Đã gần một tháng kể từ khi trở lại Bangkok, vậy mà PP vẫn chưa gặp lại Billkin — càng không gặp lại Khunpol.

Khunpol không quay lại trường lần nào. Nghe giáo viên nói, cậu đang bận rộn chuẩn bị hồ sơ du học, học kỳ sau sẽ nhập học trực tiếp bên Mỹ.

Cả hai người ấy như cùng lúc bốc hơi khỏi cuộc sống của PP.

Đêm đó ở Los Angeles — xa xôi đến mức cứ ngỡ chỉ là một giấc mơ.

/

Quả thật Billkin không tìm đến PP.

Không phải vì anh không muốn.

Mà vì... không có thời gian.

Gần như cùng lúc anh đáp xuống Bangkok, công ty đã gặp một sự cố lớn.

CEO vừa đi ăn trưa về thì màn hình máy tính nhảy ra hình một con mèo đen. Nền đen, chữ đỏ, cảnh báo tràn đầy màn hình: nếu trong vòng một tuần không chuyển một trăm triệu baht bằng Bitcoin vào ví điện tử được chỉ định, toàn bộ dữ liệu khách hàng và hồ sơ nội bộ sẽ bị công khai.

Một cuộc tấn công bằng ransomware điển hình — phần mềm tống tiền.

Năm 2023, ước tính 72% doanh nghiệp toàn cầu từng bị ảnh hưởng trực tiếp hoặc gián tiếp bởi ransomware.

Du lịch là một trong những nguồn thu ngoại tệ chủ lực của Thái Lan. Những năm gần đây, sau đại dịch, thế giới rơi vào một vòng xoáy tiêu dùng thắt chặt. Bangkok đã vượt qua Paris, trở thành thành phố thu hút nhiều du khách nhất thế giới.

Chính phủ Thái nắm bắt thời cơ, đẩy mạnh thị thực hưu trí, cố gắng thu hút những người giàu và rảnh rỗi từ khắp nơi đến tiêu xài lâu dài.

Ngoại tệ dồi dào. Nhưng hệ thống tài chính — lại vô cùng lạc hậu.

Ngay cả các quốc gia phát triển còn chống ransomware không nổi, thì khi nó tràn vào Thái Lan... gần như không vấp phải chút kháng cự nào.

Ngay cả đại học Chulalongkorn — niềm tự hào của người Thái — cũng chỉ xếp ngoài top 200 thế giới ở ngành An ninh mạng. Đa số người Thái từng nghe qua từ "ransomware", nhưng chỉ coi như mấy tình tiết trong phim. Kinh nghiệm thực chiến — gần như bằng 0.

Tổ chức nơi Billkin công tác là một định chế tài chính lớn, thuộc sự quản lý của quân đội suốt nhiều thập kỷ. Quan điểm phát triển — nếu nói nhẹ nhàng là "thận trọng", thì nói thẳng ra là "bảo thủ đến lỗi thời".

Vụ việc lần này nằm ở ranh giới giữa phòng ngừa rủi ro và kỹ thuật hệ thống. Cả hai bộ phận đều có trách nhiệm:
Phòng Rủi ro quản lý và đánh giá mức độ nguy hại, còn bộ phận Kỹ thuật chịu trách nhiệm đối phó tấn công trực tiếp.

Vấn đề là: trưởng bộ phận Rủi ro và trưởng bộ phận Kỹ thuật — vốn như nước với lửa.

Trưởng phòng Rủi ro — cấp trên trực tiếp của Billkin — là người của tướng Mahachai, cha Khunpol.

Còn trưởng phòng Kỹ thuật — là người của tướng Suray, đối thủ chính trị nhiều năm trong quân đội.

Ngay từ khi mới vào công ty, Billkin đã cảm nhận rõ những lực cản ngầm này. Mỗi lần sang phòng Kỹ thuật bàn việc, luôn gặp trục trặc.

Lần này, tuy không ai gây cản trở rõ rệt — nhưng đơn giản là... chẳng ai biết phải làm gì.

Thay vì hợp tác, cả hai bên quay sang tranh cãi không dứt:
Ai phải chịu trách nhiệm?
Có nên khuất phục trước hacker?

Cấp trên của Billkin gần nghỉ hưu, chẳng biết gì về IT, cũng không muốn vướng vào mớ rắc rối này.

Ngược lại, trưởng bộ phận An toàn Thông tin tên Phong— một người trẻ, có chuyên môn kỹ thuật, am hiểu kiến trúc hệ thống. Nhưng với ransomware, anh ta cũng mới lần đầu gặp phải. Sau cả ngày trời xoay xở, vẫn chưa định hình được đầu mối.

Số tiền chuộc một trăm triệu baht — rõ ràng là con số được tính toán cẩn thận: đủ để khiến công ty "rướm máu", nhưng không đến mức sụp đổ hoàn toàn.

Tới tận ngày hôm sau, bộ phận Rủi ro mới được phép vào War Room — phòng xử lý khẩn cấp. Toàn bộ nhân sự tinh nhuệ nhất của bộ phận Kỹ thuật đã tập trung ở đó từ sớm.

Billkin đi quanh War Room một vòng. Ánh mắt anh lướt qua từng bàn phím đang gõ liên tục, qua từng biểu đồ kỹ thuật rối như mạng nhện.

Cuối cùng, anh dừng lại trước bảng sơ đồ quy trình máy chủ, rồi khoanh tròn một điểm:
Máy chủ email.

Không nói thêm lời nào, anh quay người rời đi, trở về văn phòng.

Chưa đầy một tiếng sau, thư ký gõ cửa văn phòng anh: "Boss, sếp tổng gọi anh qua bên đó một chút."

Billkin thong thả rót cho mình một ly cà phê rồi mới bước đến văn phòng của sếp tổng. Cấp trên trực tiếp của anh không có mặt, trong phòng họp chỉ còn lại trưởng bộ phận IT, và đại sếp tổng.

Thấy anh vào, sếp tổng ra hiệu cho anh ngồi xuống.

"Billkin, tôi nghe nói trước đây cậu từng phụ trách mảng an ninh thông tin trong quân đội?"

"Đúng vậy. Đó là một phần trong phạm vi công việc của tôi."

"Vậy... từng gặp tình huống như lần này chưa?"

Billkin nhấp một ngụm cà phê, bình thản trả lời: "Bảo mật của quân đội thuộc mức tối cao nên tôi không thể chia sẻ chi tiết. Nhưng tôi có thể nói — từng có tình huống tương tự, chỉ là thường bị chặn ngay từ đầu, chưa từng nghiêm trọng tới mức này."

Phong định mở miệng phản bác gì đó, nhưng cuối cùng lại thôi.

"Vậy vừa nãy, sao cậu đoán được hệ thống email cũng dính?"

"Không phải đoán." Billkin gõ nhẹ hai ngón tay lên thái dương. "Đánh giá tổng thể."

Sếp tổng tiếp tục: "Vậy theo kinh nghiệm của cậu, bây giờ nên chuyển tiền luôn hay tiếp tục điều tra?"

"Có lẽ... nên làm song song cả hai." Billkin liếc sang Phong. "Với tiến độ hiện tại, tôi tin tới tuần sau cũng chưa chắc ra kết quả. Nếu quyết định chuyển tiền, cũng không sai."

Phong lập tức bật dậy: "Dựa vào cái gì mà phải đưa tiền?! Bọn chúng tống tiền là đưa sao? Vậy kỹ thuật bên tôi nuôi chơi chắc?!"

Billkin nhướn mày: "Cũng được thôi. Vậy cứ chờ xem danh sách nhà đầu tư VVVIP bị công khai lên mạng thế nào. Đảm bảo tên công ty chúng ta đứng đầu các bảng tìm kiếm. Đến lúc đó, muốn nổi tới đâu, có nổi tới đó."

Phong còn định cãi, nhưng sếp tổng đã giơ tay cắt ngang: "Billkin, nếu cậu từng có kinh nghiệm xử lý mảng này, vậy có muốn tạm thời gia nhập nhóm của Phong không? Có thể chọn người từ nhóm cậu sang hỗ trợ điều tra."

Billkin mỉm cười: "Xin lỗi. Nhóm tôi còn chưa rà xong lỗi nội bộ, giờ chưa tiện qua gây thêm phiền cho bên kỹ thuật."

Phong giận đến mức bật dậy khỏi ghế: "Billkin, cậu—!"

Sếp tổng lại phẩy tay, ra hiệu cho Phong rời phòng trước.

Đợi cánh cửa khép lại, ông ta chỉ tay vào ghế trước mặt: "Cậu biết đấy, sếp cậu sắp về hưu rồi. Vị trí đó sớm muộn gì cũng tới lượt cậu."

Billkin điềm tĩnh đáp: "Bộ trưởng nhà mình còn sung sức lắm. Giờ là lúc ông ấy phát huy ánh sáng cuối cùng. Tôi nhất định sẽ tận lực phụ tá. Nếu không còn gì nữa, tôi xin phép về."

Sếp tổng vờ dụ dỗ bất thành, đành đi thẳng vào vấn đề: "Billkin, cậu muốn gì, cậu cứ nói. Miễn là trong khả năng tôi giải quyết được."

Billkin cũng không vòng vo: "Tôi sẽ khởi động dự án này. Bộ phận Rủi ro sẽ phụ trách toàn diện. Tôi thành lập đội riêng vào War-Room. Tôi yêu cầu quyền kiểm soát tuyệt đối, toàn quyền quyết định. Tất cả thiết bị — bao gồm DataLake, CASB, SIEM — tôi cần quyền root."

Mặt sếp tổng khẽ biến sắc: "Mấy yêu cầu khác tôi có thể đồng ý. Nhưng... về người bên Phong..."

"Tôi sẽ cân nhắc sử dụng."

"Cậu có thể kết hợp hai bộ phận điều tra chung không?"

Billkin khẽ nhếch môi: "Tôi không cần nhiều người... chỉ cần bớt kẻ ngồi không."

/

Billkin hài lòng rời phòng họp, nắm trong tay tất cả quyền kiểm soát.

Anh lại bước vào War-Room, thong thả đi một vòng quanh phòng.

Bước chân chậm rãi, từng bước đều mang sức nặng, như tiếng đồng hồ đếm ngược trên chiến trường.

Đi đến sau lưng ai, anh lại nhẹ nhàng gõ gõ lên vai họ.

"Bị tôi chạm vào thì ở lại, còn lại... ra ngoài."

Phong đứng ở góc phòng, mặt mày sa sầm.

Nhìn từng người ôm laptop lục tục rời đi, anh ta như thể bị dọn sạch bàn cờ ngay trước mặt.

Một cô gái đeo kính dày cộp, buộc tóc đuôi ngựa, ngồi ở góc phòng nhỏ giọng hỏi: "Anh gọi cả em sao?"

Billkin gật đầu.

Cô ấy thở phào một hơi, gò má hồng lên.

Billkin vừa bước ra khỏi War-Room, thư ký đã mang theo cả tập hồ sơ tiến đến: "Boss, cô gái vừa nãy hỏi anh tên là Suwan, năm nay đúng ba năm làm ở công ty rồi."

Billkin lướt nhanh qua trang đầu tiên, nhìn đến bằng thạc sĩ của cô: "Nền tảng học vấn tốt như thế, sao lại ngồi xó ba năm?"

Thư ký nhún vai: "Phong trọng người nhà. Với lại, nhóm họ chỉ có một nữ, chắc là giữ lại làm bình hoa..."

Billkin gật nhẹ, không biểu cảm gì, chỉ nhàn nhạt dặn: "Điều tra kỹ lý lịch của tất cả những người tôi giữ lại. Toàn bộ."

/

Đánh một trận chiến — không dễ dàng gì.

Căn phòng War-Room suốt cả tuần không tắt đèn. Người Thái nổi tiếng lười biếng, nhưng lúc cần máu lửa thì cũng chẳng thua kém ai trong Đông Á.

Billkin đi đầu tuyến. Văn phòng của anh 24/7 luôn sáng đèn. Bảng trắng bị viết rồi xóa, xóa rồi viết đến nỗi vết mực đen của bút lông không tài nào chùi sạch hẳn nữa.

Anh không về nhà suốt một tuần, lấy cà phê đen thay nước, mệt quá thì nằm ghế sofa chợp mắt hai tiếng, hoặc ghé gym công ty tắm sơ rồi lại quay lại.

Bao nhiêu hệ thống đã bị xâm nhập? Điểm bắt đầu của quyền truy cập là đâu? Có ai giành được quyền truy cập chéo không? Có cửa sau không? Dòng thời gian đầy đủ bắt đầu từ đâu?

Muốn moi ra đáp án từ đống log dày như sách kinh thánh – không còn cách nào khác – phải loại suy từng dòng, từng bước.

"Khun Billkin!"

Suwan – nữ kỹ sư hệ thống – vừa thở hổn hển vừa chạy đến, tóc rối cả lên nhưng mắt sáng rỡ:
"Có tiến triển rồi! Tụi em tìm được tài khoản bị xâm nhập đầu tiên rồi ạ!"

Là một cố vấn tài chính đang du lịch nước ngoài. Người này vô tư mở một đường link lừa đảo trong tin nhắn của khách hàng, điền tài khoản và mật khẩu mà không mảy may đề phòng.

Tài khoản đó truy cập không sâu, chỉ đọc được thông tin khách hàng của chính mình – không đủ giá trị.

Vậy là hacker tiếp tục thử nghiệm – và cuối cùng chiếm được quyền admin hệ thống. Từ bộ điều khiển domain đến máy chủ tệp, rồi cả máy chủ nội bộ dev, cuối cùng là thiết bị của CEO. Mỗi bước – đều được tính toán chuẩn xác.

Billkin dựng thẳng khung thời gian trong đầu. Từng thiết bị, từng đoạn IP, từng tệp khả nghi – tạo thành biểu đồ tuyến tính phức tạp trên bảng trắng.

Anh chống cằm, ngón tay lướt theo mạch suy luận, rồi phát lệnh:

"Aziz, Tang – kiểm tra toàn bộ access log từ thời điểm sự cố. Đánh dấu mọi máy chủ đã bị nhiễm!"

"Đã rõ!"

"Không đời nào chúng chỉ đánh một tài khoản. Chúng sẽ tìm toàn bộ những tài khoản cùng loại. Banyat – mày check cho tao toàn bộ trường hợp impossible travel trong ba tháng gần nhất!"

"Rõ!"

"Choo, Duan – truy vết mọi thiết bị mà tài khoản đầu tiên từng truy cập. Có dấu hiệu bị xâm nhập thì dù thất bại cũng phải báo cáo!"

"Nhận lệnh!"

Billkin đảo mắt quanh phòng, thấy cô gái ở góc phòng – Suwan – đang ngồi như ngồi trên lửa.

Anh còn chưa kêu tên, cô đã bật dậy: "Em có mặt!"

"Em thấy còn gì cần điều tra?"

"Phải truy ra bản thân hacker!"

"Chuẩn. Mỗi hacker đều có thủ thuật quen dùng. Từ phương pháp đột nhập, ta có thể lần ra danh tính." Anh dừng lại, nghiêng đầu, "Em biết cần check gì không?"

"Biết! Em đã tra hệ thống C&C, IOC, các hash signature, và các nhóm hoạt động mạnh trong ba tháng qua. Giờ đã thu hẹp còn dưới năm nhóm nghi vấn!"

"Chưa đủ. Tôi cần biết chính xác là nhóm nào. Em làm được không?"

"Làm được!"

Cả War-Room bỗng như bốc cháy. Mỗi người như có một ngọn lửa âm ỉ trong tim.

Giữa lòng hệ thống ngân hàng hỗn loạn, thủ cựu và chậm chạp của Thái Lan – rất có thể – họ là đội duy nhất có thể tự mình lần ra danh tính hacker.

Tất cả người trong đội như một sợi dây thừng bện chặt – cùng nhau kéo về phía ánh sáng cuối đường hầm.

Lúc này – đã là rạng sáng Chủ Nhật. Còn chưa đầy 12 giờ nữa là đến hạn nộp tiền chuộc.

/

"Phát hiện tổng cộng 27 tài khoản nghi ngờ, trong đó có 7 tài khoản đã đăng nhập thành công. Hiện tại quyền truy cập cao nhất mà chúng có được là quyền quản trị viên, các trường hợp còn lại vẫn đang được điều tra. Toàn bộ mật khẩu của các tài khoản này đã được bắt buộc thay đổi."

"Liên quan đến tổng cộng 58 máy chủ. Tất cả các máy chủ bị ảnh hưởng đều đã bị chặn truy cập và tiến hành vá lỗ hổng rồi."

"Suwan," Billkin nhìn cô, "Em có tiến triển gì chưa?"

Suwan hít sâu một hơi, rồi gật đầu: "Xác định được rồi, là Scattered Spider."

Kết luận ấy khiến cả văn phòng im phăng phắc.

Scattered Spider — Nhện tản mát.

Sở dĩ gọi là "tản mát" là vì các thành viên của tổ chức này chưa từng gặp nhau ngoài đời. Họ chỉ tập hợp trong các phòng chat Discord mỗi khi hành động. Lợi ích trói buộc họ lại, nhưng khoảng cách địa lý lại khiến việc bắt giữ gần như là chuyện viển vông.

Là một tổ chức chuyên tấn công các định chế tài chính, tên tuổi của Scattered Spider đã vang xa quốc tế. Ngân hàng, chứng khoán, bảo hiểm, thậm chí là sòng bạc — chỉ cần nghe đến tên thôi cũng đủ khiến họ dựng tóc gáy.

Lần gần nhất cái tên này lên báo, là khi chúng tấn công thành công chuỗi khách sạn lâu đời MGM tại thành phố cờ bạc Las Vegas.

Chính tập đoàn MGM đã phải thừa nhận trong báo cáo tài chính: vụ tấn công khiến họ tổn thất hơn 100 triệu USD.

Ngay cả tập đoàn quốc tế khổng lồ như MGM còn không chống đỡ nổi... vậy họ thì sao? Trong lòng mỗi người đều lặng lẽ hiện lên cùng một câu hỏi không ai dám nói ra.

"Tiếp tục điều tra!" Billkin ra lệnh.

Anh gọi thư ký tới, đưa cho cô một tấm danh thiếp: "Giúp tôi liên lạc với người này, càng nhanh càng tốt."