Ransomware Bitcoin sẽ không bao giờ bị tiêu diệt

Các cuộc tấn công ransomware dựa trên Bitcoin là một hiện tượng thú vị. Nhưng có nhiều người cho rằng nó chẳng đáng quan tâm chút nào. Một bài báo kết luận rằng chỉ 13 triệu đô la BTC đã được sử dụng để thanh toán tiền chuộc từ năm 2013 đến 2017 – “tương đối thấp” so với “cường điệu xung quanh vấn đề này”.

Nhưng các bài viết trong suốt năm 2018 và 2019 chỉ ra rằng quan điểm tích cực này có thể không còn đúng nữa.

Trong khi các chủng ransomware ban đầu như Locky yêu cầu tiền chuộc chỉ 0.5-1 BTC (~500 đô la với giá BTC năm 2016) thì quy mô tiền chuộc điển hình đã bùng nổ. Vào tháng 5/2019, các thành phố Riviera Beach và Lake City ở Florida đã trả tương ứng 600,000 đô la và 500,000 đô la tiền chuộc để lấy lại quyền truy cập hệ thống máy tính bị lây nhiễm ransomware chủng mới Ryuk. Ngoài ra, một công ty bảo hiểm Canada bị Doppolemayer gây tê liệt vào cuối năm 2019 đã trả 905,000 đô la tiền chuộc mà phần lớn cuối cùng chuyển đến Bitfinex.

Phạm vi của các tổ chức bị tấn công cũng được mở rộng. Trong khi làn sóng tấn công đầu tiên chủ yếu tập trung vào thị trường tiêu dùng thì làn sóng mới đã nhắm vào các tổ chức và chính phủ. Theo công ty chứng khoán Armor, 72 hội đồng trường học tại Hoa Kỳ đã bị ransomware tấn công vào năm 2019 hoặc khoảng 1,039 trường học.

Vậy ransomware là gì? Đây là phần mềm độc hại chiếm quyền kiểm soát máy tính, bằng cách mã hóa các tệp hoặc đe dọa công khai dữ liệu. Nó chỉ trả lại quyền kiểm soát sau khi nhận được khoản thanh toán tiền chuộc.

Ransomware có trước Bitcoin. Ransom-A là chủng ransomware ra đời năm 2006 có tác dụng đóng băng máy tính của nạn nhân và sẽ chỉ trả lại quyền khi 10.99 đô la được chuyển vào Western Union. Cryzip yêu cầu 300 đô la tiền chuộc được thanh toán qua hệ thống thanh toán vàng kỹ thuật số e-gold. Một vụ ransomware khác là vào năm 2011, mạo danh các cơ quan thực thi pháp luật như Cảnh sát Thủ đô Luân Đôn hoặc FBI và yêu cầu thanh toán qua e-money hoặc thẻ trả trước như MoneyPak, Ukash hoặc PaySafeCard.

Tất cả các tuyến thanh toán này tương đối khó theo dõi. Đó là lý do tại sao chúng phổ biến với những kẻ tống tiền. Nhưng cũng có điểm yếu: Western Union yêu cầu ít nhất một số nhận dạng, các tùy chọn trả trước như MoneyPak có mức giới hạn đô la, làm hạn chế khả năng thanh toán tiền chuộc số lượng lớn.

“Bất kỳ mạng thanh toán nào cũng phải tính toán đến tính hợp pháp. Khi tỷ lệ phần trăm của các giao dịch bất hợp pháp đạt đến tỷ lệ nhất định, hệ thống sẽ bị kỳ thị”.

Bitcoin có tất cả các lợi thế để giải quyết những hạn chế như vậy: không có giới hạn số tiền thanh toán, không bao giờ bị đóng băng và mạng là toàn cầu. Và kể từ khi chủng ransomware Bitcoin đầu tiên Cryptolocker xuất hiện vào năm 2013, Bitcoin đã trở thành phương thức thanh toán ưa thích của các nhà khai thác ransomware.

Thị trường tiền chuộc Bitcoin ban đầu khá nhỏ cho đến năm 2017. Trong một hội nghị bảo mật RSA gần đây, nhân viên FBI Joel DeCapua đã thống kê từ tháng 10/2013 đến mùa thu năm 2019 có 144 triệu đô la thanh toán tiền chuộc Bitcoin.

Để tìm được con số này, DeCapua đã tái tạo các phương pháp được sử dụng trong một nghiên cứu trước đó vào năm 2018 của nhóm các nhà nghiên cứu đến từ Google và Princeton. Nhóm này báo cáo kết quả tổng cộng 16 triệu đô la được dùng để thanh toán tiền chuộc từ năm 2013 đến tháng 8/2017. Phương pháp của họ dựa vào việc tìm địa chỉ Bitcoin hạt giống – địa chỉ mà tiền chuộc đã được trả – và các kỹ thuật như phân cụm để sao lưu tổng số tiền chuộc liên quan đến mỗi chủng ransomware.

Kết hợp nghiên cứu của Google/Princeton trước đó và nỗ lực mới hơn của FBI, khoảng 128 triệu đô la Bitcoin đã được trả từ tháng 8/2017 đến cuối năm 2019. Quả thật không phải là một con số nhỏ! Bài thuyết trình của DeCapua tiết lộ riêng Ryuk đã chiếm tới 61 triệu đô la tiền chuộc từ tháng 2/2018 đến tháng 10/2019.

Các điểm đến của Bitcoin Ransomware | Nguồn: FBI, Hội nghị RSA

Ransomware dần trở nên tinh vi hơn. Trong khi các chủng đầu tiên như Cryptolocker và Locky nhắm mục tiêu tùy tiện với số lượng tiền chuộc nhỏ thì các nhà khai thác Ryuk cẩn thận chọn mục tiêu cụ thể, thường là các tổ chức lớn như chính quyền thành phố hoặc công ty. Khi ở trong mạng của nạn nhân, hacker di chuyển ngang qua hệ thống để thỏa hiệp càng nhiều dữ liệu càng tốt. Điều này cho phép họ lấy được nhiều tiền chuộc hơn. Theo Coveware, trong quý IV/2019, mức thanh toán tiền chuộc trung bình đã tăng gấp đôi lên 84,116 đô la từ 41,198 đô la trong quý trước.

Tại sao nó là vấn đề?

Ransomware có thể có tác động lớn đến hệ sinh thái Bitcoin.

Dù muốn hay không thì bất kỳ mạng thanh toán nào cũng phải tuân theo quy định. Khi tỷ lệ phần trăm của các giao dịch bất hợp pháp đạt đến mức nhất định so với tổng số giao dịch, hệ thống sẽ bị kỳ thị. Công chúng, các chính trị gia, nhà thực thi pháp luật và nhà quản lý sẽ lên tiếng phản đối và hệ thống bị ngừng hoạt động hoặc các nhà điều hành buộc phải cải tổ nó.

E-gold đã gặp tình trạng tương tự vào năm 2007. Mạng e-gold đlà địa điểm nổi tiếng bán thẻ tín dụng phục vụ cho mục đích phạm pháp và FBI đã đóng cửa nó. Hoặc Western Union đã trở thành cách phổ biến để thực hiện các trò gian lận như gian lận thực thi pháp luật hoặc scam “tiền dây giúp thoát án tù”. Western Union không chỉ phải thực hiện các biện pháp chống gian lận mới mà còn phải trả khoản tiền phạt nửa tỷ đô la cho FTC.

MoneyPak thuộc sở hữu của Green Dot Bank cũng bị ‘sờ gáy’. Do sự phổ biến ngày càng tăng của MoneyPak trong các vụ lừa đảo qua điện thoại, người sáng lập Steve Streit của Green Dot đã được triệu tập trước Ủy ban Thượng viện vào cuối năm 2014. Streit khăng khăng chỉ có 30 triệu đô la trong số 20 tỷ đô la giá trị trong năm 2013 (0.25%) được quy cho là gian lận. Tuy nhiên, Streit chọn hủy kích hoạt MoneyPak vào năm 2015. Khi nó được đưa trở lại trực tuyến 1 năm sau đó, hệ thống đã được cải tổ. Quy trình thông tin khách hàng mới đảm bảo rằng chỉ những người dùng KYC mới có thể nhận được tiền từ MoneyPak.

Thẻ quà tặng cũng bị cho là công cụ để thực hiện hành vi vi phạm. Scam thẻ quà tặng đã thu hút sự chú ý của các Tướng chưởng lý ở Pennsylvania và New York. Năm 2018, họ đã gây áp lực cho Walmart, Best Buy và Target để thông báo các biện pháp hạn chế nạn lừa đảo thẻ quà tặng, bao gồm giới hạn các mệnh giá thẻ ở mức 500 đô la.

Không rõ liệu Bitcoin có gần đạt đến mức quan trọng trong tính toán tính hợp pháp hay không nhưng việc những kẻ lừa đảo sử dụng Bitcoin để làm tê liệt các trường học và nhà cung cấp dịch vụ chăm sóc sức khỏe đã gây ra thiệt hại khủng khiếp. Nếu nổi lên nhiều nạn nhân bị ảnh hưởng bởi các cuộc tấn công này thì đây sẽ là vùng đất màu mỡ chống lại chính trị và hệ thống quy định.

Chẳng hạn, Đạo luật tiền điện tử được đề xuất năm 2020 kêu gọi “theo dõi các giao dịch” của mỗi loại tiền điện tử. Về lý thuyết, truy tìm dấu vết sẽ giúp cắt giảm các cuộc tấn công đòi tiền chuộc. Nhưng một biện pháp như vậy dường như không thể thực hiện được. Green Dot và Western Union được tập trung hóa và có thể dễ dàng sửa đổi nhưng Bitcoin là vô chính phủ, điều đó có nghĩa là không có cách nào dễ dàng buộc nó thay đổi.

Nếu ransomware đã đưa Bitcoin vượt qua ranh giới hợp pháp, thì khả năng đẩy lùi tệ nạn có thể được thực hiện tại cơ sở hạ tầng của Bitcoin, chẳng hạn như sàn giao dịch. Có lẽ các sàn giao dịch sẽ bị giới hạn gửi hoặc nhận tiền từ/đến các địa chỉ được xác định. Hoặc họ có thể bị ngăn không nhận Bitcoin từ các dịch vụ trộn coin để làm xáo trộn lịch sử giao dịch.

Khi chủ đề về ransomware xuất hiện tại Hội nghị Thị trưởng Hoa Kỳ 2019, 225 thị trưởng cho biết quyết tâm không trả tiền chuộc. Sự tức giận của họ chủ yếu nhắm vào các hacker, chứ không phải cơ chế thanh toán. Các tính toán tương tự áp dụng cho các hệ thống thanh toán khác dường như không áp dụng cho Bitcoin – ít nhất là bây giờ.

• FBI: Tấn công Ransomware Bitcoin đã kiếm được khoảng 144 triệu đô la trong vòng 7 năm
• Ransomware bùng nổ trong thời đại của Bitcoin như thế nào?

Thùy Trang

Theo Coindesk