'Thế giới ngầm' các hacker - Kỳ 1: Chuyên gia Việt lên tiếng về WannaCry tống tiền

Màn hình máy tính sau khi bị nhiễm WannaCry chứa rất nhiều file lạ do virus sinh ra, các file dữ liệu trên màn hình cũng bị mã hóa không còn sử dụng được nữa

Hacker đã trở một phần không thể thiếu của thế giới công nghệ. Đó có thể là một cá nhân hoặc cả tập thể thực hiện hành động xâm nhập vào hệ thống máy tính của những công ty công nghệ, các trang web thương mại, các trường đại học hay thậm chí là cơ quan an ninh, quốc phòng…

Việt Nam nằm trong nhóm 20 quốc gia bị ảnh hưởng nặng nhất bởi WannaCry

Lịch sử ngành công nghệ không thiếu những vụ tấn công đình đám của những hacker. Trong số đó, phải kể đến vụ tấn công của tay chơi máy tính người Nga tên Vladimir Levin. Năm 1995, Levin phá thủng mạng thông tin Citibank để cuỗm đi 10 triệu USD và trở thành hacker đầu tiên xâm nhập vào hệ thống máy tính ngân hàng với mục đích… ăn cắp tiền. Levin đã bị cảnh sát quốc tế Interpol bắt giữ khi đang thực hiện chuyển tiền vào nhiều tài khoản ở Mỹ, Phần Lan, Hà Lan, Đức và Israel.

Năm 2008, một vụ tấn công vào bên trong hệ điều hành Windows của một virus mang tên Conficker, do một nhóm hacker tạo ra. Virus này cho phép tin tặc ăn cắp mật khẩu và thông tin cá nhân của người dùng máy tính (bao gồm cả tài khoản ngân hàng). Mặc dù ngay sau khi phát hiện, Microsoft đã tung một bản cập nhật vá lỗi cho người dùng. Song, vẫn không thể ngăn cản sự lây nhiễm của virus Conficker trên hàng triệu máy tính của rất nhiều doanh nghiệp và người dùng cá nhân.

Nhiều công sở, trường học, bệnh viện bị nhiễm virus WannaCry

Gần đây nhất là sự xâm nhập của mã độc tống tiền WannaCry với quy mô lớn và tốc độ phát tán nhanh chóng, khiến cả thế giới “đau đầu”. Việc tìm hiểu “Mã độc tống tiền là gì và nó được tạo ra như thế nào?” vẫn đang là một câu hỏi khó đối với nhiều chuyên gia an ninh mạng…

Tại sao mã độc tống tiền WannaCry lại nguy hiểm nhất thế giới?

Mã độc tống tiền hay còn được gọi là Ransomware là loại phần mềm độc hại không chỉ nhắm đến máy tính chạy Windows mà đôi khi có thể nhắm đến máy tính Mac của Apple và nền tảng di động Android của Google.

Các file vẫn sử dụng được bình thường khi máy tính chưa bị nhiễm virus WannaCry

“Có nhiều dạng ransomware khác nhau nhưng mục đích chung của chúng đều là ngăn chặn người dùng sử dụng thiết bị của mình một cách bình thường. Thông thường ransomware sẽ mã hóa dữ liệu trên thiết bị, hoặc ngăn chặn các phần mềm được kích hoạt trên máy tính hoặc đôi khi hiển thị các hộp thoại thông báo mà người dùng không thể đóng lại được, khiến họ cảm thấy khó chịu khi sử dụng máy tính hay smartphone của mình”, L.T.Đ (27 tuổi), một hacker có tiếng trong giới UG (Underground: thế giới ngầm của các hacker), cho biết.

Các file đã bị mã hóa và không thể sử dụng được nữa khi máy tính nhiễm virus WannaCry

Cũng theo L.T.Đ, ransomware sẽ yêu cầu người dùng trả tiền cho thủ phạm đứng sau loại mã độc này, đổi lại sẽ được thủ phạm cung cấp cách thức để giải mã các dữ liệu đã bị ransomware mã hóa hoặc cung cấp giải pháp để gỡ bỏ các phần mềm độc hại đang hoạt động trên thiết bị.

Khi chúng tôi thắc mắc, có cách nào để lấy lại dữ liệu đã bị ransomwave mã hóa không? Hacker này khẳng định, đây là câu hỏi không có câu trả lời cụ thể: “Gỡ bỏ hoặc giải mã dữ liệu đã bị lấy cắp bởi ransomware là một việc khá phức tạp và đòi hỏi một kiến thức nhất định về công nghệ. Người dùng phổ thông có thể chờ đợi những công cụ chuyên dụng để loại trừ loại mã độc tống tiền đó được các hãng bảo mật cung cấp nhằm gỡ bỏ chúng ra khỏi thiết bị của mình”.

Để có được những đánh giá tổng quan về mã độc WannaCry, cũng như nhiều loại mã độc máy tính khác, chúng tôi đã có một cuộc khảo sát đối với các sinh viên đang theo học tại trường ĐH CNTT TP.HCM.

Nguyễn Phan Thanh An, sinh viên năm cuối ngành Quản trị mạng, cho biết: “Có thể nói như vậy, mã độc WannaCry được tạo nên từ nguyên lý mã hóa toàn bộ dữ liệu như một hình thức bắt cóc và yêu cầu tiền chuộc từ nạn nhân để thả dữ liệu ra, sau khi lây nhiễm vào máy, WannaCry sẽ tự động tìm đến các máy khác trong cùng mạng máy tính với máy bị lây nhiễm nhờ lỗ hổng trong cơ chế trao đổi file trong mạng nội bộ của Windows”.

Ngoài ra, anh chàng cũng nói thêm, trước đây hình thức này đã từng được sử dụng và được định danh vào nhóm ransomwere (tức là các phần mềm có cơ chế mã hóa file và tống tiền nạn nhân). Tuy nhiên, mã độc tống tiền WannaCry lần này gây thiệt hại nặng nề hơn cả, bởi nó tận dụng được những sai sót trong bảo mật của hệ điều hành Windows.

Hơn 80% tổng số phiếu khảo sát đều đồng ý với việc phần mềm tống tiền (ransomware) rất nguy hiểm bởi chúng "hiểu" dữ liệu của người dùng luôn quan trọng nhất với chính người đó. Việc giữ dữ liệu làm "con tin" sẽ có hiệu quả hơn là chỉ đánh cắp hoặc xóa đi.

Craig Wright thừa nhận mình là Satoshi Nakamoto, cha đẻ của tiền ảo Bitcoin

Lý giải về cách thức giao dịch của các hacker, Đỗ Trọng Hùng, sinh viên năm 3 ngành Khoa học máy tính, cho biết: "Hầu hết các cuộc công đòi tiền chuộc đều cho các mã độc lây nhiễm vào máy tính thông qua một email chứa đường dẫn đến mã độc, và các phương thức thanh toán lúc bấy giờ cũng khá đơn giản khi hacker yêu cầu chuyển tiền mặt qua Western Union hay qua một tài khoản ngân hàng". Tuy nhiên, cách thức này cũng "làm khó" hacker bởi nguy cơ bị cảnh sát "bắt tại trận".

Hùng cũng nói thêm, mối đe dọa của các hacker đã thay đổi khi Satoshi Nakamoto (doanh nhân công nghệ người Úc, tên thật là Craig Wright) đã phát minh ra tiền ảo Bitcoin vào năm 2009. Phát minh này đã vô tình mang lại lợi thế cực kì to lớn cho giới tội phạm mạng. Đến thời điểm hiện tại, Bitcoin đã có giá trị hơn 1.300 bảng, và có thể được lưu trữ trong một ví ảo được xác định bằng một con số ngẫu nhiên.

WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows rất phổ biến trên các máy tính mà hầu hết chúng ta đang sử dụng. Lỗ hổng nghiêm trọng này mới chỉ được phát hiện vào tháng 2 năm nay. WannaCry sử dụng một chìa mã hóa riêng để mã hóa các dữ liệu mà chỉ những kẻ tấn công mới biết. Nếu tiền chuộc không được thanh toán, dữ liệu sẽ bị mất mãi mãi.

Thông qua mã độc WannaCry, tin tặc sẽ tìm mọi cách để người dùng tiếp cận được yêu cầu của chúng như: “Thay thế hình nền, tự mở cửa sổ hướng dẫn cụ thể cách thức trả tiền để khôi phục các tập tin. Thậm chí, hướng dẫn này còn được dịch đầy đủ sang ngôn ngữ của hầu hết các nước. Số tiền thường được đòi là từ 300 đến 500 USD. Giá có thể tăng lên gấp đôi nếu tiền chuộc không được thanh toán sau 3 ngày. Trong trường hợp của WannaCry, kẻ gian đòi tiền chuộc bằng bitcoin, một loại tiền ảo nên rất khó để các cơ quan pháp luật nắm bắt”, Thanh An giải thích khá chi tiết.

Lưu Trân

Lưu Trân