Sự phát triển của ransomware

Những ngày này, không một tháng trôi qua mà chúng ta nghe về một cuộc tấn công ransomware lớn mới. Ban đầu, yêu cầu tiền chuộc là vài trăm đô la, nhưng hiện nay số tiền này đã tăng lên hàng triệu đô la. Vậy làm thế nào mà chúng ta có thể giữ dữ liệu và dịch vụ của mình để đòi tiền chuộc? Và với một cuộc tấn công duy nhất phải trả hàng triệu đô la, liệu chúng ta có nên hy vọng rằng xu hướng này sẽ không bao giờ kết thúc?

Tiến sĩ Joseph L. Popp, trong số nhiều thành tựu khác của ông trong lĩnh vực sinh học, được cho là lần đầu tiên sử dụng phần mềm máy tính để đòi tiền chuộc. Popp đã gửi 20.000 đĩa mềm, có nhãn “Thông tin về AIDS – Đĩa nhỏ giới thiệu”, tới hàng trăm viện nghiên cứu y tế trên 90 quốc gia vào tháng 12 năm 1989 bằng dịch vụ bưu chính. Mỗi đĩa bao gồm một cuộc khảo sát tương tác đo lường nguy cơ mắc bệnh AIDS của một người dựa trên các câu trả lời. Cùng với cuộc khảo sát, ransomware đầu tiên – “AIDS Trojan” đã mã hóa các tệp trên máy tính của người dùng sau khi khởi động lại một số lần nhất định.

Các máy in được kết nối với các máy tính bị nhiễm đã in hướng dẫn gửi hối phiếu ngân hàng, séc thủ quỹ hoặc lệnh chuyển tiền quốc tế với giá 189 đô la đến một hộp thư bưu điện ở Panama. Ông đã lên kế hoạch phân phát thêm 2 triệu đĩa “AIDS” trước khi bị bắt trên đường trở về Mỹ từ một cuộc hội thảo về AIDS của Tổ chức Y tế Thế giới. Bất chấp bằng chứng chống lại Tiến sĩ Popp, anh ta chưa bao giờ bị kết án vì tội ác này.

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

May mắn thay cho các chuyên gia máy tính vào thời điểm đó, mã của Tiến sĩ Popp đã sử dụng mã hóa đối xứng và một công cụ giải mã đã được tạo để giảm thiểu phần mềm ransomware đầu tiên. Không có cuộc tấn công ransomware đáng kể nào xuất hiện từ năm 1991 đến 2004, thế giới máy tính có thể yên tâm không? Một số người sẽ nói rằng đây là sự yên tĩnh trước cơn bão.

Vào đầu những năm 2000, tội phạm mạng đã có bản thiết kế ransomware và quyền truy cập vào ba phần công nghệ thiết yếu mà Tiến sĩ Popp không…

Đọc thêm:  Palm: Đã qua nhưng không bị lãng quên

(1) Một hệ thống phân phối hiệu quả và siêu nhanh kết nối hàng triệu máy tính trên toàn thế giới, tức là mạng toàn cầu. (2) Truy cập vào các công cụ mã hóa bất đối xứng mạnh mẽ hơn để mã hóa các tệp không thể bẻ khóa. (3) Nền tảng thanh toán cung cấp tốc độ, tính ẩn danh và khả năng tự động hóa các tác vụ giải mã khi thanh toán, như Bitcoin.

Kết hợp các yếu tố này lại với nhau và đó là lúc ransomware thực sự cất cánh. Sau đây là tóm tắt ngắn gọn về các sự kiện quan trọng trong lịch sử của ransomware:

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Ngoài việc sử dụng những tiến bộ trong công nghệ để tạo lợi thế cho mình, những kẻ tấn công mã độc tống tiền còn hung hăng hơn và sử dụng các phương pháp sáng tạo để cải thiện khả năng thanh toán tiền chuộc thành công, mặc dù rất may là tỷ lệ thành công đó cuối cùng cũng đang giảm.

Tội phạm mạng đang chuyển trọng tâm sang cơ sở hạ tầng quan trọng và các tổ chức lớn hơn. Ví dụ: vào năm 2016, một số bệnh viện đã bị tấn công bởi ransomware, bao gồm Trung tâm Y tế Trưởng lão Hollywood, Bệnh viện Ottawa và Bệnh viện Methodist Kentucky, v.v. Trong mọi trường hợp, các thiết bị của bệnh viện đã bị khóa hoặc các tệp y tế được mã hóa, khiến tính mạng của bệnh nhân gặp nguy hiểm.

Một số bệnh viện đã may mắn và có các chính sách sao lưu và phục hồi nghiêm ngặt. Nhưng thật không may, những người khác cần trả tiền chuộc để khôi phục các dịch vụ y tế càng nhanh càng tốt.

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

(bấm vào để phóng to)

Vào tháng 3 năm 2018, nhiều dịch vụ trực tuyến của Thành phố Atlanta đã ngừng hoạt động sau một cuộc tấn công ransomware. Khoản tiền chuộc trị giá 55.000 đô la bằng Bitcoin đã không được thanh toán, nhưng dự đoán ban đầu đưa ra chi phí thu hồi khoảng 2,6 triệu đô la.

Vào tháng 5 năm 2021, phần mềm tống tiền DarkSide đã đánh sập cơ sở hạ tầng quan trọng chịu trách nhiệm cung cấp 45% lượng xăng tiêu thụ trên 13 tiểu bang của Hoa Kỳ trong một tuần. Nạn nhân của cuộc tấn công đặc biệt này, Colonial Pipeline, đã trả 4,4 triệu đô la để lấy lại hệ thống của họ. Các khoản thanh toán khổng lồ như thế này chỉ tiếp tục thúc đẩy những kẻ tấn công tìm ra những cách sáng tạo hơn nữa để rút tiền bằng cách sử dụng ransomware.

Đọc thêm:  Cập nhật giá và tính khả dụng của GPU: Tháng 11 năm 2021

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Một chiến thuật khác được sử dụng có tên là ‘Mã hóa và lọc.’ Những kẻ tấn công nhận ra rằng chính những điểm yếu của mạng đã hỗ trợ lây nhiễm ransomware có thể được sử dụng để lấy cắp dữ liệu. Ngoài việc mã hóa các tệp của nạn nhân, những kẻ tấn công còn đánh cắp dữ liệu nhạy cảm và đe dọa sẽ công bố dữ liệu nếu không trả tiền chuộc. Do đó, ngay cả khi một tổ chức có thể phục hồi sau một cuộc tấn công ransomware bằng cách sử dụng các bản sao lưu, thì tổ chức đó cũng không thể để xảy ra vi phạm dữ liệu công khai.

Vastaamo, một phòng khám trị liệu tâm lý ở Phần Lan với 40.000 bệnh nhân, là nạn nhân của một chiến thuật mới hơn gọi là ‘Tống tiền ba lần’. Theo thông lệ, các tệp y tế được mã hóa và yêu cầu một khoản tiền chuộc khổng lồ. Tuy nhiên, những kẻ tấn công cũng đánh cắp dữ liệu bệnh nhân. Ngay sau cuộc tấn công ban đầu, các bệnh nhân đã nhận được email cá nhân yêu cầu số tiền chuộc nhỏ hơn để tránh tiết lộ công khai các ghi chú về buổi trị liệu cá nhân. Do vi phạm dữ liệu và thiệt hại tài chính, Vastaamo tuyên bố phá sản và ngừng hoạt động.

Các ổ NAS dung lượng lớn của các cá nhân cũng đã được chứng minh là một mục tiêu hấp dẫn trong những năm gần đây, vì khách hàng của QNAP và Asustor đã không may phát hiện ra. Phần mềm tống tiền Deadbolt đã tấn công các sản phẩm kết nối internet của Asustor vào đầu năm 2022 và đã tấn công nhiều đợt vào các ổ đĩa của QNAP trong vài năm qua.

Đọc thêm:  Nhà văn TechSpot muốn gì trong Windows 10

Cybersecurity Ventures báo cáo các cuộc tấn công đòi tiền chuộc đã tăng 57% kể từ đầu năm 2021 và khiến các doanh nghiệp thiệt hại ước tính 20 tỷ USD vào năm 2020, cao hơn 75% so với năm 2019. Các cuộc tấn công bằng phần mềm tống tiền cũng đang trở nên rất cụ thể với việc lựa chọn nạn nhân, nhắm mục tiêu vào các tổ chức trong các ngành như chăm sóc sức khỏe, tiện ích, và bảo hiểm/pháp lý cung cấp các dịch vụ quan trọng vì họ có nhiều khả năng trả một khoản tiền chuộc khá lớn.

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Các cuộc tấn công ransomware mỗi tổ chức mỗi tuần theo ngành
Dữ liệu quý 2 năm 2022 qua Check Point Research

Lĩnh vực Giáo dục và Nghiên cứu tiếp tục là ngành bị tấn công nặng nề nhất, với mức tăng 53% so với năm trước (2021-2022), tiếp theo là Chính phủ/Quân đội, Nhà cung cấp dịch vụ Internet và các tổ chức chăm sóc sức khỏe.

Khoảng 40% tất cả các biến thể ransomware mới bao gồm các thành phần xâm nhập dữ liệu để tận dụng các kỹ thuật tống tiền gấp đôi và gấp ba. Ngoài ra, REvil, một nhóm RaaS, cung cấp các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và các cuộc gọi VoIP xáo trộn giọng nói như một dịch vụ miễn phí cho các chi nhánh của nó (những kẻ tấn công thực sự đột nhập vào hệ thống) để gây thêm áp lực buộc nạn nhân phải trả tiền tiền chuộc trong khung thời gian được chỉ định.

Tại sao các cuộc tấn công ransomware tăng đột biến trong thập kỷ qua? Đó là sinh lợi! Ngay cả khi một tỷ lệ phần trăm nhỏ các cuộc tấn công ransomware thành công, chúng vẫn mang lại lợi tức đầu tư đáng kể. Lấy ví dụ, khoản thanh toán tiền chuộc công khai lớn nhất cho đến nay:

Tuy nhiên, những cuộc tấn công này chỉ chiếm một số lượng nhỏ các chiến dịch ransomware thành công. Thật không may, chính những khoản thanh toán cao cấp này lại thúc đẩy những kẻ tấn công tiếp tục tìm kiếm những cách thức mới để lây nhiễm, lây lan và tống tiền.

Một yếu tố khác cần xem xét: bề mặt tấn công ngày càng mở rộng. Năm 2017, 55 camera giao thông đã bị WannaCry tấn công do lỗi của con người. Mặc dù tác động của cuộc tấn công là rất nhỏ, nhưng nó cung cấp một gợi ý về các thiết bị mà tội phạm mạng sẽ nhắm mục tiêu. Do quá trình cập nhật bảo mật chậm và số lượng thiết bị Internet of Things (IoT) dễ bị tổn thương ngày càng tăng trên toàn cầu, điều này chắc chắn sẽ mở ra cơ hội cho những kẻ khai thác ransomware.

Đọc thêm:  Năm Công nghệ: Những Câu chuyện Công nghệ Hàng đầu 2013

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Các chuyên gia cũng lo ngại rằng ransomware sẽ bắt đầu xuất hiện trong các dịch vụ đám mây, chủ yếu nhắm mục tiêu vào Cơ sở hạ tầng dưới dạng dịch vụ (IaaS) và Nền tảng dưới dạng dịch vụ (PaaS). Yếu tố là những người mới tham gia, một thế hệ thanh niên mới được truyền cảm hứng từ các chương trình truyền hình như Mr. Robot. Họ có quyền truy cập vào nhiều tài nguyên như “Hack the Box” hơn bất kỳ thế hệ nào trước họ. Những người mới tham gia này háo hức học hỏi và thậm chí còn háo hức hơn để kiểm tra kỹ năng của họ.

Ransomware là trung tâm của một nền kinh tế ngầm phức tạp và đang bùng nổ với tất cả các dấu hiệu của thương mại hợp pháp. Hãy tưởng tượng một cộng đồng gồm các nhà phát triển phần mềm độc hại hợp tác và có kỹ năng cao, các nhà cung cấp RaaS, các chi nhánh được xếp hạng, các nhóm hỗ trợ khách hàng và CNTT và thậm chí cả những người điều hành chịu trách nhiệm về các thông cáo báo chí và ‘xây dựng thương hiệu’ của nhóm kẻ tấn công.

Khi cung cấp dữ liệu cá nhân cho các nhà cung cấp dịch vụ khác nhau và dựa vào công nghệ cho các công việc và thói quen hàng ngày của mình, chúng ta đang vô tình trao quyền cho những kẻ tấn công mã độc tống tiền bắt cóc và giữ chúng ta làm con tin. Do đó, chúng ta chỉ có thể mong đợi các cuộc tấn công của ransomware sẽ gia tăng, trở nên hung hãn và sáng tạo hơn trong việc đảm bảo thanh toán tiền chuộc – có thể yêu cầu khoản thanh toán đầu tiên để giải mã dữ liệu và khoản thanh toán riêng thứ hai không được công bố.

Đọc thêm:  CPU tốt nhất với số tiền bỏ ra: AMD so với Intel Budget Shootout

Vào đầu năm 2023, công ty bảo mật Bitdefender đã phát hành một công cụ giúp các nạn nhân của phần mềm tống tiền MegaCortex mở khóa các tệp của họ, đây là một tin tuyệt vời cho những người đã khóa tệp trong nhiều năm.

Công cụ này cũng có sẵn từ No More Ransom. Trang web đóng vai trò lưu trữ các công cụ bẻ khóa cho hơn 170 phần mềm ransomware và các biến thể, bao gồm các ví dụ nổi tiếng như REvil và Ragnarok.

Các nạn nhân của ransomware đã nhận ra rằng ngay cả khi họ trả tiền chuộc, không có gì đảm bảo rằng họ sẽ lấy lại được dữ liệu của mình hoặc kẻ tấn công ransomware sẽ xóa các tệp “bị đánh cắp” mà không bán chúng cho bên thứ ba trên dark web. Nhận thức của công chúng về hiện tượng ransomware cũng đã trưởng thành, vì vậy việc rò rỉ dữ liệu không mang lại rủi ro tương tự cho danh tiếng thương hiệu trong vài năm qua.

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Vụ hack Colonial Pipeline đã làm nổi bật lỗ hổng của xã hội hiện đại. Cuộc tấn công dẫn đến sự lo lắng lan rộng khắp các thành phố bị ảnh hưởng, dẫn đến hoảng loạn mua nhiên liệu, thiếu nhiên liệu và giá nhiên liệu tăng cao.

Chi phí phần mềm tống tiền không giới hạn ở các khoản thanh toán tiền chuộc. Thiệt hại và phá hủy dữ liệu, thời gian ngừng hoạt động, giảm năng suất sau cuộc tấn công, chi phí liên quan đến điều tra pháp y, khôi phục hệ thống, cải thiện bảo mật hệ thống và đào tạo nhân viên là những chi phí ẩn và ngoài kế hoạch sau một cuộc tấn công.

Các cơ quan thực thi pháp luật cũng lo ngại về khả năng một cuộc tấn công mạng vào các bệnh viện sẽ gây ra cái chết. Tác động tiêu cực đến cuộc sống con người và xã hội của ransomware là không thể phủ nhận và không thể bỏ qua.

Vào cuối năm 2020, Lực lượng đặc nhiệm Ransomware (RTF) đã được ra mắt. Một liên minh gồm hơn 60 thành viên từ nhiều lĩnh vực khác nhau – ngành công nghiệp, chính phủ, cơ quan thực thi pháp luật và các quốc gia – được dành riêng để tìm giải pháp ngăn chặn các cuộc tấn công của mã độc tống tiền. Vào tháng 4 năm 2021, RTF đã phát hành báo cáo “Chống phần mềm tống tiền: Khung hành động toàn diện” trình bày chi tiết 48 đề xuất ưu tiên để giải quyết phần mềm tống tiền.

Đọc thêm:  Tìm các thành phần phù hợp cho một máy tính xách tay chơi game hoàn hảo

Nỗ lực phối hợp đang được đền đáp.

svg+xml,%3Csvg%20xmlns= Sự phát triển của ransomware

Mặc dù không có vụ bắt giữ nào được thực hiện, FBI đã thu hồi được 63,7 Bitcoin (~ 2,3 triệu đô la) tiền chuộc được trả trong cuộc tấn công Đường ống thuộc địa. FBI và các cơ quan thực thi pháp luật khác trên toàn thế giới đã có thể phá vỡ phần tử ransomware-as-a-service của NetWalker được sử dụng để liên lạc với nạn nhân. Vào năm 2021, mạng botnet Emotet cũng đã bị gỡ xuống, một công cụ thiết yếu để cung cấp phần mềm tống tiền cho nạn nhân thông qua lừa đảo.

Vào tháng 10 năm 2021, các nhà chức trách đã bắt giữ hàng chục cá nhân có liên quan đến hơn 1.800 vụ tấn công bằng mã độc tống tiền trên 71 quốc gia. Cảnh sát đã dành nhiều tháng để nghiên cứu dữ liệu thu thập được trong các vụ bắt giữ và các khóa do cơ quan thực thi pháp luật phát hiện đã dẫn đến việc phát triển các công cụ mở khóa mới cho phần mềm tống tiền MegaCortex như đã đề cập trước đó.

Theo dữ liệu do công ty Chainalysis cung cấp, doanh thu ransomware cho năm 2022 đã giảm từ 765,6 triệu đô la xuống ít nhất 456,8 triệu đô la, hoặc giảm -40,3% so với năm trước. Số lượng các cuộc tấn công vẫn ấn tượng hơn bao giờ hết, nhưng số lượng nạn nhân từ chối trả tiền chuộc cũng tăng lên. Chainalysis đã chứng kiến số lượng nạn nhân ransomware sẵn sàng trả tiền giảm mạnh: họ là 76% vào năm 2019 nhưng chỉ còn 41% vào năm 2022.

Đây có vẻ như là giọt nước trong đại dương so với số lượng các cuộc tấn công bằng mã độc tống tiền trong thời gian gần đây, tuy nhiên nhận thức của cộng đồng và các tổ chức toàn cầu, chính phủ và tư nhân, đang thừa nhận và tích cực làm việc để vô hiệu hóa mối đe dọa của mã độc tống tiền, đây là những bước rất cần thiết trong quá trình đúng hướng.