Cộng đồng an ninh mạng và tài chính quốc tế vừa đón nhận một thông tin chấn động khi Oleg Evgenievich Nefedov, thủ lĩnh của nhóm mã độc tống tiền Black Basta, chính thức bị điền tên vào danh sách truy nã gắt gao nhất của Liên minh Châu Âu (EU) và Tổ chức Cảnh sát Hình sự Quốc tế (INTERPOL). Đây không chỉ là một đòn giáng mạnh vào tội phạm công nghệ cao mà còn là hồi chuông cảnh tỉnh về mối liên hệ mật thiết giữa các tổ chức tội phạm xuyên quốc gia và thị trường tiền mã hóa. Vụ việc đã mở ra nhiều góc nhìn sâu sắc về cách dòng tiền bất hợp pháp đang vận hành trong bóng tối của nền kinh tế số.
Vết dầu loang của tội phạm tống tiền kỹ thuật số
Sự trỗi dậy của Black Basta từ năm 2022 đến nay là minh chứng rõ ràng nhất cho xu hướng thương mại hóa tội phạm mạng. Nhóm này không hoạt động manh mún mà vận hành như một doanh nghiệp thực thụ với cơ cấu tổ chức chặt chẽ, từ bộ phận xâm nhập hệ thống, đàm phán tiền chuộc cho đến khâu phân chia lợi nhuận. Mục tiêu của chúng trải dài từ Bắc Mỹ, Châu Âu sang đến Úc với hơn 500 tổ chức lớn nhỏ đã trở thành nạn nhân.
Điểm mấu chốt khiến vụ án này liên quan mật thiết đến thị trường tài chính số chính là phương thức thanh toán. Để tránh sự kiểm soát của hệ thống ngân hàng truyền thống, Black Basta yêu cầu nạn nhân chi trả tiền chuộc hoàn toàn bằng tiền mã hóa. Ước tính số tiền mà nhóm này thu về đã lên tới hàng trăm triệu USD. Số tài sản khổng lồ này sau đó được luân chuyển qua nhiều địa chỉ ví khác nhau nhằm xóa dấu vết trước khi được quy đổi thành tiền mặt hoặc các loại tài sản khác.
Ảo tưởng về sự ẩn danh trên Blockchain
Nhiều người vẫn lầm tưởng rằng tiền mã hóa là thiên đường của tội phạm vì tính chất ẩn danh của nó. Tuy nhiên, việc cơ quan chức năng xác định được danh tính của Oleg Evgenievich Nefedov cùng các đồng phạm đã chứng minh điều ngược lại. Công nghệ chuỗi khối (Blockchain) hoạt động như một cuốn sổ cái công khai và minh bạch, nơi mọi giao dịch đều được ghi lại vĩnh viễn và không thể chỉnh sửa.
Trong vụ án này, các đơn vị điều tra như cảnh sát Đức và Ukraine đã phối hợp chặt chẽ để phân tích dữ liệu trên chuỗi (on-chain data). Bằng các biện pháp nghiệp vụ kỹ thuật cao, họ có thể lần theo dấu vết của dòng tiền từ ví của nạn nhân đến các ví trung gian của tội phạm. Dù hacker có sử dụng các kỹ thuật che giấu tinh vi đến đâu, chúng vẫn để lại những dấu chân kỹ thuật số mỗi khi thực hiện giao dịch hoặc cố gắng thanh khoản tài sản tại các sàn giao dịch.
Áp lực pháp lý lên thị trường tiền mã hóa
Vụ việc của Black Basta chắc chắn sẽ tạo ra những tác động mạnh mẽ đến các quy định quản lý tiền mã hóa trong thời gian tới. Các nhà làm luật tại EU và nhiều quốc gia lớn sẽ nhìn nhận đây là bằng chứng cho thấy cần phải thắt chặt hơn nữa các quy trình xác minh danh tính (KYC) và chống rửa tiền (AML). Các sàn giao dịch và nhà cung cấp dịch vụ tài sản số sẽ phải chịu áp lực giám sát gắt gao hơn để đảm bảo nền tảng của họ không trở thành công cụ cho tội phạm rửa tiền.
Mặc dù nhóm Black Basta đã có dấu hiệu ngừng hoạt động từ đầu năm 2025, nhưng mối đe dọa từ các biến thể mã độc tống tiền vẫn luôn hiện hữu. Các thành viên của nhóm này có thể đã phân tán sang các tổ chức mới, tiếp tục tìm kiếm những hệ thống bảo mật yếu kém để tấn công. Đối với thị trường tiền mã hóa, sự kiện này là một bước đi cần thiết để thanh lọc môi trường đầu tư, loại bỏ các yếu tố tiêu cực và hướng tới một hệ sinh thái tài chính minh bạch, an toàn hơn cho người dùng phổ thông.
Chiến thuật rửa tiền và quy trình "nhảy chuỗi" tinh vi
Thay vì những cáo buộc chung chung về việc tội phạm sử dụng tiền kỹ thuật số, hồ sơ điều tra đã phác họa chi tiết một quy trình rửa tiền ba bước bài bản mà nhóm này thường xuyên áp dụng. Bước đầu tiên được gọi là kỹ thuật "nhảy chuỗi" (Chain Hopping). Tiền chuộc ban đầu từ nạn nhân thường được thu bằng Bitcoin. Tuy nhiên, ngay sau khi nhận tiền, chúng lập tức chuyển đổi số tài sản này sang Monero. Đây là một loại tiền mã hóa đề cao tính riêng tư, giúp cắt đứt mọi dấu vết giao dịch trên chuỗi khối công khai, khiến các công cụ theo dõi thông thường trở nên vô hiệu.
Sau khi đã xóa dấu vết, bước tiếp theo là chuyển đổi tài sản sang dạng ổn định hơn. Từ Monero, nhóm tin tặc đổi sang USDT (Tether), nhưng chúng ưu tiên sử dụng mạng lưới Tron (TRC-20) thay vì Ethereum. Sự lựa chọn này mang tính chiến lược vì mạng Tron có phí giao dịch rẻ, tốc độ xử lý nhanh và quan trọng nhất là dễ dàng di chuyển khối lượng tiền lớn mà ít bị các cơ quan giám sát chú ý. Điểm đến cuối cùng của dòng tiền thường là Garantex, một sàn giao dịch tiền mã hóa tại Nga đã bị Mỹ đưa vào danh sách trừng phạt. Tại đây, số USDT nói trên được quy đổi thành tiền mặt như Ruble hoặc USD mà không cần trải qua bất kỳ quy trình xác minh danh tính (KYC) nào.
Lỗ hổng từ nội bộ và bóng dáng của đế chế Conti
Mặc dù sở hữu quy trình công nghệ kín kẽ, nguyên nhân cốt lõi khiến danh tính của trùm hacker Oleg Evgenievich Nefedov bị bại lộ lại xuất phát từ sự phản bội trong nội bộ. Vào tháng 2 năm 2025, một tài khoản ẩn danh mang tên "ExploitWhispers" đã bất ngờ công bố hơn 200.000 tin nhắn từ lịch sử trò chuyện nội bộ của nhóm Black Basta lên mạng internet.
Người này được cho là một thành viên cũ nảy sinh bất mãn sâu sắc trong vấn đề phân chia lợi nhuận. Chính kho dữ liệu khổng lồ này đã cung cấp những manh mối quan trọng, giúp các chuyên gia bảo mật khớp nối các dữ kiện và vạch trần danh tính thực sự của những kẻ đứng sau bàn phím.
Sự ngạo mạn của Oleg còn thể hiện rõ qua cách hắn lựa chọn biệt danh trong thế giới ngầm. Hắn không dùng tên thật mà sử dụng những cái tên đầy tính châm biếm như "Tramp", "Trump" để nhại lại tên cựu Tổng thống Mỹ, hay "Washingt0n" và "S.Jimmi". Những biệt danh này cho thấy tâm lý thích trêu ngươi và thách thức các cơ quan chức năng phương Tây của nhóm tin tặc này.
Ngoài ra, hồ sơ điều tra cũng khẳng định Black Basta thực chất là sự kế thừa của Conti, băng đảng mã độc tống tiền khét tiếng nhất lịch sử đã tan rã vào năm 2022. Oleg được xác định từng là một thành viên cốt cán của Conti. Khi đế chế cũ sụp đổ, hắn đã tách ra và mang theo toàn bộ đội ngũ cũng như quy trình kỹ thuật để xây dựng nên Black Basta. Do đó, cách thức hoạt động của tổ chức mới này vẫn giữ nguyên sự chuyên nghiệp và tàn độc không kém gì tổ chức tiền nhiệm.
