Tội phạm mạng tống tiền bằng mã độc thế nào và tại sao giải pháp thường là nộp tiền chuộc?

0 Yến Chi (Theo CBS/NYT)
ANTD.VN - Tin tặc đã tấn công nhiều cơ sở công cộng, “bắt giữ” dữ liệu đòi tiền chuộc. Nhưng Cục Điều tra Liên bang FBI cho rằng bất kỳ ai tham gia vào môi trường internet cũng có thể trở thành nạn nhân của tấn công mạng khi mà dự kiến tới năm 2020, khoảng 50 tỷ thiết bị trên toàn thế giới sẽ được kết nối qua internet.

ảnh 1Bất kỳ ai tham gia vào môi trường internet cũng có thể trở thành nạn nhân của tấn công mạng

Thị trưởng thành phố Baltimore của Mỹ, ông Bernard Young, hôm 28-5 tuyên bố thành phố sẽ không trả tiền chuộc cho tin tặc để khắc phục hậu quả sau vụ tấn công mạng vừa qua khiến một phần mạng lưới máy tính khu vực bị tê liệt. Thị trưởng Young cho biết mặc dù các tin tặc đã yêu cầu khoản tiền chuộc là 100.000 USD bằng đồng tiền ảo bitcoin, song ông sẽ không cân nhắc phương án trả tiền chuộc. Ông thậm chí sẽ kêu gọi các thành phố khác có hành động tương tự.

Danh sách nạn nhân tiếp tục nối dài

Hôm 7-5, hệ điều hành Microsoft Windows của Baltimore đã trở thành mục tiêu của vụ tấn công, khiến hàng nghìn máy tính bị đóng băng, vô hiệu hóa email, truy cập vào các giao dịch của người dân bao gồm bán bất động sản, hóa đơn nước, sức khỏe… Các tập tin quan trọng của thành phố đã bị mã hóa. Hacker yêu cầu thành phố trả khoảng 100.000 USD bằng Bitcoin. “Chúng tôi đã theo dõi trong nhiều ngày. Chúng tôi sẽ không nói nhiều. Tất cả những gì chúng tôi cần là tiền! Nhanh lên!”, nội dung lời nhắn của hacker.

Tuy nhiên, các quan chức thành phố quyết định từ chối trả tiền theo yêu cầu của hacker. Bộ phận CNTT của thành phố đang làm việc để khắc phục quyền truy cập của người dân vào các hệ thống bị ảnh hưởng và sửa chữa lỗ hổng trong bảo mật phần mềm. Chính quyền thành phố Baltimore chưa công bố thông tin về cá nhân hay nhóm tin tặc đứng sau vụ tấn công. Tuy nhiên, họ đã xác định được tên phần mềm tấn công là EternalBlue. 

Theo tờ New York Times, mã độc EternalBlue do chính Cơ quan An ninh quốc gia Mỹ (NSA) có trụ sở tại Maryland phát triển. Thị trưởng Young nhấn mạnh do NSA là nơi tạo ra mã độc này, nên thành phố Baltimore đang tìm kiếm sự hỗ trợ tài chính liên bang để khắc phục tổn thất. Trước đây, EternalBlue được sử dụng trong một số cuộc tấn công lớn khác. Các tin tặc đứng sau mã độc Wannacry (tháng 5-2017) từng dùng công cụ này nhắm vào các ngân hàng, sân bay… của Ukraine.

Năm 2018, Bộ Tư pháp Mỹ đã chỉ ra 2 thủ phạm tống tiền bằng mã độc SamSam. Hai nghi phạm người Iran đã bị truy tố nhưng các đối tượng vẫn ở Iran nên không thể dẫn độ. Cặp đôi này được cho là thu về 6 triệu USD tiền chuộc nhưng từ khi bị truy tố đã nằm im không hoạt động. Các vụ tấn công mã độc tống tiền gần nhất có xu hướng đến từ các quốc gia bao gồm Nga mà FBI không thể tiếp cận.

Trước đó, vào đầu tháng 5-2019, sân bay Cleveland đã bị tin tặc tấn công hệ thống máy tính đánh cắp thông tin chuyến bay, màn hình hành lý và email. FBI nói rằng đó là một cuộc tấn công mã độc tống tiền ransomware (dạng phần mềm độc hại, phần mềm tống tiền được dùng nhằm mục đích chính là ngăn chặn người dùng truy cập và sử dụng máy tính cá nhân).

Ngày càng nhiều, các mạng dịch vụ công cộng quan trọng trở thành mục tiêu của các vụ tấn công mạng kiểu này, trong đó các tập tin của nạn nhân bị khóa cho đến khi tiền chuộc được trả. Trước Cleveland, nạn nhân của ransomware ở Mỹ có thể kể đến chính quyền thành phố Newark, Atlanta và Sarasota, Sở Giao thông vận tải San Francisco, Colorado và Cảng San Diego, thậm chí cả chục bệnh viện - một mục tiêu tương đối “nhạy cảm”.

Khi bị tin tặc “bắt cóc” dữ liệu

Vào tháng 1-2018, ca trực đêm tại Bệnh viện khu vực Hancock, Indianapolis, Mỹ nhận thấy toàn bộ hệ thống máy tính sập mạng với lời xin lỗi hiện lên. Tổng Giám đốc điều hành của bệnh viện có 100 giường bệnh ở ngoại ô Indianapolis này bật dậy lúc nửa đêm. “Chúng tôi chưa bao giờ trải qua điều này. Đó là thứ mà tôi mới chỉ đọc được trên báo chí. Khi vào mạng nội bộ, các tệp trên máy tính đã được đổi tên và hiện lên “chúng tôi xin lỗi”. Trên thực tế, họ đã mã hóa mọi tệp mà chúng tôi có trên máy tính và trên mạng”, ông Steve Long nói.

Ông Steve Long đã gọi số điện thoại khẩn cấp 911 để chuyển bệnh nhân đến bệnh viện cách đó 20 dặm. Nhân viên của bệnh viện chuyển sang dùng bút và giấy. Không có gì liên quan đến máy tính điện tử có thể sử dụng được lúc đó. Giám đốc Steve Long được thông báo rằng đây là một vụ tấn công mạng bằng ransomware, tức là mã độc đã xâm nhập vào hệ thống máy tính. “Nó có khả năng can thiệp vào thiết bị y tế, máy thở hay không? Chúng tôi có rất ít thời gian để chắc chắn về điều đó”. Nhưng thời gian là một thứ xa xỉ khi yêu cầu về tiền chuộc được đưa ra. 

Bệnh viện được thông báo, nếu muốn giải mã khóa, họ phải trả tiền trong vòng 7 ngày, nếu không các tệp tin sẽ bị xóa vĩnh viễn. Nhân viên Cục Điều tra Liên bang (FBI) khuyên ông Steve Long không nên trả tiền, nhưng sau 2 ngày, thấy nhân viên phải viết đến 10.000 tờ tài liệu, ông đã quyết định trả tiền chuộc. “Chúng tôi đã trả cho chúng số tiền mà chúng đòi: khoảng 55.000 USD”, ông Steve Long nói.

Số tiền đó cùng một mức giá được đặt ra đối với thị trấn Leeds, bang Alabama, chỉ 3 tuần sau sự cố xảy ra với Bệnh viện Hancock. Thị trưởng David Miller đã rất ngạc nhiên khi thị trấn 12.000 cư dân của ông bỗng trở thành mục tiêu. Chính quyền thị trấn Leeds bị đẩy lùi về thời đại của giấy tờ: không email, không quyền truy cập vào hồ sơ nhân sự hoặc hệ thống tài chính. Kẻ gian yêu cầu trả tiền bằng đồng tiền kỹ thuật số được gọi là bitcoin, vốn rất khó truy dấu vết. Hai tuần dùng dằng, thuyết phục tin tặc rằng Leeds chỉ là thị trấn nghèo, vắng dân, Thị trưởng Miller đã thương lượng để chỉ phải trả 8.000 USD thay vì 60.000 USD như mức ban đầu.

ảnh 2Mã độc tấn công khiến các màn hình thông tin ở sân bay Cleveland không hoạt động

Lựa chọn tốt hơn vẫn là… trả tiền chuộc

Thanh tra Mike Christman, phụ trách đơn vị chống tội phạm của FBI cho rằng, các cơ quan công quyền và bệnh viện trở thành mục tiêu tấn công mạng vì họ có thể trả tiền chuộc trong tình huống bất khả kháng. Số liệu cho thấy, năm 2017, FBI ghi nhận 1.700 cuộc tấn công mã độc tống tiền thành công nhưng con số thực có thể gấp đôi bởi hầu hết các đơn vị thà trả tiền chuộc hơn là thừa nhận đã bị tấn công mạng.

“Tôi biết về một biến thể ransomware đã ảnh hưởng đến tất cả 50 tiểu bang gây thiệt hại khoảng 30 triệu USD cùng 6 triệu USD thanh toán tiền chuộc”, ông Mike Christman nói. Biến thể mã độc mà quan chức FBI này nói đến là một trong những thủ phạm trong vụ việc ở Bệnh viện Hancock. Nó được gọi là “SamSam”, không thể hóa giải được. Đơn cử trường hợp chính quyền Atlanta, SamSam yêu cầu nộp 50.000 USD tiền chuộc nhưng họ từ chối. Thay vào đó, thành phố đã mất nhiều tháng và tốn 20 triệu USD để khôi phục hệ thống dữ liệu, nhưng nguồn video giám sát hành trình của cảnh sát trong 7 năm không bao giờ khôi phục được.

Tom Pace - Phó Chủ tịch của Blackberry -Cylance, một công ty an ninh mạng hàng đầu của Mỹ chỉ ra rằng, có cả những trang web cung cấp mã độc cho thuê. Kẻ tấn công có thể sử dụng một trong nhiều sản phẩm bất hợp pháp tại đây và trang web sẽ được chia một phần lợi nhuận nếu tiền chuộc được trả. Chuyên gia này cũng cho biết thêm, một trong những khách hàng của ông đã trả gần 1 triệu USD khi nhận được lời đe dọa. “Sẽ thế nào nếu tất cả dữ liệu nội bộ của anh và khách hàng bị rò rỉ? Nghe như một vụ kiện lớn sắp xảy ra. Vì vậy, họ đang tống tiền theo 2 cách: Hoặc là mã hóa tất cả các tệp, hoặc đe dọa sẽ tiết lộ dữ liệu đã đánh cắp được”, ông Tom Face phân tích.

Tuy vậy, một khi giao dịch này được hoàn thành, khách hàng lấy lại được các tập tin của mình, làm sao họ biết mình sẽ không bị tấn công nữa? “Không có cách nào để thực sự chứng minh rằng những người đó sẽ không làm như vậy. Chúng tôi cố gắng làm công việc bảo mật thực sự tốt để bịt tất cả các lỗ hổng. Nhưng không có gì đảm bảo rằng họ sẽ không quay lại cùng với loại hình tấn công mới, mặc dù điều đó không xảy ra thường xuyên”, chuyên gia về an ninh mạng Tom Face nhận định.

bình luận(0 bình luận)

Cùng chuyên mục
Top