Ransomware đã 'tiến hóa' thế nào

Mã độc tống tiền (ransomware) là một trong những rủi ro bảo mật lớn nhất hiện nay. Không chỉ mã hóa dữ liệu, người dùng và tổ chức còn đối diện nguy cơ thiệt hại tài chính, mất uy tín.

Dù mới phổ biến vài năm gần đây, ransomware thực chất đã xuất hiện hơn 30 năm trước. Từ các phiên bản đầu tiên chỉ đổi tên file hay giấu mật khẩu trong mã nguồn, những biến thể ransomware ngày càng hoạt động tinh vi, thậm chí kết hợp đánh cắp, rò rỉ dữ liệu để gây áp lực cho nạn nhân.

Ransomware đầu tiên ra sao

Chiến dịch tấn công ransomware đầu tiên được ghi nhận năm 1989 với trojan AIDS.

Thời điểm đó, 20.000 người tham gia hội nghị về AIDS của Tổ chức Y tế Thế giới (WHO) nhận được đĩa mềm gửi bởi PC Cyborg Corp, cùng tờ giấy ghi rằng bên trong đĩa chứa chương trình tương tác để tìm hiểu về AIDS.

Thực chất, PC Cyborg Corp là công ty giả mạo. Thay vì chương trình tìm hiểu AIDS, đĩa mềm gồm 2 file, một file chứa virus viết bởi nhà sinh vật học Joseph Popp.

Khi cho đĩa mềm vào máy tính và nhập lệnh cài đặt, virus sẽ chiếm quyền điều khiển autoexec.bat, tập tin chứa lệnh khởi động Windows.

Đĩa mềm chứa mã độc tống tiền AIDS. Ảnh: Seytonic.

Sau 90 lần khởi động, virus mã hóa toàn bộ tên file trong máy, không thể mở như bình thường. Một thông báo hiện lên màn hình, yêu cầu nạn nhân trả tiền chuộc hàng năm hoặc trọn đời (lần lượt 189 USD và 378 USD) để giải mã.

Mã độc này chỉ đổi tên file, không mã hóa nội dung nên có thể gỡ bỏ bằng phần mềm CLEARAID do chuyên gia máy tính Jim Bates và John Sutcliffe phát hành miễn phí năm 1990.

Tiến sĩ Popp, tác giả mã độc bị bắt với 11 cáo buộc tống tiền, nhưng được trả tự do vì không đủ sức khỏe tinh thần để hầu tòa.

Trở lại sau nhiều năm

Ransomware trở lại vào 2005 với trojan GPcode. Theo Flashpoint, GPcode tấn công máy tính Windows với thuật toán mã hóa đối xứng (symmetric), khóa mã hóa và khóa giải mã giống nhau.

Đến năm 2010, biến thể mới của GPcode dùng mã hóa bất đối xứng RSA-1024 với khóa công khai (nhúng vào virus để mã hóa) và khóa riêng tư (thuộc sở hữu của người tạo virus để giải mã).

Với trojan này, các định dạng file phổ biến như .doc, .xls hay .rar đều bị mã hóa, yêu cầu người dùng trả 100-200 USD để giải mã.

File bị mã hóa và thông báo nhập mật khẩu giải mã của Archiveus. Ảnh: F-Secure.

Trước đó vào năm 2006, Archiveus là ransomware đầu tiên dùng thuật toán RSA, ảnh hưởng các file trong thư mục “My Documents”. Nếu nạn nhân trả tiền, kẻ xấu sẽ cung cấp mật khẩu dài 30 ký tự để giải mã.

Dù thuật toán bảo mật phức tạp, mật khẩu của Archiveus được tìm thấy trong mã nguồn vào tháng 5/2006.

Tương tự, trước khi GPcode chuyển sang thuật toán RSA, các file có thể khôi phục mà không cần mật khẩu. Do đó, hacker giai đoạn này thường dùng thủ đoạn tấn công khác.

Năm 2009, virus Vundo xuất hiện, khai thác lỗ hổng plug-in trình duyệt viết bằng Java, hoặc tự tải xuống nếu người dùng nhấn vào file độc hại trong email. Sau khi cài đặt, Vundo tấn công, ngăn chặn các phần mềm bảo mật như Windows Defender, Malwarebytes...

Ít lâu sau, trojan WinLock xuất hiện vào năm 2010. 10 tội phạm mạng tại Moscow (Nga) sử dụng phần mềm này để khóa máy tính, hiển thị nội dung khiêu dâm đến khi nạn nhân trả số tiền tương đương 10 USD. Nhóm tin tặc này bị bắt vào tháng 8 cùng năm, sau khi thu về khoảng 16 triệu USD.

Hình ảnh khiêu dâm kèm thông báo mã hóa dữ liệu bởi virus WinLock. Ảnh: KnowBe4.

Năm 2012, một ransomware xuất hiện có tên Reveton. Sau khi lây nhiễm, phần mềm hiện thông báo mạo danh Cục Điều tra Liên bang Mỹ (FBI) phát hiện nạn nhân xem phim khiêu dâm, đe dọa truy tố nếu không trả tiền.

Một biến thể của Reveton cũng xuất hiện trên máy tính Mac dù không mã hóa file. Thay vào đó, trojan chuyển hướng tất cả website đến trang giả danh FBI, yêu cầu nạn nhân trả tiền để duyệt web như bình thường.

Khi nhiều biến thể ransomware xuất hiện, số vụ tấn công tống tiền ghi nhận trong năm 2012 tăng gần 4 lần so với 2011.

Bắt đầu bùng nổ

Tháng 9/2013, xuất hiện ransomware có tên CryptoLocker. Đây là mã độc tống tiền đầu tiên có thể phát tán qua botnet Gameover Zeus, bên cạnh các thủ đoạn truyền thống như email lừa đảo.

Sau khi kết nối máy chủ, phần mềm tải một gói file nhỏ để tạo mã khóa công khai, từ đó mã hóa tài liệu, hình ảnh và các file khác trên máy tính trước khi hiện thông báo đòi tiền.

Tin tặc yêu cầu nạn nhân trả 400 USD qua thẻ tín dụng hoặc Bitcoin. Trong nghiên cứu của Đại học Kent, 41% nạn nhân đồng ý trả tiền. Theo dõi 4 địa chỉ ví Bitcoin được nạn nhân cung cấp, giá trị các giao dịch lên đến 27 triệu USD.

Do sử dụng thuật toán mã hóa RSA 2048-bit, CryptoLocker rất khó bẻ khóa. Phải đến khi botnet Gameover Zeus bị triệt phá vào 2014, ransomware này mới ngừng lây lan.

Thông báo đòi tiền chuộc của CryptoLocker. Ảnh: Varonis.

Thành công của CryptoLocker khiến ransomware phát triển mạnh. Ra đời vào năm 2014, CryptoWall được mệnh danh là bản kế thừa của CryptoLocker.

Mã độc phần lớn lây lan qua email lừa đảo, trở thành mối nguy lớn suốt nhiều năm. Một số báo cáo cho biết CryptoWall đã gây thiệt hại 325 triệu USD vào năm 2018.

Năm 2014 chứng kiến Oleg Pliss, chiến dịch tống tiền nhắm đến người dùng thiết bị Apple. Tin tặc sử dụng tài khoản Apple bị đánh cắp để khóa iPhone từ xa bằng tính năng Find my iPhone. Để mở khóa, nạn nhân phải chuyển tiền vào tài khoản được chỉ định.

Android cũng hứng chịu đợt tấn công ransomware đầu tiên vào năm 2014 với tên Spyeng. Không chỉ lây nhiễm một thiết bị, phần mềm còn gửi tin nhắn kèm link lây lan đến toàn bộ danh bạ.

Chiến dịch tấn công Oleg Pliss nhắm vào người dùng thiết bị Apple để đòi tiền chuộc. Ảnh: Victorville Daily Press.

Chiến dịch tấn công ransomware đầu tiên trên máy Mac được ghi nhận năm 2016 với tên KeRanger. Đính kèm trong ứng dụng torrent Transmission 2.90, ransomware khóa máy tính của nạn nhân cho đến khi trả 1 Bitcoin (khoảng 400 USD).

Một ransomware khác trên Mac OS có tên Patcher xuất hiện vào tháng 2/2017. Mã độc cũng lây lan qua trình tải file torrent, giả dạng công cụ bẻ khóa phần mềm Office 2016, Adobe CC 2017...

Dù vậy do sai sót trong khâu lập trình, Patcher không thể giải mã dù nạn nhân trả tiền chuộc.

Hình thức tấn công mới

Đến 2016, những biến thể ransomware ngày càng phổ biến, với sự xuất hiện lần đầu của thể loại RaaS (Ransomware-as-a-Service). Trong đó, nhóm viết mã độc bán phần mềm cho hacker dưới dạng dịch vụ để tự phát tán.

Một số RaaS nổi tiếng trong giai đoạn này gồm Ransom32 (ransomware đầu tiên viết bằng JavaScript), shark và Stampado, được bán trên chợ đen với giá 39 USD.

Năm 2016 cũng ghi nhận sự nổi lên của Petya. Ban đầu, ransomware này không thành công như CryptoWall, nhưng một biến thể xuất hiện vào 2017, được Kaspersky đặt tên notPetya lại gây thiệt hại lớn.

Cuộc tấn công bắt đầu từ Ukraine, nhanh chóng lan rộng trên toàn cầu thông qua lỗ hổng EternalBlue trên Windows. Theo Nhà Trắng, notPetya gây thiệt hại khoảng 10 tỷ USD.

Thông báo đòi tiền chuộc của WannaCry. Ảnh: The Guardian.

WannaCry, một trong những ransomware khét tiếng nhất, xuất hiện vào năm 2017. Tương tự notPetya, WannaCry lây lan thông qua lỗ hổng EternalBlue.

Sau khi bùng phát, WannaCry đã lây nhiễm hơn 230.000 máy tính tại 150 quốc gia, gây thiệt hại 4 tỷ USD. Dù Microsoft đã vá lỗ hổng 2 tháng trước khi mã độc lây lan, nhiều người chưa cập nhật hệ thống nên vẫn nhiễm WannaCry.

Thiệt hại bởi WannaCry có thể nghiêm trọng hơn nếu không có sự đóng góp của nhà khoa học máy tính Marcus Hutchin. Dù vậy, anh bị FBI bắt giữ do liên quan đến việc phát tán mã độc khác. Tháng 7/2019, Hutchin được trả tự do.

Những đợt tấn công lớn

Tháng 1/2018 đánh dấu bước ngoặt của ransomware với GandCrab. Ban đầu không có gì đặc biệt, song nhà phát triển liên tục cải tiến mã độc, tích hợp phần mềm đánh cắp thông tin Vidar để tạo ra ransomware vừa đánh cắp, vừa mã hóa dữ liệu.

GandCrab nhanh chóng trở thành RaaS phổ biến, chủng ransomware hoạt động tích cực giai đoạn 2018-2019.

Team Snatch, nhóm tin tặc hợp tác với GandCrab, mở ra xu hướng công bố dữ liệu bị đánh cắp. Một trong những nạn nhân là công ty phần cứng Citycomp, bị công khai dữ liệu trên diễn đàn tội phạm mạng Exploit do không trả tiền.

Dù vậy, GandCrab không còn tiếng tăm khi nhóm phát triển tuyên bố dừng hoạt động vào ngày 1/6/2019. Đến tháng 7 cùng năm, FBI phát hành công cụ giải mã ransomware này.

Thông báo đe dọa công khai dữ liệu của một doanh nghiệp bị tấn công ransomware. Ảnh: Heimdal Security.

Tuy Team Snatch biến mất từ năm 2019, hành động tung dữ liệu lên mạng tạo tiền đề cho ransomware Maze, và các diễn đàn chuyên rò rỉ dữ liệu.

Thủ đoạn này khiến sao lưu dữ liệu không còn quan trọng, bởi ransomware có thể đánh cắp và gửi bản sao file cho tin tặc, nạn nhân không chỉ đơn thuần trả tiền giải mã như trước. Họ có thể trả nhiều tiền hơn để chuộc dữ liệu, đặc biệt nếu chúng nhạy cảm và quan trọng.

Năm 2021, Colonial Pipeline, công ty vận hành đường ống dẫn nhiên liệu tinh luyện lớn nhất Mỹ, bị tấn công ransomware. Sự cố khiến một số đường ống phải ngừng hoạt động.

Joseph Blount, CEO Colonial Pipeline, thừa nhận đã trả nhóm tin tặc 4,4 triệu USD để chuộc dữ liệu.

Hacker rao bán dữ liệu sau khi tấn công ransomware vào hệ thống Thư viện Quốc gia Vương quốc Anh. Ảnh: BBC.

Đến năm 2022, chính phủ Costa Rica ban bố tình trạng khẩn cấp do bị tấn công ransomware, tin tặc đòi 20 triệu USD tiền chuộc với "quyết tâm lật đổ chính phủ bằng tấn công mạng".

Tháng 10/2023, một cuộc tấn công đánh sập website Thư viện Quốc gia Vương quốc Anh. Rhysida, nhóm tin tặc đứng sau vụ tấn công còn đánh cắp dữ liệu người dùng, đe dọa bán trên mạng nếu không trả tiền chuộc.

Dù ransomware chưa thay thế hoàn toàn mọi phần mềm độc hại, đây là lựa chọn phổ biến cho tin tặc vì có thể mua dễ dàng trên dark web. Các chương trình RaaS có cả hệ thống điều khiển, hướng dẫn và bộ phận hỗ trợ kỹ thuật.

Hiện tại, ransomware tiếp tục đe dọa các tổ chức trên toàn cầu, gây thiệt hại hàng chục triệu USD mỗi năm.

Sự nổi lên của ransomware cũng gắn với sự phát triển của công nghệ, chẳng hạn như thuật toán mã hóa, Bitcoin hay Tor, có thể vận hành bởi một tổ chức, thay vì chỉ cá nhân hay một nhóm nhỏ hacker như trước.

Phúc Thịnh