lụy trong hoạt động tội phạm mạng. Một lời giải thích có thể là chúng ta đang thấy một xu hướng hướng tới nhiều tác nhân đe dọa nội địa có trụ sở tại châu Âu, Vương quốc Anh và Bắc Mỹ, và do đó nói tiếng Anh, như một bài báo gần đây đã chỉ ra^[14].

Ngoài năm quốc tịch hàng đầu, những kẻ phạm tội đại diện cho nhiều quốc tịch khác, bao gồm Hà Lan, Pháp, Đức, Canada, Úc, Singapore và nhiều quốc gia khác. Tuy nhiên, chúng ta cần lưu ý rằng sự đại diện số lượng thấp không nhất thiết tương ứng với mức độ hoạt động thấp hơn, mà thay vào đó có thể phản ánh sự khác biệt trong việc phát hiện, phơi bày hoặc quy kết.

Những điểm chính

Tổng hợp lại, những phát hiện này cung cấp một cái nhìn kép về cuộc chiến chống tội phạm mạng, kiểm tra cả những kẻ phạm tội và các tác nhân thực thi pháp luật đang nỗ lực chống lại chúng.

Về phía tội phạm, dữ liệu nêu bật những bất đối xứng dai dẳng. Đại đa số tội phạm được xác định là nam giới, phản ánh các xu hướng được quan sát rộng rãi trong nghiên cứu tội phạm mạng. Dữ liệu độ tuổi cho thấy tội phạm mạng tập trung ở những người trưởng thành từ giữa 20 đến giữa 40 tuổi, với tương đối ít trường hợp liên quan đến những cá nhân trẻ hơn hoặc lớn tuổi hơn. Các loại tội phạm thay đổi theo các nhóm tuổi này, với những tội phạm trẻ hơn thường tham gia vào các hoạt động kỹ thuật và khám phá như Hacking và tấn công DDoS, trong khi các nhóm lớn tuổi hơn thường xuyên tham gia vào các hoạt động có động cơ lợi nhuận hoặc phức tạp như Cyber Extortion, trộm cắp dữ liệu và triển khai Malware.

Dữ liệu quốc tịch cho thấy sự tập trung mạnh mẽ trong một vài nhóm, với riêng công dân Nga chiếm gần một phần tư số trường hợp. Mặc dù quốc tịch không thể mô tả đầy đủ nguồn gốc của tội phạm mạng trong một không gian kỹ thuật số được kết nối, nó cung cấp cái nhìn sâu sắc hữu ích về bối cảnh xã hội chính trị và khu vực mà tội phạm hoạt động. Các loại hành vi phạm tội thường xuyên nhất bị truy tố như Cyber-enabled financial crime, Extortion và Ransomware, và Unauthorized Access, cho thấy hầu hết các hoạt động tội phạm mạng vẫn chủ yếu có động cơ tài chính.

Phân tích 418 hành động thực thi pháp luật được báo cáo công khai (2021-giữa 2025) cho thấy một phản ứng thực thi pháp luật toàn cầu ngày càng tích cực và đa dạng. Bộ Tư pháp Hoa Kỳ và FBI là những cơ quan dễ thấy nhất, cùng với các cơ quan hàng đầu châu Âu như Europol, BKA của Đức và các nhà chức trách ở Hà Lan và Pháp. Sự tham gia của Ukraine, Nga, Úc, Singapore, Nhật Bản và Nigeria minh họa cách việc thực thi pháp luật đã trở nên thực sự quốc tế. Các tổ chức tư nhân cũng đóng một vai trò quan trọng: 74 công ty tư nhân đã hỗ trợ các hoạt động theo một cách nào đó, cho thấy rằng quan hệ đối tác công-tư hiện là yếu tố thiết yếu cho các nỗ lực phá vỡ liên tục.

Đây chỉ là một đoạn trích trong phạm vi bao quát các chủ đề hiện tại về Cyber Security. Để có toàn bộ câu chuyện và các bài viết chuyên sâu về việc sử dụng và lạm dụng Generative AI, mật mã hậu lượng tử, Vulnerability management và Cyber Extortion cũng như thống kê CyberSOC và dự đoán bảo mật, bạn nên xem Security Navigator 2026! Hãy truy cập trang tải xuống và lấy một bản sao.

• [1] Europol – Operation Endgame
• [2] Verizon – 2025 DBIR Executive Summary
• [3] FBI IC3 – 2024 Internet Crime Report
• [4] ENISA – Threat Landscape 2024
• [5] Orange Cyberdefense – Security Navigator 2024
• [6] Orange Cyberdefense – Security Navigator 2025
• [7] U.S. DOJ – Criminal Marketplace Disruption
• [8] Europol – Coalition Takedown of Criminal Platform
• [9] Dutch Police – Bohemia/Cannabia Dark Web Takedown
• [10] Europol – FluBot Malware Takedown
• [11] Germany BKA – Darknet Kingdom Market
• [12] Europol – Largest-Ever Botnet Operation
• [13] U.S. Treasury – Office of Foreign Assets Control (OFAC)
• [14] Binding Hook – UK Response to Cyber Criminals

Lưu ý: Bài viết này được viết bởi Diana Selck-Paulsson, Chuyên gia nghiên cứu bảo mật cấp cao tại Orange Cyberdefense.