Theo Báo cáo về các mối đe dọa bảo mật điểm cuối (Security Endpoint Threat Report) năm 2019 công bố giữa năm 2020, Châu Á - Thái Bình Dương tiếp tục có tỷ lệ xảy ra các cuộc tấn công bằng malware và ransomware cao hơn mức trung bình - lần lượt là 1,6 và 1,7 lần so với thế giới. Mặc dù tỷ lệ xảy ra các cuộc tấn công bằng malware đã giảm 29% so với năm trước đó, ở mức 8,77% vào năm 2019, Việt Nam vẫn nằm trong top 3 khu vực về tỷ lệ này.
Đối với tỷ lệ xảy ra các cuộc tấn công bằng ransomware, Việt Nam được ghi nhận là quốc gia đứng đầu khu vực, ở mức 0,17% năm 2019. Tỉ lệ này dù đã giảm 26% so với năm trước, nhưng vẫn cao gấp 3, 4 lần mức trung bình của khu vực.
Bà Mary Jo Schrade Giám đốc bộ phận tội phạm công nghệ cao, Microsoft châu Á giải thích: "Thông thường, tỷ lệ nhiễm malware cao có liên quan tới tỷ lệ vi phạm bản quyền và ý thức cá nhân về an toàn mạng - bao gồm hoạt động vá và cập nhật phần mềm thường xuyên. Theo đó, các quốc gia có tỷ lệ vi phạm bản quyền cao hơn và ý thức cá nhân về an toàn mạng thấp hơn có xu hướng chịu ảnh hưởng nặng nề hơn từ các cuộc tấn công mạng. Việc vá, sử dụng phần mềm hợp pháp và cập nhật phần mềm có thể hạn chế khả năng nhiễm malware và ransomware".
Cũng cần phải giải thích thêm, khác với malware - phần mềm độc hại được thiết kế để đánh cắp thông tin nhạy cảm hoặc lây lan spam qua email, ransomware lại là phần mềm độc hại khóa máy tính và ngăn chặn nạn truy cập cho đến khi họ phải trả một khoản tiền chuộc, hiện khoản tiền chuộc này thường được yêu cầu dưới dạng bitcoins.
Một trong những vụ tấn công ransomware nổi tiếng trong quá khứ được thực hiện bởi phần mềm mã độc tống tiền ransomware WannaCry lan truyền trên các máy tính chạy hệ điều hành Windows của Microsoft. Đây là cuộc tấn công mạng quy mô lớn sử dụng ransomware, gây lây nhiễm cho hơn 230.000 máy tính tại 150 quốc gia, Việt Nam là một trong những nước bị tấn công nhiều nhất.
Tại Việt Nam, các chuyên gia và nhà nghiên cứu về an toàn thông tin (ATTT) đã liên tục cảnh báo về các mối nguy hại liên quan đến ransomware, bởi các cuộc tấn công ransomware phần lớn đều theo hướng đòi tiền chuộc. Những vụ tấn công kiểu này, nếu thành công sẽ mang lại những lợi ích không hề nhỏ cho tội phạm, dẫn đến kích thích chúng tấn công chăm chỉ và khủng bố điên cuồng hơn.
Kinh doanh dựa trên ransomware
Tội phạm mạng đang ngày càng tiến bộ trong cách thức kinh doanh dựa trên ransomware, bao gồm những mối quan hệ phức tạp giữa chúng và cách chúng cộng tác để bày bán "quyền truy cập" trộm cắp được trên Web đen (Darkweb).
Theo ông Nguyễn Trung Luận, Giám đốc sản phẩm của Mi2, Ransomware không chỉ là phần mềm độc hại - nó còn là trung tâm của một nền kinh tế ngầm khá phát triển, phức tạp, có các quy ước về thương mại hợp pháp.
"Đây là một cộng đồng lớn bao gồm những kẻ phát chuyên triển phần mềm độc hại; các chi nhánh và đối tác bán dữ liệu thu được sau các cuộc tấn công; những người cung cấp các dịch vụ kế tiếp, chẳng hạn như bán quyền truy cập mạng. Thậm chí những tổ chức tham gia vào nền kinh tế này còn có những cánh tay nối dài công khai của riêng họ để phát hành thông cáo báo chí và duy trì "thương hiệu", ngoài ra còn có các hoạt động dịch vụ khách hàng".
Theo một chuyên gia Kapersky tại Việt Nam, cộng đồng này đã phát hiện ra rằng nền kinh tế ransomware đang phát triển và phức tạp, với "một số tác nhân cung cấp dịch vụ cho nhau". Đó là các quản trị viên cung cấp quyền truy cập vào các thiết bị; Các nhà phát triển phần mềm độc hại; và các nhà môi giới chuyên cung cấp quyền truy cập mạng thông qua các cửa hậu hoặc khai thác lỗ hổng bảo mật để thực hiện giao thức điều khiển máy tính từ xa RDP.
Chuyên gia này cho biết: "Những quyền truy cập này có thể được bán trong các cuộc đấu giá hoặc với giá cố định, bắt đầu từ 50 USD. Kẻ tấn công bán cả loạt quyền truy cập vào máy tính của nạn nhân, hoặc liên tục theo dõi các lỗ hổng phần mềm bị tiết lộ công khai để khai thác ngay khi chúng được công bố, trước khi có bản vá".
Cung cấp ransomware như dịch vụ
Tội phạm khai thác ransomware thường thông qua các chi nhánh - những người cung cấp ransomware như dịch vụ (RaaS). Đây được coi là đối tác kênh ngầm, chịu trách nhiệm bán dữ liệu cho các nạn nhân. Họ thường bỏ túi từ 60 - 80% số tiền chuộc, phần còn lại sẽ vào túi của các tổ chức điều hành và tác giả của ransomware nào đó.
Theo các chuyên gia tại Intel 471 với The Threatpost, những băng nhóm này hoạt động giống các doanh nghiệp hợp pháp: có dịch vụ khách hàng và bộ phận hỗ trợ CNTT, tất cả với mục tiêu nâng cao tên tuổi của thương hiệu. Vì vậy, các ransomware phổ biến nhất là những biến thể có thể mang lại các khoản tiền chuộc cao hơn, và họ xử lý các yêu cầu của tội phạm khi cùng nhau hợp tác.
Các hoạt động RaaS cho mục đích mờ ám thường lựa chọn cẩn thận các đối tác, với các yêu cầu khác nhau, từ chuyên môn kỹ thuật đến việc chứng minh nguồn gốc bản thân.
Vẫn theo nhóm bảo mật Intel 471, các băng đảng ransomware lâu đời khá kén chọn. Yêu cầu cơ bản đối với ứng viên trong một chương trình liên kết RaaS cao cấp thường là chứng minh tính khả dụng của các quyền truy cập bị xâm phạm hoặc các nguồn tiềm năng sinh lợi.
Nhóm tội phạm MedusaLocker đã từng đăng các yêu cầu tuyển đại lý tiềm năng, bao gồm "kinh nghiệm thực tế với ransomware, sử dụng thành thạo Cobalt Strike - công cụ kiểm tra thâm nhập, khả nâng cao đặc quyền của quản trị viên nội bộ và quản trị tên miền, kiến thức làm việc về hệ thống sao lưu, hiểu biết về OpSec (các hoạt động an ninh).
Trong khi đó, để ngăn các cơ quan pháp luật và các nhà nghiên cứu về an ninh mạng sờ gáy, một số RaaS đã thực hiện các biện pháp phòng ngừa bổ sung, bao gồm xác nhận về các thành viên. Ví dụ, một bài đăng trên diễn đàn tội phạm mạng cho biết, không nghi ngờ gì nữa, tại FBI đã có những người nói được tiếng của một số quốc gia nổi tiếng về tấn công ransomware. Nên phải kiểm tra ai đó bằng cách hỏi họ các câu hỏi liên quan đến lịch sử, thành ngữ v.v... của quốc gia mà thành viên đó hiện diện chứ không đơn thuần là các cuộc nói chuyện thông thường.
Quy trình kiểm tra phức tạp nói trên phát sinh từ thực tế, tội phạm kiếm tiền bất hợp pháp từ gian lận trực tuyến hoạt động với các liên kết chặt chẽ. Tên tuổi là tất cả đối với chúng, chúng làm việc cùng nhau trong một thời gian dài để thiết lập danh phận, từ đó có thể tham gia vào những băng nhóm để kiếm tiền".
Cạnh tranh
Theo một phân tích gần đây của Kaspersky về 3 diễn đàn ngầm lớn, nơi phát hành nhiều phần mềm tống tiền. Trong thế giới ngầm của tội phạm mạng, mẫu và công nghệ xây dựng phần mềm tống tiền có giá từ 300 - 4.000 USD, giá thuê RaaS từ 120 - 1.900 USD/năm.
Và tất nhiên, lợi nhuận đã dẫn đến những cuộc chạy đua nhằm phát triển mã sáng tạo nhất, tiên tiến nhất hoặc bí mật nhất cho thị trường này.
Phần mềm ransomware thường được bán lại, và các băng đảng chắc chắn đã tiến hành cạnh tranh để giành thị phần. Luôn có những đổi mới trong các chiến dịch, đặc biệt là việc vượt qua các biện pháp phòng thủ, ngăn chặn vi-rút và biện pháp kiểm soát khác có thể cản trở chúng.
Có một số loại virus và dịch vụ phổ biến hơn những loại khác, đơn giản là vì chúng hoạt động tốt hơn. Tuy nhiên, tùy chọn mà các "tác nhân đe dọa cuối" quyết định mua và sử dụng ransomware nào đó, thường phụ thuộc vào các yếu, chẳng hạn như tên tuổi của tác giả, của phần mềm độc hại, hoặc người điều hành hoạt động RaaS, giá cả, vị trí địa lý, hoặc bối cảnh tấn công nạn nhân.
Đôi khi cũng có những vấn đề nảy sinh, ví dụ, gần đây nhóm sử dụng RaaS làm việc với tư cách là chi nhánh của DarkSide - tổ chức thực hiện cuộc tấn công vào công ty cung cấp nhiên liệu Colonial Pipeline của Mỹ đã gặp khó khăn khi nhận tiền chuộc, cuối cùng nhóm đã phải chuyển công việc này sang cho quản trị viên một diễn đàn tội phạm Darkweb lo liệu. Và sau vụ hack Colonial Pipeline, nhiều diễn đàn ngầm đang tìm cách giảm sức nóng bằng cách xóa quảng cáo RaaS và những thứ tương tự.
Kinh doanh đang bùng nổ trên thế giới Internet ngầm. Nhưng điều đó có thể sẽ thay đổi, một liên minh gồm 60 thực thể toàn cầu, bao gồm cả bộ Tư pháp Mỹ (nhưng chưa có đơn vị nào của Việt Nam tham gia) đã đề xuất một kế hoạch có qui mô lớn, nhằm thiết lập lực lượng đặc nhiệm ransomware để truy lùng và triệt phá các băng đảng ransomware bằng cách theo dõi các hoạt động tài chính của chúng.
Theo The Threatpost, Philip Reiner, Giám đốc điều hành của IST và là giám đốc điều hành của lực lượng đặc nhiệm Ransomware (RTF), cảnh báo, cần phải có thứ gì đó. "Chi phí trả tiền chuộc đã tăng gần gấp đôi trong năm qua và đang tạo ra những rủi ro mới, vượt xa các thiệt hại về tiền bạc. Trong 12 tháng qua, chúng tôi đã chứng kiến các cuộc tấn công ransomware làm trì hoãn việc điều trị y tế, làm mất ổn định những cơ sở hạ tầng quan trọng và đe dọa an ninh của nhiều quốc gia"./.