Ảnh minh họa. Cnews.ru

Theo thông tin từ cảnh sát vùng Astrakhan, các nhà điều tra thuộc Bộ Nội vụ Nga xác định hoạt động của nhóm này bắt đầu khoảng hai năm trước. Vào thời điểm đó, các nghi phạm đã tạo ra và công bố trên các diễn đàn hacker một phần mềm độc hại có tên Medusa, được sử dụng để đánh cắp tài khoản người dùng, ví tiền điện tử (cryptocurrency wallet - nơi lưu trữ các đồng tiền kỹ thuật số như Bitcoin, Ethereum) và các dữ liệu nhạy cảm khác.

Virus này lây lan nhanh chóng qua các cộng đồng khép kín, khi tội phạm sử dụng để tấn công các mạng lưới riêng tư và doanh nghiệp.

Tháng 5/2025, tội phạm mạng đã sử dụng mã độc Medusa truy cập trái phép vào hệ thống CNTT của một cơ quan nhà nước tại vùng Astrakhan, sao chép và chuyển dữ liệu được bảo vệ sang máy chủ của tin tặc.

Khi tiến hành khám xét, lực lượng chức năng thu giữ máy tính, điện thoại, thẻ ngân hàng cùng các bằng chứng kỹ thuật khác chứng minh hành vi phát triển và phân phối phần mềm độc hại.

Theo kết quả điều tra ban đầu, Medusa không chỉ là công cụ đánh cắp thông tin. Nhóm nghi phạm còn bị cáo buộc phát triển thêm một chương trình khác có khả năng vô hiệu hóa phần mềm chống virus (tức khiến các giải pháp bảo mật không thể phát hiện hoặc ngăn chặn mã độc) và thiết lập mạng botnet - tập hợp các thiết bị bị nhiễm mã độc, bị điều khiển từ xa để phát động các cuộc tấn công mạng diện rộng như DDoS hoặc phát tán phần mềm độc hại.

"Virus lây lan qua các liên kết mạng, hoặc bằng  một tệp tin duy nhất trong ứng dụng nhắn tin. Chương trình này âm thầm kiểm soát thiết bị người dùng và thực hiện các chức năng do tin tặc lập trình. Meduza đánh cắp tất cả dữ liệu, ghi lại tất cả thư từ và gửi cho tin tặc, đồng thời chụp ảnh màn hình, thu thập cả album ảnh." Chuyên gia an ninh thông tin Yuri Degtyarev phát biểu với với kênh truyền hình Rossiya 24.

Vụ việc đã được khởi tố theo Khoản 2, Điều 273 Bộ luật Hình sự Liên bang Nga, quy định tội danh “phát triển, sử dụng và phổ biến phần mềm máy tính độc hại”. Bộ Nội vụ Nga cũng công bố video ghi lại cảnh bắt giữ các nghi phạm, cho thấy quy mô và tính chuyên nghiệp của chiến dịch điều tra. Đại diện cơ quan này cho biết, các cơ quan an ninh đã “vô hiệu hoá một nhóm tội phạm mạng có tổ chức, hoạt động trong thời gian dài và gây ra nhiều thiệt hại đáng kể”.

Năm 2025 được đánh giá là năm kỷ lục về số lượng các cuộc tấn công mạng tại Nga, khi hàng loạt vụ việc nghiêm trọng đã gây gián đoạn hoạt động của những cơ sở hạ tầng trọng yếu. Điển hình là sự cố tại hãng hàng không Aeroflot ngày 28/7, khiến gần một trăm chuyến bay bị hủy hoặc hoãn. Gần như cùng thời điểm, chuỗi nhà thuốc “Stolichki” phải tạm ngừng hoạt động vì bị tin tặc tấn công, trong khi hệ thống bán lẻ “Winlab” và dịch vụ chuyển phát SDEK cũng lần lượt bị tê liệt vào tháng 7 và đầu tháng 8.

Ngoài ra, các nhà cung cấp dịch vụ Internet nhiều lần trở thành mục tiêu, trong đó có vụ tấn công vào tháng 3 khiến nhà mạng Lovit - đơn vị phục vụ khu căn hộ thuộc tập đoàn PIK - bị gián đoạn, và vụ việc tháng 5 khiến hàng chục nghìn thuê bao của nhà mạng ASVT tại khu vực Moskva mất kết nối.

An Lâm (Theo RedHotCyber, Lenta.ru, Cnews.ru)