Góc việc tử tế: Chiến dịch ransomware yêu cầu nạn nhân làm việc thiện để chuộc dữ liệu

Ransomware (mã độc tống tiền) là một dạng phần mềm độc hại vốn không còn xa lạ trong thế giới internet ngày nay. Kịch bản thường thấy nhất của một chiến dịch tấn công ransomware là lây nhiễm vào hệ thống mục tiêu, sau đó mã hóa toàn bộ dữ liệu và yêu cầu nạn nhân thanh toán tiền chuộc, thường là dưới dạng tiền điện tử, để lấy lại dữ liệu.

Tuy nhiên, một chiến dịch ransomware mới được phát hiện gần đây đã làm thay đổi quan điểm của nhiều người về loại mã độc này, rằng chúng đôi khi cũng không đáng ghét hay đáng sợ như người ta vẫn nghĩ.

Các nhà nghiên cứu đến từ tổ chức bảo mật CloudSEK mới đây đã tình cờ phát hiện ra một phần mềm tống tiền sở hữu cách thức hoạt động cực kỳ độc đáo. Có tên gọi "GoodWill", thay vì đòi hỏi tiền chuộc như thông thường, mã độc sẽ yêu cầu nạn nhân phải thực hiện một “việc tử tế” nào đó để đổi lấy key giải mã dữ liệu. Mua đồ ăn cho những người kém may mắn, gửi chăn ấm cho người vô gia cư, hay tặng tiền cho những người nghèo ở bệnh viện là một vài yêu cầu điển hình mà ransomware muốn nạn nhân phải thực hiện để đổi lấy dữ liệu hệ thống.

Như có thể thấy trong ảnh chụp màn hình phía trên, GoodWill yêu cầu nạn nhân cung cấp quần áo và chăn màn cho những người vô gia cư trên đường phố, và quay video cụ thể về việc mình đã làm. Video này cũng phải được đăng lên mạng xã hội để khuyến khích những người khác cùng tham gia. Thông tin sau đó phải được gửi qua email cho những kẻ tấn công để làm bằng chứng.

Hoạt động thứ hai yêu cầu nạn nhân phải mua đồ ăn cho ít nhất 5 đứa trẻ với một “thái độ thân thiện”. Nạn nhân cũng sẽ phải chụp ảnh selfie với những đứa trẻ và một lần nữa đăng tải hình ảnh và video này lên mạng xã hội. Hình ảnh của hóa đơn nhà hàng cùng với liên kết đến các bài đăng trên mạng xã hội sau đó phải được gửi cho hacker để xác thực.

Cuối cùng, hoạt động thứ ba buộc nạn nhân phải đến bệnh viện và chi trả một phần hóa đơn điều trị y tế của những người thực sự có hoàn cảnh khó khăn. Yêu cầu bắt buộc vẫn sẽ là những bức ảnh selfie và cả bản ghi âm cuộc trò chuyện để làm bằng chứng. Nếu tất cả hợp lệ, key giải mã dữ liệu sẽ lập tức được cung cấp.

Công bằng mà nói thì việc phải thực hiện đầy đủ những yêu cầu trên là không hề đơn giản. Nhưng dù sao thì bên cạnh việc có thể lấy lại dữ liệu, các nạn nhân của GoodWill có thể cảm thấy tự hào vì mình đã làm được những việc thực sự có ích cho xã hội.

Kết quả điều tra sơ bộ từ CloudSEK cho thấy ransomware GoodWill nhiều khả năng bắt nguồn từ một tổ chức hacker có trụ sở ở Ấn Độ. Hoạt động của chủng mã độc kỳ lạ này vẫn đang được theo dõi tích cực.