Nhận biết và phòng chống phần mềm tống tiền (Ransomware)

Phần mềm tống tiền (Ransomware) đơn giản là loại mã độc sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về cá nhân người dùng, cướp mất quyền truy cập và buộc họ trả tiền chuộc mới có thể khôi phục lại dữ liệu đó. Trong lịch sử hình thành và phát triển của mình, đã có rất nhiều loại mã độc được xếp vào nhóm phần mềm này, cho đến nay, đại diện nổi tiếng nhất được biết đến có tên là CryptoLocker. Khi bị tấn công, người dùng phải trả hàng trăm USD mới mong “chuộc” lại dữ liệu của mình, cộng với khả năng lây lan dễ dàng mà khó bị phát hiện, Ransomware đang là chủ đề nóng trên các diễn đàn bảo mật trên thế giới.

Lịch sử hình thành và phát triển

Phần mềm tống tiền đầu tiên được biết đến với cái tên PC Cyborg (hay AIDS Trojan) do Joseph L. Popp, một tiến sĩ của Harvard, đưa ra vào năm 1989. Ông đã gửi đi 20.000 đĩa bị nhiễm độc có dán nhãn “Giới thiệu về AIDS” trong hội nghị phòng chống AIDS do Tổ chức Y tế Thế giới tổ chức. Khi xâm nhập vào máy tính, mã độc này mã hóa tất cả các file trong ổ C của máy và để lấy lại quyền truy cập, người dùng phải gửi 189 USD cho một tổ chức mang tên PC Cyborg.

Đến năm 2006, khi các chuyên gia tin tặc nhảy vào cuộc chơi, chúng đã kết hợp Ransomware với thuật toán mã hóa RSA. RSA là thuật toán mật mã hóa khóa công khai, một sự tiến bộ vượt bậc của lĩnh vực mật mã học.Thuật toán RSA có hai khóa:khóa công khai(hay khóa công cộng) vàkhóa bí mật(hay khóa cá nhân). Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được. Khi độ dài khóa (tương đương với số bit) của thuật toán càng lớn thì khả năng giải mã càng khó. Tháng 6 năm 2006, GPcode, loại mã độc được mã hóa đầu tiên lây lan qua tập tin đính kèm trong những email có nội dung về công việc, chúng sử dụng khóa RSA 660 bit. Hai năm sau, GPcode.AK, một biến thể của GPcode, đã sử dụng khóa RSA có độ dài 1024 bit.

Ngoài ra, một số loại Ransomware hoạt động không liên quan đến mã hóa, chỉ đơn giản là khóa người dùng lại. Khi đó, màn hình hiển thị những hình ảnh đồi trụy cho đến khi người dùng chịu chi trả 10 USD để gửi đi một tin nhắn và nhận lại mã mở khóa. Bọn tội phạm trực tuyến còn sử dụng Scareware – các phần mềm lừa đảo đội lốt dưới dạng phần mềm diệt vi-rut. Chúng đưa ra các cảnh báo giả khiến người dùng tải về và sử dụng phần mềm “dỏm” của chúng, sau đó yêu cầu họ phải trả cho chúng một khoản tiền để đảm bảo hệ thống của họ được an toàn [1].

Năm 2012, chiến dịch Ransomware quy mô lớn đầu tiên ra đời. Theo các báo cáo hàng quý của hãng bảo mật McAfee, có khoảng 30.000 mẫu Ransomware mới được phát hiện trong hai quý đầu năm 2011, tăng gấp đôi trong quý 3 và vượt quá 100.000 trong quý 1 năm 2012. Không dừng lại, nó tăng gấp đôi một lần nữa trong quý 3 năm 2012, lên đến hơn 200.000 mẫu (tương đương hơn 2.000 mẫu/ngày). Cộng thêm việc các dịch vụ thanh toán ẩn danh phát triển càng làm cho quy mô hoạt động của Ransomware tăng chóng mặt.

Reveton là mã độc điển hình trong giai đoạn này, thuộc nhóm phần mềm Khóa máy tính (Lockscreens). Phần mềm này sẽ hiển thị hình ảnh của cảnh sát địa phương, buộc tội bạn là tội phạm (ví dụ như vi phạm bản quyền) và áp đặt một “mức phạt” [1], [2].

Hình 1: Thông báo của phần mềm Reveton [3].

Cho đến khi nạn nhân trả tiền, máy tính của họ chỉ hiển thị cửa sổ trình duyệt với hướng dẫn thanh toán, còn lại đều bị khóa hết, ngăn cản nạn nhân sử dụng những ứng dụng khác và vì vậy họ không thể tiếp tục làm việc. Nhưng, ngày càng nhiều người biết cách vượt qua loại “khóa” này mà không phải trả tiền.

Năm 2013, CryptoLocker bùng nổ. Lockscreens và Scareware đã đủ tồi tệ, nhưng mã độc sử dụng mã hóa (Cryptographic) còn nguy hiểm hơn nhiều lần. Ít ra với Lockscreen, cuối cùng người ta cũng tìm ra công cụ loại bỏ nó để lấy lại quyền truy cập vào dữ liệu người dùng. Còn với Cryptographic, chỉ có một cách duy nhất là giải mã, điều này không hề đơn giản.

Tháng 9 năm 2013, CryptoLocker ra đời, đại diện cho nhóm mã độc Cryptographic.

CryptoLocker lây lan qua email và file đính kèm từ các trang web bị nhiễm độc. Nó tạo ra khóa RSA có độ dài 2048 bit để mã hóa các tập tin và xóa đi các bản gốc. Sau đó nó đưa ra đe dọa sẽ xóa cả tập tin đã mã hóa hoặc người dùng sẽ phải trả mức bồi thường cao hơn trong vòng 3 ngày nếu không nhận được khoản thanh toán chúng yêu cầu. Các thanh toán có thể được thực hiện thông qua CashU, Ukash, PaySafeCard, MoneyPak hoặc Bitcoin. Giá ban đầu được đặt là 100 USD, 100 Euro, 100 Bảng Anh, 2 Bitcoin hay con số khác tùy vào đồng tiền khác nhau.

Hình 2: Thông báo khi máy bị nhiễm CryptoLocker.

Thông điệp của CryptoLocker tuyên bố như sau :

“Các file cá nhân của bạn đã được mã hóa!

Các file quan trọng đã bị mã hóa trên máy tính này bao gồm: hình ảnh, video, tài liệu… Đây là danh sách đầy đủ các tập tin được mã hóa, và bạn có thể mở để xác minh …

Để có được khóa riêng cho máy tính này, nó sẽ tự động giải mã tập tin, bạn cần phải trả 100 USD / 100EUR / hoặc số tiền tương tự  quy đổi đối với các loại tiền tệ khác…

Bất kỳ nỗ lực để loại bỏ hoặc phá hủy phần mềm này sẽ dẫn tới hủy diệt ngay lập tức mã khóa riêng của máy tính.”

Theo một báo cáo của hãng Dell, đến tháng 12 năm 2013, đã có khoảng 250.000 máy tính bị nhiễm mã độc này. Theo trang ZDNet, có bốn tài khoản Bitcoin liên kết với CryptoLocker và 41.928 Bitcoins được chuyển vào bốn tài khoản này trong khoảng thời gian từ 15/10 đến 18/12/2013. Với mức giá thời điểm đó là 661 USD/1 Bitcoin, số tiền tương đương đã chuyển vào bốn tài khoản này lên tới hơn 27 triệu USD, đó chưa kể các phương thức thanh toán khác chưa được thống kê đầy đủ. [1], [2]

Thế hệ Ransomware thứ hai

Từ khi CryptoLocker ra đời, Ransomware ngày càng trở nên tàn độc. Đến giữa năm 2014, các chủng đầu tiên của thế hệ thứ hai Ransomware đã được định hình với một số cái tên tiêu biểu như CryptorBit, CryptoWall, CTB-Locker, TorrentLocker…

Những lý do mà các chủng này được gọi là thế hệ thứ hai:

 ØChúng sử dụng mạng ẩn danh TOR để kết nối với các máy chủ ra lệnh và điều khiển (C&C) làm việc phát hiện trở nên khó khăn hơn.

 ØViệc liên lạc giữa các phần mềm độc hại sống trên máy tính bị nhiễm và máy chủ C&C cũng khó đánh chặn hơn.

 ØChúng sử dụng phương pháp mã hóa mạnh hơn làm cho việc giải mã gần như là không thể.

 ØChúng nén tập tin trước khi mã hóa.

 ØĐược xây dựng như phần mềm tội phạm thương mại, vì vậy chúng có thể rao bán trên toàn cầu cho các tên tội phạm mạng khác sử dụng.

 ØPhương thức thanh toán bằng Bitcoin ngày càng được ưa chuộng. Các giao dịch Bitcoin đã được công khai ghi nhận nhưng chủ sở hữu chúng thì vô danh. Điều này rất lý tưởng cho bọn tội phạm, chúng không phải sử dụng các hệ thống ngân hàng, không phải trả phí giao dịch tín dụng, không bị hạn chế việc gửi tiền quốc tế.

Khi Ransomware thế hệ thứ hai dần định hình như vậy, liệu chúng còn nguy hiểm đến mức nào? Dưới đây là một số đặc điểm về Ransomware được dự đoán sẽ sớm xuất hiện:

 ØRansomware thế hệ thứ hai sẽ sinh sôi nảy nở. Một số tổ chức mafia lớn Đông Âu có thể nhảy vào lĩnh vực này, tiếp theo là hàng chục tổ chức nhỏ hơn lan rộng trên khắp hành tinh biến Ransomware trở thành thương mại hóa.

 ØRansomware sẽ mở rộng ra ngoài nền tảng Windows, như trên các thiết bị của Apple. Đã xuất hiện các phần mềm đòi tiền chuộc để mở khóa iMac, iPhone, iPad, mặc dù phạm vi còn nhỏ nhưng nhiều khả năng sẽ xảy ra với tần suất lớn hơn. Tương tự, điện thoại và máy tính bảng chạy hệ điều hành Android cũng nằm trong nhóm đối tượng của Ransomware. Năm 2014 đã đánh dấu những làn sóng đầu tiên về việc nhiễm độc trên nền tảng Android.

 ØDịch vụ Ransomware sẽ trở nên phổ biến rộng rãi hơn, tội phạm mạng có thể mua tất cả các yêu tố cần thiết cho một cuộc tấn công như danh sách email nạn nhân tiềm năng, các kỹ thuật triển khai, máy chủ phát tán, các phần mềm độc hại, cơ sở hạ tầng tài chính để các nạn nhân trả tiền chuộc… Đa số các cuộc tấn công sẽ xuất phát từ những nước không có luật (hoặc lỏng lẻo) ngăn chặn nguồn phát tán tấn công.

 ØNguồn lây nhiễm sẽ ngày càng phong phú và rất khó có thể chống lại. Hiện nay, liên kết giữa các đám mây đang được sử dụng như một thủ thuật để dẫn mọi người mở các tập tin chứa mã độc. Trong tương lai, việc nhấn vào liên kết của trang web bị xâm nhập cũng đủ để biến bạn trở thành nạn nhân của Ransomware. 

 ØCác cuộc tấn công sẽ sử dụng kỹ thuật tinh vi hơn để tránh bị phát hiện bởi các phương pháp thông thường như phần mềm diệt vi-rut hay công nghệ sandboxing. Sự xuất hiện và phát triển những kỹ thuật trốn tiên tiến càng tạo cơ hội cho sự phát triển của Ransomware [1].

Phòng chống Ransomware

Với sự lây lan nhanh chóng và thiệt hại lớn về kinh tế, chúng ta cần thiết phải thực hiện các biện pháp hiệu quả để chống lại mối đe dọa này. Về phía người dùng cá nhân hoặc các doanh nghiệp, tổ chức, trong trường hợp dính phải Ransomware mà không có cách nào phục hồi dữ liệu, trả tiền chuộc là phương án cuối cùng được tính tới. Nên nhớ càng nhiều nạn nhân sẽ càng mang lại nhiều tiền cho những tên tội phạm để chúng tiếp tục các cuộc tấn công trong tương lai. Vì vậy, tốt nhất là bạn nên chủ động phòng thủ để tránh tối đa rủi ro trở thành nạn nhân. Điều này đòi hỏi phải áp dụng triệt để và toàn diện 4 chiến lược sau:

Thứ nhất, các phần mềm bạn sử dụng nên cập nhật bản mới nhất. Tin tặc luôn tìm kiếm lỗ hổng để khai thác nhằm tiếp cận hệ thống. Nhà cung cấp thường nhanh chóng vá bất kỳ sai sót nào ngay khi chúng được phát hiện, do đó nếu bạn không áp dụng kịp thời các bản vá lỗi thì đó sẽ là cánh cửa rộng mở cho các cuộc tấn công.

Thứ hai, thực hiện các chính sách bảo mật cho tất cả các thiết bị kết nối vào mạng của công ty, bao gồm điện thoại thông minh, máy tính bảng, máy tính xách tay… có phần mềm diệt vi-rut và danh sách các phần mềm an toàn cũng như thiết lập các chính sách như không cho phép tự động cài đặt chương trình, chặn cổng, lọc trang web, hạn chế quyền chia sẻ, mã hóa dữ liệu.

Thứ ba, sao lưu (backup) dữ liệu. Việc backup theo thời gian thực (hoặc gần thời gian thực) là một biện pháp hiệu quả để giảm thiểu thiệt hại gây ra bởi Ransomware nếu chẳng may có xâm nhập. Thiết bị nhiễm độc sẽ ngay lập tức bị cô lập để xử lý, tất cả các ứng dụng và dữ liệu từ bản backup sẽ được khôi phục lại. Có thể sẽ mất vài giờ khôi phục để các thiết bị hoạt động bình thường, nhưng ít nhất ta không phải chi tiền oan cho bọn tin tặc.

Hầu hết các nhân viên IT cho biết họ dựa vào bản backup để thoát khỏi hoàn cảnh hiểm nghèo đó. Tuy nhiên, 57% trong số họ đồng ý rằng nếu quá trình backup thất bại, họ sẽ trả tiền chuộc. Đáng buồn thay, quá trình backup không phải lúc nào cũng thành công. Theo một báo cáo của Symantec năm 2013, 47% doanh nghiệp bị mất dữ liệu trên đám mây và đã phải khôi phục thông tin từ các bản backup, nhưng con số phục hồi không thành công lên tới 66%. Nếu có thể, hãy áp dụng quy tắc backup 3-2-1 (có 3 bản backup dữ liệu, lưu trữ trên 2 thiết bị khác nhau, 1 bản sẽ để offsite) và kiểm tra các chức năng phục hồi một cách thường xuyên.

Thứ 4, nâng cao kiến thức của nhân viên. Người lao động là liên kết yếu nhất trong bất kỳ hệ thống IT nào. Công ty phục hồi dữ liệu Kroll Ontrack thống kê thấy rằng với hệ thống IT truyền thống, con người chiếm 26% số lỗi gây nên mất mát dữ liệu, nhiều hơn so với các lỗi phần cứng hoặc mất điện. Đối với các hệ thống ảo hóa, tỷ lệ lỗi của con người tăng lên đến 65%. Tương tự như vậy, lỗi của con người cũng là điểm yếu nhất khi đề cập đến các phương pháp Ransomware. Ví dụ một số nguồn thường lây lan Ransomware:

• CryptoLocker gửi email chứa file đính kèm bị nhiễm độc. Nội dung email thường đề cập đến công việc như sơ yếu lý lịch ứng tuyển các vị trí của công ty hay giới thiệu sản phẩm nào đó… Những người thường liên quan đến công việc tuyển dụng, chủ doanh nghiệp, CEO, trưởng phòng là các đối tượng được nhắm đến. Và khi họ đã bị lừa, hậu quả cho toàn bộ tổ chức là không thể lường trước.

• Các Ransomware trên nền tảng Android thời gian gần đây xuất phát từ những phần mềm khiêu dâm. Trên nền tảng iOS, phần mềm Find my iPhone cũng đã khiến không ít người dùng thương hiệu “quả táo cắn dở” trở thành nạn nhân.

• Rất nhiều quảng cáo chứa phần mềm độc hại ngay cả trên những trang web hợp pháp như Yahoo, Youtube. Chỉ cần bạn click vào quảng cáo và tải phần mềm bất kì về máy là có nguy cơ bạn đã trở thành nạn nhân của Ransomware… [1], [3].

Tại Việt Nam, các trường hợp trở thành nạn nhân của Ransomware chưa được biết đến nhiều, chủ yếu xuất hiện ở một số nước như Mỹ, Canada, Úc, châu Âu… Nhưng trong tương lai, Ransomware sẽ mở còn mở rộng phạm vi, quy mô ảnh hưởng lên rất lớn, và mỗi chúng ta đều không phải là ngoại lệ.

 (Bài đã đăng trên Tạp chí Công nghệ Thông tin và Truyền thông, kỳ 2, tháng 1, năm 2015)

Tài liệu tham khảo

[1]. Whitepaper, Ransomware, Knowbe4, 2014

[2]. http://ezfimblog.com/2013/10/28/cryptolocker-rears-its-ugly-head-a-history-of-ransomware/

[3]. http://malware.dontneedcoffee.com/2012/12/reveton-winter-collection.html

[4]. http://blog.trendmicro.com/the-history-of-ransomware-from-cryptolocker-to-onion/