5 vụ tấn công ransomware lớn nhất trong 5 năm qua

Vài năm qua, chúng ta đã thấy gia tăng đáng kể các vụ tấn công liên quan tới mã độc tống tiền nhưng ransomware vốn không phải thứ gì mới. Malware dùng dữ liệu để tống tiền đã có từ nhiều năm trước. Năm 1991, một nhà sinh học đã phát tán PC Cyborg, ransomware đầu tiên, bằng cách gửi đĩa mềm qua mail tới cho các nhà nghiên cứu AIDS.

• Lý thuyết - Ransomware là gì?

Giữa những năm 2000, Archiveus là ransomware đầu tiên sử dụng mã hóa dù nó đã bị đánh bại từ lâu và bạn có thể tìm thấy mật khẩu của nó trên Wikipedia. Từ năm 2010 đã xuất hiện các ransomware của cảnh sát, được dùng để cảnh báo các hành vi vi phạm pháp luật và yêu cầu trả tiền phạt. Sau này, chúng bắt đầu khai thác các dịch vụ thanh toán nặc danh để dễ dàng thu lợi mà không bị bắt.

Trong những năm qua, từ khi chỉ gây tò mò và bực mình, ransomware đã trở thành thảm họa bám riết lấy các tổ chức gián điệp tối mật và các tổ chức quốc tế. Những vụ tấn công ransomware lớn nhất trong nửa thập kỉ qua sẽ cho chúng ta thấy rõ sự phát triển của kiểu malware này.

CryptoLocker

Xuất hiện vào năm 2013, CryptoLocker đã mở ra kỉ nguyên ransomware trên quy mô rộng. Nó được phát tán qua các tập tin đính kèm trong tin nhắn rác và dùng key mã hóa RSA để giữ tập tin của người dùng, đòi đổi lại bằng tiền nếu muốn giải mã. Jonathan Penn, Giám đốc chiến lược tại Avast nói rằng tại thời gian đỉnh điểm vào cuối năm 2013, đầu 2014, có hơn 500.000 máy bị nhiễm CryotoLocker.

CryptoLocker ít nhiều cũng còn nguyên sơ, cuối cùng bị đánh bại bởi Operation Tovar, một chiến dịch mũ trắng hạ botnet kiểm soát CryptoLocker trong quá trình khám phá ra key mà CryptoLocker dùng để mã hóa file. Nhưng như Penn đã nói, CryptoLocker đã “mở ra cánh cổng tháo nước” cho nhiều biến thể ransomware mã hóa file, một vài trong số đó sử dụng code hay tên của CryptoLocker hoặc được viết từ đầu nhưng rất giống với CryptoLocker.

Các biến thể nói chung đã kiểm được khoảng $3 triệu, một trong số đó là CryptoWall, vào năm 2015 mình nó đã chiếm hơn một nửa số nhiễm ransomware.

TeslaCrypt

Ban đầu được cho là biến thể của CryptoLocker, ransomware này sau đó đã có tên mới TeslaCrypt và thông minh hơn: nhắm tới tập tin phụ thuộc - game, bản đồ, nội dung đã tải về… Những tập tin này rất quý giá với game thủ hardcore nhưng thường được lưu trên máy thay vì trên mây hay sao lưu bằng ổ đĩa ngoài. Tới năm 2016, TeslaCrypt chiếm tới 48% các vụ tấn công ransomware.

Theo thời gian, ransomware ngày càng trở thành mối hiểm nguy thực sự

Một điểm khiến TeslaCrypt nguy hiểm là nó liên tục được cải tiến, một số cho phép máy bị nhiễm được vá vào năm 2016, nhưng khiến cho việc khôi phục tập tin gần như là không thể nếu không có sự trợ giúp từ người tạo ra malware này. Bất ngờ là sau 2 tháng, người tạo TeslaCrypt tuyên bố đã chán rồi và đưa key cho cả thế giới.

SimpleLocker

Khi ngày càng nhiều tập tin quan trọng được đưa sang thiết bị di động, chúng cũng trở thành đối tượng của ransomware. Android được chọn bị tấn công, từ cuối 2015 tới đầu 2016, số vụ nhiễm ransomware trên Android tăng gần 4 lần. Nhiều người gọi là kiểu tấn công “blocker” vì nó đơn thuần khiến truy cập file khó hơn bằng cách ngăn người dùng xem 1 phần UI.

Nhưng cuối năm 2015, ransomware đặc biệt nguy hiểm tên SimpleLocker bắt đầu lan tràn. Nó là vụ tấn công trên Android đầu tiên thực sự mã hóa tập tin, cũng là ransomware đầu tiên tung ra payload nhiễm độc qua trojan downloader, khiến các biện pháp bảo mật khó theo kịp. Ra đời ở Đông Âu nhưng 3/4 nạn nhân của nó lại ở Mỹ.

Tin tốt là dù SimpleLocker cho thấy sự gia tăng đáng kể của malware trên Android nhưng con số nói chung vẫn khá thấp, chỉ khoảng 150.000 vào cuối năm 2016, khá nhỏ so với tổng số người dùng Android. Hầu hết nạn nhân bị nhiễm khi cố tải ứng dụng porn hay nội dung bất hợp pháp bên ngoài Google Play Store. Google đã làm việc rất chăm chỉ để đảm bảo người dùng khó bị ransomware tấn công.

WannaCry

CryptoLocker đánh dấu kỉ nguyên nơi ransomware không chỉ đơn thuần gây tò mò. Giữa năm 2017, hai vụ tấn công ransomware lớn và đan xoắn vào nhau lan khắp thế giới, khiến bệnh viện ở Ukraine và đài phát thanh ở California phải đóng cửa. Đó là khi ransomware thực sự trở thành thảm họa.

• Tìm hiểu về WannaCry

Vụ tấn công đầu tiên là WannaCry và nó “dễ dàng trở thành vụ tấn công ransomware tồi tệ nhất lịch sử”, Penn của Avast nói. “Vào 12/5, nó bắt đầu tấn công châu Âu và chỉ 4 ngày sau, Avast đã phát hiện hơn 250.000 máy bị nhiễm trên 116 quốc gia”.

Tầm quan trọng của WannaCry không chỉ nằm ở những con số: CTO của ReliaQuest Joe Partlow chỉ ra rằng đây là “làn sóng tấn công đầu tiên sử dụng công cụ hack từ NSA”, trong trường hợp này là EternalBlue, lỗ hổng lợi dụng sai sót trong việc thực hành giao thức SMB của Microsoft. Dù Microsoft đã phát hành bản vá nhưng nhiều người dùng vẫn chưa cài.

WannaCry lan truyền nhanh chóng vì người dùng không cần phải tương tác gì thêm. Penn nói. Kyle Wilhoit, nhà nghiên cứu an ninh mạng lâu năm tại tại DomainTools nói rằng “nhiều tổ chức sử dụng SMB cổng 445, dễ bị xâm nhập trên mạng và tạo điều kiện lan tràn sâu máy tính”.

NotPetya

Nếu WannaCry là sứ giả báo hiệu kỉ nguyên mới thì NotPetya chính thức xác nhận. Nó là ransomware đã có từ năm 2016 nhưng chỉ vài tuần sau WannaCry, bản cập nhật của nó mới lan tràn, cũng sử dụng EternalBlue như WannaCry. Các nhà nghiên cứu gọi nó là NotPetya vì nó đã tiến bộ hơn nhiều bản gốc. Có người còn nghi rằng NotPetya không phải ransomware mà vụ cải trang Nga dùng để tấn công Ukraine.

• Thông tin về NotPetya

Varun Badhware, CEO và đồng sáng lập RedLock nhận ra rằng dù biết ai đứng sau những vụ tấn công này cũng không ngăn nó không xảy ra. Các công cụ khai thác đầy rẫy trên mạng khiến ai cũng có thể sử dụng. Việc NotPetya lan truyền nhanh cho thấy các tổ chức vẫn chưa nghiêm túc nhìn nhận vấn đề an ninh mạng. Nghiêm túc giám sát traffic mạng và đảm bảo đang giám sát trong môi trường đám mây có thể ngăn lây nhiễm NotPetya. Những ai sử dụng công cụ giám sát mạng chuyên sâu có thể tự động phát hiện traffic trên các cổng không chuẩn, vốn được dùng cho các vụ như WannaCry.