Ransomware sẽ bước sang tuổi 30 vào tháng này. Nó là phần mềm độc hại do nhà sinh học Joseph L. Popp tốt bụng nhưng kỳ quái phát minh ra. Hiện tại, phần mềm này đang phát triển mạnh mẽ.
Các cuộc tấn công ransomware tăng vọt 118% trong quý đầu tiên của năm nay cho thấy các tin tặc đã ra tay trừng phạt chính quyền tiểu bang và địa phương, trong khi tiếp tục nhắm vào các doanh nghiệp, trường đại học và bệnh viện.
Sự thịnh vượng của vấn nạn này là do ba yếu tố cộng sinh: Cuộc sống của con người ngày càng phụ thuộc vào số hóa, những kẻ lừa đảo cực kỳ tinh vi cũng đưa ra các chủng virus mạnh hơn và tỷ lệ tiền chuộc không thể kiểm soát được – hiện nay hầu như luôn được thanh toán bằng Bitcoin hoặc các loại tiền điện tử khác.
Nhu cầu của hacker cũng đang tăng lên cùng với hiệu quả tác phẩm của bọn chúng. Theo các chuyên gia Coveware, để phục hồi ransomware, khoản thanh toán tiền chuộc trung bình tăng 184% trong nửa đầu năm 2019. Phần lớn, đó là ‘nhờ’ vào số vụ tấn công ngày càng tăng với các chủng ransomware mới như RYUK đối với các doanh nghiệp lớn. Tiền chuộc trung bình được yêu cầu hiện tại là 4,300 đô la.
Các chuyên gia phục hồi dữ liệu cho biết để có được giải pháp giải quyết vấn đề nhanh chóng, hầu hết nạn nhân trả tiền trong tuyệt vọng. Trên thực tế, theo một báo cáo, nhiều doanh nghiệp đã bắt đầu tích trữ tiền điện tử để đề phòng trường hợp bị tấn công. Do đó, một số nhà phân tích tự hỏi các cuộc tấn công ransomware lớn có thể ảnh hưởng đến giá của tiền điện tử không?
Chúc mừng sinh nhật ransomware
Ransomware là danh mục virus máy tính được thiết kế để nhanh chóng lây lan trên các mạng máy tính và mã hóa các tệp trên đó. Virut này sẽ giúp các hacker thu thập tài liệu nhạy cảm làm con tin cho đến khi nạn nhân trả tiền chuộc.
Chủ yếu, nó tấn công có chủ đích viện dưỡng lão, các nhà cung cấp cơ sở hạ tầng địa phương và các thành phố. Vào tháng 5, một cuộc tấn công RYUK vào Thành phố Riviera Beach, Florida đã buộc chính quyền địa phương phải chi ra 600,000 đô la để giải mã các tập tin bị đóng băng. Vào tháng 10, hacker cho biết đã tấn công trang web hành chính của Thành phố Johannesburg, Nam Phi và đe dọa sẽ công bố dữ liệu bị đánh cắp trên Internet, trừ khi họ nhận được khoản tiền chuộc Bitcoin trị giá 30,000 đô la. Tuy nhiên, tin tức khẳng định thành phố đã từ chối trả tiền.
Mặc dù đem lại những thiệt hại nặng nề nhưng ngay từ ban đầu ransomware không được tạo ra để phục vụ mục đích xấu.
Nhà phát minh Popp được đào tạo ở trường đại học Harvard là một người đa năng. Như ông tuyên bố, ransomware ra đời vào năm 1989 vì mong muốn chống lại đại dịch AIDS. Trong quyết định sai lầm của mình để kiếm tiền ngăn chặn căn bệnh thế kỷ, ông đã gửi hơn 20,000 đĩa mềm bị nhiễm virut đến danh sách đại biểu của một diễn đàn thuộc Tổ chức Y tế Thế giới. Khi người nhận chạy các đĩa, máy tính của họ bị đóng băng và thông báo trên màn hình đã hướng dẫn họ gửi tiền để truy cập vào đĩa thứ hai nhằm khôi phục các tệp.
Popp đã bị bắt, nhưng được coi là không đủ khả năng ra tòa vì hành vi ngày càng kỳ lạ của ông (như đeo bao cao su trên mũi và đeo máy uốn tóc để tránh phóng xạ). Ông chết năm 2006 trong một tai nạn xe hơi và không thể chứng kiến phát minh của mình phát triển, tăng cường phương pháp mã hóa ‘hiệu quả hơn’ cũng như trở thành một trong những tội phạm mạng phổ biến nhất thế giới.
Ransomware và Bitcoin
Tuy nhiên, ransomware hoạt động theo kiểu nhỏ lẻ trong nhiều năm cho đến khi Bitcoin bắt đầu thu hút mạnh mẽ vào năm 2012 thì nó đã thực sự bùng nổ. Các hacker đã yêu loại tiền chuộc bằng tiền kỹ thuật số phi tập trung, gây khó khăn cho việc theo dõi hoặc chặn các khoản thanh toán. Đồng thời, họ cũng dễ dàng rửa tiền hơn khi thu được số lượng kha khá. Giáo sư Kinh tế Edward Cartwright tại Đại học De Montfort ở thành phố Leicester Vương quốc Anh nói:
“Hoàn toàn đúng khi nói rằng ransomware và tiền điện tử luôn song hành với nhau. Ransomware rất phụ thuộc vào tiền điện tử và Bitcoin nói riêng”.
Theo dữ liệu từ Coveware, Bitcoin chiếm khoảng 98% thanh toán ransomware trong quý đầu tiên của năm 2019. Kết quả là nó đã trở thành một phần không thể tách rời của mô hình ransomware. Cartwright cho biết:
“Không chỉ cung cấp ẩn danh và không thể điều tra được dấu vết của bọn tội phạm, đây cũng là điều mà các nạn nhân sẵn sàng tham gia”.
Ngành công nghiệp ransomware
Thật vậy, một số chuyên gia nói rằng sự chấp nhận và hiểu biết ngày càng tăng về tiền điện tử đã khiến ransomware trở thành tội phạm phổ biến hơn nhiều. Nhà đồng sáng lập Victor Congionti và CEO của Proven Data Recover có trụ sở tại New York cho biết:
“Tôi tin rằng tiền điện tử đã đóng vai trò quan trọng trong đại dịch ransomware”.
Tất nhiên, trong một số trường hợp, nạn nhân có thể bắt được kẻ xâm nhập trước khi ransomware được kích hoạt hoặc lây lan hoàn toàn. Trong các trường hợp khác, khi chủng virut đặc biệt không kiểm soát được thì có thể có khả năng mang lại bất hạnh cho kỹ sư hoặc tạo ra “một tiện ích giải mã”. Nhưng hết 9 trong 10 cách duy nhất để khôi phục các tệp là lấy các công cụ giải mã bằng cách trả tiền chuộc.
Do đó, dịch vụ cốt lõi mà Proven Data và các chuyên gia phục hồi dữ liệu khác cung cấp có thể hỗ trợ các nạn nhân sẵn sàng trả tiền chuộc Bitcoin cho các hacker.
Các nhà cung cấp phần mềm chống vi-rút như Emsisoft đôi khi tìm cách vô hiệu hóa ransomware và đăng các bản sửa lỗi trực tuyến miễn phí. Nhưng họ chỉ có thể giải mã ransomware nếu có lỗi trong phần mềm cơ bản hoặc nếu lỗi bảo mật cho phép các nhà nghiên cứu hack vào máy chủ của kẻ tấn công. Nếu không, về cơ bản, nó hoàn toàn không làm gì được. Congionti khẳng định:
“Phần lớn các trường hợp đều yêu cầu thanh toán, vì họ sử dụng mã hóa mạnh. Và ở đó, không có cách nào khác ngoài việc trả tiền hoặc khôi phục dữ liệu từ các bản sao lưu”.
Edward Cartwright cho biết:
“Ransomware đã giúp đưa Bitcoin lên các trang báo và chúng tôi biết rằng giá Bitcoin tăng lên bất cứ khi nào có tin hot”.
Theo số liệu thống kê được Bộ An ninh Nội địa Hoa Kỳ đăng tải, kể từ năm 2016, đã có khoảng 4.000 cuộc tấn công ransomware mỗi ngày, lên tới 1.5 triệu mỗi năm. Ít ai ngờ rằng các công ty như Proven Data đã hình thành mối quan hệ với hacker và thường có thể thương lượng giá xuống. Một hacker thậm chí còn cung cấp cho các công ty phục hồi dữ liệu “mã khuyến mại” độc quyền của các hãng. Họ đã được thông báo rằng sau khi trả tiền, họ sẽ nhận được mã giảm giá cho khoản tiền chuộc trong tương lai.
Congionti nói rằng chỉ trả tiền chuộc đôi khi là không đủ. Hacker thường cung cấp các khóa giải mã có chứa dữ liệu bị hỏng hoặc các tệp bị thiếu, sau đó cần được kiểm tra và tự khôi phục.
Phương pháp của bọn tội phạm cũng ngày càng tinh vi. Một số thậm chí đã khởi xướng các chương trình tự động thông qua hợp đồng thông minh đảm bảo giải mã khi nạn nhân gửi thanh toán. Như vậy, không có sự thương lượng giữa con người với con người bởi lẽ tội phạm được tự động hóa trên blockchain.
Dự trữ Bitcoin cho tiền chuộc
Theo các tính toán, có thể tốn gấp 3 lần để phục hồi dữ liệu so với trả tiền chuộc. Tốc độ mở khóa tài khoản bị đóng băng thường rất quan trọng đối với các doanh nghiệp và tổ chức, chẳng hạn như các công ty luật vì bất kỳ lúc nào cũng có thể đe dọa đến tính mạng.
Một cuộc khảo sát vào tháng 10/2019 của startup bảo mật dữ liệu Datto đã thăm dò 2,400 nhà cung cấp dịch vụ được quản lý và phát hiện ra rằng cuộc tấn công đòi hỏi tiền chuộc trung bình gây thiệt hại 46,800 đô la trong thời gian hệ thống ngừng hoạt động, gấp 10 lần nhu cầu tiền chuộc trung bình.
Do đó, các công ty như Proven Data có kế hoạch dự trữ Bitcoin cho các trường hợp dự phòng. Congionti cho biết: “Phải luôn có sẵn Bitcoin để hoạt động công ty không bị trì hoãn và được khôi phục càng sớm càng tốt”.
Một cuộc khảo sát khác vào năm 2018 được thực hiện bởi nhà cung cấp giải pháp bảo mật Code24 cho rằng các nạn nhân đang dự trữ tiền điện tử để giảm thiểu chi phí và gián đoạn sau vụ tấn công của ransomware. Nghiên cứu cho thấy gần 3/4 Giám đốc an toàn thông tin đã chọn cách cất giấu tiền điện tử đề phòng cho một sự kiện như vậy. Nhưng điều đáng chú ý là nghiên cứu này được thực hiện ở đỉnh điểm bùng nổ tiền điện tử, khi giá cả đang tăng lên.
Các chính sách của các công ty bảo hiểm cũng có thể góp phần gây ra vấn đề. Sự lây lan của ransomware phần nào thúc đẩy thị trường bảo hiểm mạng phát triển nhanh chóng. Theo dữ liệu gần đây nhất, từ năm 2015 đến 2017, phí bảo hiểm không gian mạng của Mỹ đã tăng gấp đôi lên mức 3.1 tỷ đô la.
Tổ chức điều tra phi lợi nhuận ProPublica đã công bố một báo cáo vào tháng 8, trong đó phát hiện ra rằng các công ty bảo hiểm đang vô tình giúp trả tiền chuộc, nhưng về cơ bản khuyến khích các hacker tiếp tục các cuộc tấn công này để kiếm lợi nhuận.
Công ty AIG khổng lồ trong ngành đã báo cáo vào tháng 7 rằng ransomware là nguyên nhân gây khiếu nạn hàng đầu thứ hai trong năm 2018 và dự kiến sẽ tăng trong năm 2019. Mặc dù số vụ tấn công đã thực sự giảm nhưng AIG cho biết chúng cũng trở nên tốn kém hơn, vì các mục tiêu đã dần hiện hình cụ thể hơn. Tội phạm tống tiền ngày càng nhắm đến các tổ chức có nhiều tiền hơn và sẵn sàng trả tiền chuộc để giảm thiểu gián đoạn hoạt động kinh doanh của họ.
Ransomware tác động đến Bitcoin như thế nào?
Một số nhà phân tích tin rằng tất cả hoạt động ransomware này chắc chắn sẽ ảnh hưởng đến giá Bitcoin. Cartwright của Đại học De Montfort bình luận:
“Ransomware đã giúp đưa Bitcoin lên các mục hot news và chúng tôi biết rằng giá Bitcoin tăng lên bất cứ khi nào có tin tức. Vì vậy, ransomware cũng một phần thúc đẩy giá Bitcoin”.
Cartwright tin rằng cuộc tấn công ransomware hoàn toàn có khả năng ảnh hưởng đến bất kỳ mô hình giao dịch thuật toán nào, do đó hãy tận dụng lợi thế của biến động giá tiềm năng sau một cuộc tấn công.
Nhưng điều đó không giúp ích gì cho chính quyền địa phương, các doanh nghiệp và các cơ quan thực thi pháp luật, là những người đang mong muốn các giải pháp cho các cuộc tấn công ransomware đe dọa làm tê liệt họ.
Mùa hè năm ngoái, để đáp trả yêu sách hàng triệu đô la của hacker, một liên minh gồm 227 thị trưởng Mỹ tuyên bố sẽ không trả tiền. Đó cũng có thể là giải pháp tốt nhất.
Theo các chuyên gia phục hồi dữ liệu kể cả Proven Data, các cuộc tấn công ransomware ngày càng khẳng định đặc điểm có tổ chức của tội phạm mạng và sợ rằng nhiều khoản thanh toán tiền chuộc cuối cùng nằm trong tay các nhóm khủng bố. Thông qua việc trả tiền chuộc, chính quyền địa phương đang vô tình tài trợ cho họ.
Một cuộc tấn công có tính toán
Các quan chức chính phủ hy vọng rằng với an ninh bảo mật tốt hơn, họ có thể bảo vệ các thành phố khỏi các cuộc tấn công này. Congionti đề nghị chính phủ nên bắt buộc các doanh nghiệp phải sử dụng một số giao thức bảo mật cơ bản.
Trong năm nay, Nhà Trắng và Thượng viện Hoa Kỳ đã phê chuẩn các phiên bản dự luật cho phép Bộ An ninh Nội địa Hoa Kỳ đầu tư nguồn lực để giúp các tiểu bang và thành phố đối phó hiệu quả hơn với vấn nạn tấn công ransomware.
Dù bằng cách nào, chính sách kiên quyết không trả tiền chuộc phải giúp xóa bỏ tai họa ransomware.
Nhưng hiện tại, phần mềm ransomware RYUK đặc biệt mạnh mẽ và đôi khi thậm chí có thể tìm cũng như phá hủy các bản sao lưu. Nó được đặt theo tên của thần chết trong anime Death Note và được cho là có nguồn gốc từ Bắc Triều Tiên.
Trong 5 tháng đầu năm 2019, RYUK đã tấn công hơn 500 trường học và kiếm được cho các hacker hơn 3 triệu đô la Bitcoin. Các chuyên gia bảo mật dự đoán các cuộc tấn công ransomware mới chống lại chính quyền địa phương sẽ càng lan rộng vào năm 2020.
Ở tuổi trưởng thành 30, phát minh của Popp có khả năng vượt trội hầu hết các nỗ lực cản trở nó. Tuy là sinh nhật nhưng chắc hẳn chẳng ai vui vẻ ngoài những tên hacker ‘được đằng chân lên đằng đầu’!
- Mạng lưới radio lớn nhất của Tây Ban Nha bị Ransomware tấn công và đòi tiền chuộc 800,000 đô la Bitcoin
- Ransomware Sodinokibi mới gây ra thiệt hại lên đến hàng triệu đô la
Minh Anh
Tạp chí Bitcoin | Decrypt
