Thấy gì trong "nền kinh tế ngầm" ransomware?

Vinh Hồng| 07/06/2021 08:41
Theo dõi ICTVietnam trên

Các nhà khoa đọc đã nhắc đến khái niệm "nền kinh tế ngầm" của các băng nhóm "ransomware".

Theo  Báo cáo về các mối đe dọa bảo mật điểm cuối (Security  Endpoint Threat  Report) năm 2019 công bố  giữa năm  2020, Châu Á - Thái Bình Dương tiếp tục có tỷ lệ xảy ra các cuộc tấn công bằng malware và ransomware cao hơn mức trung bình - lần lượt là 1,6 và 1,7 lần so với thế giới. Mặc dù tỷ lệ xảy ra các cuộc tấn công bằng malware đã giảm 29% so với năm trước đó, ở mức 8,77% vào năm 2019, Việt Nam vẫn nằm trong top 3 khu vực về tỷ lệ này.

Đối với tỷ lệ xảy ra các cuộc tấn công bằng ransomware, Việt Nam được ghi nhận là quốc gia đứng đầu khu vực, ở mức 0,17% năm 2019. Tỉ lệ này dù đã giảm 26% so với năm trước, nhưng vẫn cao gấp 3, 4 lần mức trung bình của khu vực.

Bà Mary Jo Schrade Giám đốc bộ phận tội phạm công nghệ cao, Microsoft châu Á giải thích: "Thông thường, tỷ lệ nhiễm malware cao có liên quan tới tỷ lệ vi phạm bản quyền và ý thức cá nhân về an toàn mạng - bao gồm hoạt động vá và cập nhật phần mềm thường xuyên. Theo đó, các quốc gia có tỷ lệ vi phạm bản quyền cao hơn và ý thức cá nhân về an toàn mạng thấp hơn có xu hướng chịu ảnh hưởng nặng nề hơn từ các cuộc tấn công mạng. Việc vá, sử dụng phần mềm hợp pháp và cập nhật phần mềm có thể hạn chế khả năng nhiễm malware và ransomware".

Thấy gì trong

Kẻ tấn công bằng ransomware thường yêu cầu nạn nhân phải trả tiền chuộc, thường được yêu cầu dưới dạng Bitcoin.

Cũng cần phải giải thích thêm, khác với malware - phần mềm độc hại được thiết kế để đánh cắp thông tin nhạy cảm hoặc lây lan spam qua email, ransomware lại là phần mềm độc hại khóa máy tính và ngăn chặn nạn truy cập cho đến khi họ phải trả một khoản tiền chuộc, hiện khoản tiền chuộc này thường  được yêu cầu dưới dạng bitcoins.

Một trong những vụ tấn công ransomware nổi tiếng trong quá khứ được thực hiện bởi phần mềm mã độc tống tiền ransomware WannaCry lan truyền trên các máy tính chạy hệ điều hành Windows của Microsoft. Đây là cuộc tấn công mạng quy mô lớn sử dụng ransomware, gây lây nhiễm cho hơn 230.000 máy tính tại 150 quốc gia, Việt Nam là một trong những nước bị tấn công nhiều nhất.

Tại Việt Nam, các chuyên gia và nhà nghiên cứu về an toàn thông tin (ATTT) đã liên tục cảnh báo về các mối nguy hại liên quan đến ransomware, bởi các cuộc tấn công ransomware phần lớn đều theo hướng đòi tiền chuộc. Những vụ tấn công kiểu này, nếu thành công sẽ mang lại những lợi ích không hề nhỏ cho tội phạm, dẫn đến kích thích chúng tấn công chăm chỉ và khủng bố điên cuồng hơn.

Kinh doanh dựa trên ransomware

Tội phạm mạng đang ngày càng tiến bộ trong cách thức kinh doanh dựa trên ransomware, bao gồm những mối quan hệ phức tạp giữa chúng và cách chúng cộng tác để bày bán "quyền truy cập" trộm cắp được trên Web đen (Darkweb).

Theo ông Nguyễn Trung Luận, Giám đốc sản phẩm  của Mi2, Ransomware không chỉ là phần mềm độc hại - nó còn là trung tâm của một nền kinh tế ngầm khá phát triển, phức tạp, có các quy ước về thương mại hợp pháp.

"Đây là một cộng đồng lớn bao gồm những kẻ phát chuyên triển phần mềm độc hại; các chi nhánh và đối tác bán dữ liệu thu được sau các cuộc tấn công; những người cung cấp các dịch vụ kế tiếp, chẳng hạn như bán quyền truy cập mạng. Thậm chí những tổ chức tham gia vào nền kinh tế này còn có những cánh tay nối dài công khai của riêng họ để phát hành thông cáo báo chí và duy trì "thương hiệu", ngoài ra còn có các hoạt động dịch vụ khách hàng".

Theo một chuyên gia Kapersky tại Việt Nam, cộng đồng này đã phát hiện ra rằng nền kinh tế ransomware đang phát triển và phức tạp, với "một số tác nhân cung cấp dịch vụ cho nhau". Đó là các quản trị viên cung cấp quyền truy cập vào các thiết bị; Các nhà phát triển phần mềm độc hại; và các nhà môi giới chuyên cung cấp quyền truy cập mạng thông qua các cửa hậu hoặc khai thác lỗ hổng bảo mật để thực hiện giao thức điều khiển máy tính từ xa RDP.

Chuyên gia này cho biết: "Những quyền truy cập này có thể được bán trong các cuộc đấu giá hoặc với giá cố định, bắt đầu từ 50 USD. Kẻ tấn công bán cả loạt quyền truy cập vào máy tính của nạn nhân, hoặc liên tục theo dõi các lỗ hổng phần mềm bị tiết lộ công khai để khai thác ngay khi chúng được công bố, trước khi có bản vá".

Cung cấp ransomware như dịch vụ 

Tội phạm khai thác ransomware thường thông qua các chi nhánh - những người cung cấp ransomware như dịch vụ (RaaS). Đây được coi là đối tác kênh ngầm, chịu trách nhiệm bán dữ liệu cho các nạn nhân. Họ thường bỏ túi từ 60 - 80% số tiền chuộc, phần còn lại sẽ vào túi của các tổ chức điều hành và tác giả của ransomware nào đó. 

Theo các chuyên gia tại Intel 471 với The Threatpost, những băng nhóm này hoạt động giống các doanh nghiệp hợp pháp: có dịch vụ khách hàng và bộ phận hỗ trợ CNTT, tất cả với mục tiêu nâng cao tên tuổi của thương hiệu. Vì vậy, các ransomware phổ biến nhất là những biến thể có thể mang lại các khoản tiền chuộc cao hơn, và họ xử lý các yêu cầu của tội phạm khi cùng nhau hợp tác.

Các hoạt động RaaS cho mục đích mờ ám thường lựa chọn cẩn thận các đối tác, với các yêu cầu khác nhau, từ chuyên môn kỹ thuật đến việc chứng minh nguồn gốc bản thân.

Vẫn theo nhóm bảo mật Intel 471, các băng đảng ransomware lâu đời khá kén chọn. Yêu cầu cơ bản đối với ứng viên trong một chương trình liên kết RaaS cao cấp thường là chứng minh tính khả dụng của các quyền truy cập bị xâm phạm hoặc các nguồn tiềm năng sinh lợi.

Nhóm tội phạm MedusaLocker đã từng đăng các yêu cầu tuyển đại lý tiềm năng, bao gồm "kinh nghiệm thực tế với ransomware, sử dụng thành thạo Cobalt Strike - công cụ kiểm tra thâm nhập, khả nâng cao đặc quyền của quản trị viên nội bộ và quản trị tên miền, kiến thức làm việc về hệ thống sao lưu, hiểu biết về OpSec (các hoạt động an ninh).

Thấy gì trong

Trong thế giới ngầm của tội phạm mạng, mẫu và công nghệ xây dựng phần mềm tống tiền có giá từ 300 - 4.000 USD, giá thuê RaaS từ 120 - 1.900 USD/năm.

Trong khi đó, để ngăn các cơ quan pháp luật và các nhà nghiên cứu về an ninh mạng sờ gáy, một số RaaS đã thực hiện các biện pháp phòng ngừa bổ sung, bao gồm xác nhận về các thành viên. Ví dụ, một bài đăng trên diễn đàn tội phạm mạng cho biết, không nghi ngờ gì nữa, tại FBI đã có những người nói được tiếng của một số quốc gia nổi tiếng về tấn công ransomware. Nên phải kiểm tra ai đó bằng cách hỏi họ các câu hỏi liên quan đến lịch sử, thành ngữ v.v... của quốc gia mà thành viên đó hiện diện chứ không đơn thuần là các cuộc nói chuyện thông thường. 

Quy trình kiểm tra phức tạp nói trên phát sinh từ thực tế, tội phạm kiếm tiền bất hợp pháp từ gian lận trực tuyến hoạt động với các liên kết chặt chẽ. Tên tuổi là tất cả đối với chúng, chúng làm việc cùng nhau trong một thời gian dài để thiết lập danh phận, từ đó có thể tham gia vào những băng nhóm để kiếm tiền".

Cạnh tranh

Theo một phân tích gần đây của Kaspersky về 3 diễn đàn ngầm lớn, nơi phát hành nhiều phần mềm tống tiền. Trong thế giới ngầm của tội phạm mạng, mẫu và công nghệ xây dựng phần mềm tống tiền có giá từ 300 - 4.000 USD, giá thuê RaaS từ 120 - 1.900 USD/năm. 

Và tất nhiên, lợi nhuận đã dẫn đến những cuộc chạy đua nhằm phát triển mã sáng tạo nhất, tiên tiến nhất hoặc bí mật nhất cho thị trường này.

Phần mềm ransomware thường được bán lại, và các băng đảng chắc chắn đã tiến hành cạnh tranh để giành thị phần. Luôn có những đổi mới trong các chiến dịch, đặc biệt là việc vượt qua các biện pháp phòng thủ, ngăn chặn vi-rút và biện pháp kiểm soát khác có thể cản trở chúng.

Có một số loại virus và dịch vụ phổ biến hơn những loại khác, đơn giản là vì chúng hoạt động tốt hơn. Tuy nhiên, tùy chọn mà các "tác nhân đe dọa cuối" quyết định mua và sử dụng ransomware nào đó, thường phụ thuộc vào các yếu, chẳng hạn như tên tuổi của tác giả, của phần mềm độc hại, hoặc người điều hành hoạt động RaaS, giá cả, vị trí địa lý, hoặc bối cảnh tấn công nạn nhân.

Đôi khi cũng có những vấn đề nảy sinh, ví dụ, gần đây nhóm sử dụng RaaS làm việc với tư cách là chi nhánh của DarkSide - tổ chức thực hiện cuộc tấn công vào công ty cung cấp nhiên liệu Colonial Pipeline của Mỹ đã gặp khó khăn khi nhận tiền chuộc, cuối cùng nhóm đã phải chuyển công việc này sang cho quản trị viên một diễn đàn tội phạm Darkweb lo liệu. Và sau vụ hack Colonial Pipeline, nhiều diễn đàn ngầm đang tìm cách giảm sức nóng bằng cách xóa quảng cáo RaaS và những thứ tương tự.

Kinh doanh đang bùng nổ trên thế giới Internet ngầm. Nhưng điều đó có thể sẽ thay đổi, một liên minh gồm 60 thực thể toàn cầu, bao gồm cả bộ Tư pháp Mỹ (nhưng chưa có đơn vị nào của Việt Nam tham gia) đã đề xuất một kế hoạch có qui mô lớn, nhằm thiết lập lực lượng đặc nhiệm ransomware để truy lùng và triệt phá các băng đảng ransomware bằng cách theo dõi các hoạt động tài chính của chúng.

Theo The Threatpost, Philip Reiner, Giám đốc điều hành của IST và là giám đốc điều hành của lực lượng đặc nhiệm Ransomware (RTF), cảnh báo, cần phải có thứ gì đó. "Chi phí trả tiền chuộc đã tăng gần gấp đôi trong năm qua và đang tạo ra những rủi ro mới, vượt xa các thiệt hại về tiền bạc. Trong 12 tháng qua, chúng tôi đã chứng kiến các cuộc tấn công ransomware làm trì hoãn việc điều trị y tế, làm mất ổn định những cơ sở hạ tầng quan trọng và đe dọa an ninh của nhiều quốc gia"./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Việt Nam - Malaysia nâng cấp quan hệ Đối tác chiến lược toàn diện
    Phát biểu tại họp báo, Tổng Bí thư Tô Lâm cho biết, Việt Nam-Malaysia tăng cường hợp tác trên các lĩnh vực mới (như kinh tế xanh, đổi mới sáng tạo, khoa học công nghệ, chuyển đổi số, năng lượng xanh...).
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Chuyển đổi số thành công không thể thiếu “niềm tin số”
    Muốn triển khai hiệu quả chiến lược số hóa quốc gia cần triển khai theo hướng tiếp cận từ trên xuống dưới và phải phù hợp với thực tế, đảm bảo có tầm nhìn rộng trong tương lai.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
  • Sự gia tăng của ứng dụng AI tạo sinh: Những rủi ro tiềm ẩn cho xã hội và con người
    AI tạo sinh là một trong những thành tựu công nghệ mới nhất của con người trong thập niên 20 của thế kỷ XXI. Cho đến nay, sự ứng dụng của AI tạo sinh đã tạo ra nhiều cuộc tranh luận quan trọng trong các nghiên cứu xã hội, đặc biệt là trong lĩnh vực triết học. AI tạo sinh đã thách thức nhiều khái niệm và định kiến của chúng ta về bản thân mình, đặc biệt là về cách chúng ta hiểu về tư duy và bản chất của tư duy con người.
Thấy gì trong "nền kinh tế ngầm" ransomware?
POWERED BY ONECMS - A PRODUCT OF NEKO