Một chủng ransomware khét tiếng vừa ngừng hoạt động

Chủng mã độc tống tiền khét tiếng Maze vừa bất ngờ chấm dứt mọi hoạt động độc hại ở quy mô toàn cầu sau gần một năm rưỡi làm mưa làm gió trên internet.

Maze ransomware bắt đầu hoạt động vào tháng 5 năm 2019 và trở thành cơn ác mộng trên toàn thế giới vào tháng 11 cùng năm. Đây là cái tên đứng sau hàng loạt sự cố an ninh mạng lớn chủ yếu nhắm vào cộng đồng doanh nghiệp với thiệt hại lên tới hàng triệu USD.

Thủ đoạn tống tiền hiểm độc

Quy trình tấn công được những kẻ phân phối mã độc sử dụng khá đơn giản nhưng cực kỳ hiệu quả. Đầu tiên, chúng sẽ xâm nhập vào hệ thống mục tiêu, tìm kiếm những dữ liệu nhạy cảm nhất và đó tải những dữ liệu này lên môi trường lưu trữ điện toán đám mây để mã hóa bằng thuật toán RSA. Tin tặc sẽ đòi một khoản tiền chuộc tương ứng với quy mô của công ty và lượng dữ liệu bị đánh cắp.

Cũng giống như nhiều chủng ransomware khác, tin tặc đứng sau mã độc tống tiền Maze sẽ tiết lộ công khai dữ liệu của những nạn nhân từ chối trả tiền chuộc, khiến nạn nhân không còn cách nào khác là buộc phải móc hầu bao. Thậm chí, nhóm vận hành mã độc còn ra mắt một website có tên 'Maze News' và sử dụng nó chỉ để công bố dữ liệu của các nạn nhân không chấp nhận trả tiền, cũng như phát hành "thông cáo báo chí" cho các bên theo dõi hoạt động của chúng.

Kỹ thuật tống tiền kép này sau đó đã nhanh chóng được các nhóm ransomware lớn khác học tập, bao gồm REvil, Clop, DoppelPaymer… trở thành nỗi ám ảnh đối với bất cứ cá nhân, tổ chức nào trên toàn thế giới.

Sau khoảng thời gian lây nhiễm đỉnh điểm vào cuối năm 2019 và bắt đầu vấp phải sự phản kháng từ cộng đồng bảo mật, Maze đã tiếp tục phát triển các hoạt động độc hại bằng cách hình thành nên một băng đảng ransomware với Ragnar Locker và LockBit, để chia sẻ thông tin cũng như chiến thuật tấn công.

Trong suốt một năm rưỡi triển khai các hoạt động tội phạm mạng, Maze đã điền vào danh sách nạn nhân của mình hàng loạt tên tuổi lớn như Southwire, City of Pensacola, Canon, LG Electronics, Xerox và nhiều tổ chức, doanh nghiệp toàn cầu khác.

• LG bị tấn công bởi ransomware Maze, nhiều công nghệ độc quyền bị đánh cắp

Giai đoạn thoái trào

Đầu tháng trước, chuyên trang bảo mật BleepingComputer bắt đầu đưa ra những báo cáo đầu tiên về việc Maze đã sẵn sàng ngừng hoạt động độc hại theo cách tương tự như GandCrab đã làm vào năm 2019.

Theo điều tra từ các chuyên gia BleepingComputer, Maze trên thực tế đã bắt đầu quá trình ngừng hoạt động (dừng mã hóa nạn nhân mới) từ tháng 9 vừa qua, và đang cố gắng siết chặt các khoản thanh toán tiền chuộc cuối cùng từ nạn nhân.

Đầu tuần này, Maze bắt đầu xóa bỏ thông tin về các nạn nhân mà chúng đã liệt kê trên website Maze News của mình. Việc dọn dẹp trang dữ liệu liên quan đến hoạt động độc hại cho thấy ransomware sắp bước vào giai đoạn ngừng hoạt động. Tuy nhiên, không rõ Maze có phát hành công khai key giải mã như các ransomware thường làm trước khi ngừng hoạt động không.

Sự thoái trào của Maze là một tin tốt, nhưng chưa hẳn đáng mừng bởi ngay cả khi ransomware ngừng hoạt động, điều đó không có nghĩa là các tác nhân đe dọa liên quan cũng “giải nghệ”. Đôi khi đây chỉ là bước chuyển tiếp để chúng hướng tới những chiến dịch ransomware tiếp theo thậm chí còn nguy hiểm hơn.