GandCrab là một mã độc tống tiền (ransomware) được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG. Khi bị lây nhiễm, các tập tin trong máy tính bị mã hóa thành file *.GDCB hoặc *.CRAB. Sau đó, mã độc sẽ sinh ra một tệp CRAB-DECRYPT.txt yêu cầu và hướng dẫn người dùng trả tiền chuộc từ 400 - 1.000 USD bằng cách thanh toán qua tiền điện tử DASH để giải mã dữ liệu.
Sau gần một năm rưỡi “làm mưa làm gió”, những kẻ đứng đằng sau GandCrab ransomware tuyên bố cho mã độc này ngừng hoạt động và đồng thời thôi thúc các “chi nhánh” độc hại của mình ngừng phân phối mã độc tống tiền này.
Xuất hiện như một phương án nhằm lấp đầy những khoảng trống đáng kể trong thế giới mã độc tống tiền bị bỏ lại sau khi các hoạt động ransomware quy mô lớn như TeslaCrypt, CryptoWall và Spora đóng cửa hàng loạt, GandCrab đã “gửi lời chào” đến thế giới internet vào ngày 28 tháng 1 năm 2018, và nhanh chóng phát triển bùng nổ ngay sau đó khi những kẻ tấn công bắt đầu đẩy mạnh phát tán dịch vụ của mình trên các trang web ngầm, web đen.
Kể từ đó, GandCrab đã trở thành một trong những cái tên thống trị, gây ra sự ám ảnh cho mọi hệ thống máy tính nối mạng trên toàn thế giới. Không ngoa khi nhận định rằng GandCrab chính là cái tên chiếm ưu thế nhất, trong các hoạt động của ransomware toàn cầu nói chung trong hơn 1 năm qua. Hoạt động của mã độc tống tiền này chỉ bắt đầu có dấu hiệu giảm nhiệt trong vài tháng qua khi những kẻ tấn công đã bỏ túi được một số tiền kha khá.
Theo phát hiện mới đây của 2 nhà nghiên cứu bảo mật giàu kinh nghiệm Damian và David Montenegro - những người đã theo dõi các hoạt động exploit GandCrab kể từ khi mã độc này mới xuất hiện, trên diễn đàn chuyên về hack và phần mềm độc hại Exploit.in, các hacker khai thác GandCrab đã đăng tải nội dung cho biết chúng đang từng bước ngừng hoạt động GandCrab hoàn toàn trong thời gian tới.
Theo như nội dung trong ảnh chụp màn hình được Damian cung cấp cho trang tin công nghệ BleepingComputer, có thể thấy những kẻ đứng đằng sau GandCrab nói rằng chúng đã kiếm được tổng cộng hơn 2 tỷ đô la từ mã độc này thông qua các khoản thanh toán tiền chuộc của nạn nhân, trong đó, trung bình mỗi tuần GandCrab giúp những tên này bỏ túi khoảng 2.5 triệu đô la. Cụ thể hơn, 150 triệu đô la trong số đó đã được quy thành tiền mặt và “rửa” thành công thông qua việc đầu tư vào các dự án, thực thể kinh doanh hợp pháp.
Cũng trong thông báo này, các tác giả của GandCrab cho biết chúng đã ngừng quảng bá ransomware này, yêu cầu các chi nhánh ngừng phân phối mã độc GandCrab trong vòng 20 ngày và yêu cầu xóa toàn bộ các chủ đề liên quan vào cuối tháng này.
Bên cạnh đó, những kẻ tấn công cũng không quên đưa ra lời cảnh báo “cuối cùng” cho các nạn nhân vẫn đang chần chừ chưa thanh toán tiền chuộc rằng họ sẽ phải trả tiền cho việc giải mã dữ liệu cần thiết ngay bây giờ vì các key giải mã cho dữ liệu của họ sẽ bị xóa vào cuối tháng, đồng nghĩa với việc toàn bộ dữ liệu đã bị mã hóa của nạn nhân sẽ vĩnh viễn “đi vào dĩ vãng”. Đây có thể là yêu cầu đòi tiền cuối cùng và hy vọng rằng các nhà phát triển GandCrab sẽ tuân theo "truyền thống của những hoạt động ransomware lớn khác và tung ra key giải mã trước khi chính thức ngừng hoạt động.
Trong lịch sử, lĩnh vực an minh mạng đã chứng kiến rất nhiều trường hợp các hoạt động ransomware quy mô lớn xuất hiện để thế chỗ khoảng trống còn lại khi một ransomware lớn trước đó vừa mới ngừng hoạt động. Do vậy, sẽ không có gì đáng ngạc nhiên khi thấy một hoạt động tấn công đòi tiền chuộc khác “mọc lên” trong tương lai gần sau khi GandCrab biến mất, đặc biệt là khi những kẻ đứng sau mã độc này cũng đã đưa ra lời “lưu ý” như sau:
"We have proven that by doing evil deeds, retribution does not come."
(Tạm dịch: Chúng tôi đã chỉ ra một thực tế rằng hãy cứ yên tâm làm những việc mà mình muốn, kể cả đó là hành vi xấu xa, vi phạm pháp luật, bởi nhân quả là không có thật.”)
Vâng, nếu đây là một cuộc rút lui êm đẹp của GandCrab, sau khi đã gây ra thiệt hại khổng lồ lên tới 2.5 tỷ đô la trên toàn thế giới, chúng có quyền hả hê với nhận định trên!
Số tiền khổng lồ đã được bỏ túi
Đúng là những kẻ đứng sau GandCrab rất có thể đã kiếm được rất nhiều tiền sau phi vụ này, tuy nhiên cũng chẳng có gì đảm bảo chúng có thể thu về được số tiền lớn đến vậy. Con số 2.5 tỷ đô la đương nhiên sẽ cần phải được kiểm chứng.
Những tuyên bố có phần “mạnh miệng” này hoàn toàn không có gì là ngạc nhiên bởi các nhà phát triển của GrandCrab luôn là những kẻ thích đùa giỡn, và chính điều đó đã lôi kéo sự chú ý của nhiều nhà nghiên cứu bảo mật trên toàn thế giới theo cách mà hầu hết các nhà phát triển phần mềm độc hại chưa hoặc không làm.
Bằng việc sử dụng những lời lẽ chế nhạo, đùa cợt và tham chiếu đến các tổ chức cũng như nhiều nhà nghiên cứu bảo mật nổi tiếng trong mã độc của mình, rõ ràng là những kẻ đứng sau GandCrab đã theo dõi các chuyên gia bảo mật nhiều như cách các chuyên gia để ý đến chúng, và chính điều này đã góp phần “truyền cảm hứng” cho kẻ tấn công.
Ví dụ, trong lần phát hành đầu tiên của ransomware GandCrab, những kẻ phát triển mã độc đã quyết định sử dụng tên miền cho các máy chủ Command & Control (C2 server) của chúng dựa trên các tổ chức và trang web được cho là đang nghiên cứu hoặc quan tâm nhiều nhất về ransomware này như một lời “thách thức”, bao gồm:
- bleepingcomputer.bit
- nomoreransom.bit
- esetnod32.bit
- emsisoft.bit
- gandcrab.bit
Ngoài ra, chúng cũng thường xuyên gửi những “lời chào thân mật” đến các nhà nghiên cứu bảo mật đã và đang theo dõi sát sao ransomware của mình.
Thế nhưng đây hoàn toàn không phải là trò chơi “trốn tìm” mua vui. Những kẻ đứng sau GandCrab cũng đã có không ít đòn trả đũa nhắm vào các team bảo mật. Sau khi AhnLab phát hành “ứng dụng vắc-xin” cho GandCrab, những kẻ tấn công cũng đã ngay lập tức liên hệ với BleepingComputer để tiết lộ thông tin rằng chúng đã phát hành một zero-day nhắm vào chương trình diệt virus AhnLab v3 Lite - một pha đáp trả thực sự “có sức nặng”.
Tuy nhiên, những trò hề và kể cả thành công của GandCrab đã thu được nhiều sự chú ý của các thành viên Exploit.in, với nhiều cảm xúc trái chiều về sự kiện mã độc này ngừng hoạt động.
Mặc dù những trò hề GandCrab có thể gây cười trong một vài tình huống, nhưng mất mát, rắc rối và thậm chí cả sự đau khổ mà nó gây ra cho các nạn nhân - những người bị mã độc này lấy mất dữ liệu, công việc và có thể là cả tâm huyết kinh doanh cả đời. Suy cho cùng, việc GandCrab, hay bất cứ ransomware nào khác ngừng hoạt động vẫn là một điều tốt cho nhân loại.