Mã độc tống tiền: Hình thức tấn công phổ biến truyền thống

Vào ngày 13/12/2019, thành phố New Orleans của Hoa Kỳ buộc phải tuyên bố tình trạng khẩn cấp sau khi hàng loạt máy tính tại thành phố đã bị vô hiệu hóa bởi một cuộc tấn công mã độc. Đến ngày 19/12, vụ tấn công đã gây thiệt hại cho thành phố hơn 1 triệu đô la.

Những diễn biến đáng tiếc này không còn quá xa lạ, bởi không ít chính quyền địa phương trên thế giới, từ Baltimore đến Johannesburg, đã từng gánh chịu hậu quả nặng nề, hàng trăm bệnh viện, trường học, doanh nghiệp và thậm chí cả Quân đội Hoa Kỳ đều phải “chào thua” bởi các cuộc tấn công mã độc tống tiền này.

Xem thêm:

Các cuộc tấn công của mã độc tống tiền đang gia tăng, nhưng rất khó để tính toán tác động của chúng. Theo những số liệu thống kê được đăng bởi Bộ An ninh Nội địa Hoa Kỳ, hơn 4.000 vụ tấn công mã độc tống tiền đã diễn ra hàng ngày kể từ năm 2016, tăng 300% so với khoảng xấp xỉ 1.000 vụ tấn công mỗi ngày được thấy trong năm 2015. Một báo cáo từ McAfee Labs vào tháng 8 đã tuyên bố rằng mã độc tống tiền đã tấn công hơn gấp đôi so với năm trước. Những con số này có thể đánh giá thấp phạm vi thực sự của vấn đề, vì nhiều doanh nghiệp chỉ đơn giản chọn cách trả tiền chuộc mà không báo cáo cuộc tấn công. Trên thực tế, một số công ty lo lắng rằng việc thừa nhận một cuộc tấn công mã độc tống tiền có thể làm giảm giá cổ phiếu. Ngoài các chi phí bỏ ra để thanh toán cho các vụ tống tiền được ước tính bên dưới, các doanh nghiệp phải tính đến chi phí thiệt hại do các hoạt động bị đình trệ trong khoảng thời gian chết.

Từ dữ liệu trên cho thấy tổng cộng chỉ có hơn 6,6 triệu đô la được trả cho các địa chỉ liên kết với mã độc tống tiền vào năm 2019, phần lớn gia tăng mạnh mẽ trong tháng 10 bởi các cuộc tấn công mã độc tống tiền được thực hiện bằng các chủng Bitpaymer, Ryuk, và Defray777. Tuy nhiên, con số 6.6 triệu đô này chỉ là một số tiền rất nhỏ so với tổng số tiền thất thoát do mã độc tống tiền. Ngay cả khi sử dụng phương pháp Blockchain cũng rất khó để xác định được số lượng tiền chuộc được trả nếu nạn nhân không báo cáo các cuộc tấn công.

Vấn đề được giải quyết bằng sự phổ biến của dịch vụ Raas (thực hiện dịch vụ gài cắm mã độc). Nhiều hacker (tin tặc) phát triển công nghệ mã độc tống tiền hiện cho phép các hacker có hiểu biết ít cũng có thể xâm nhập các hệ thống như phần mềm G-Suite của Google.

Sự khác biệt chính là những người xây dựng mã độc đều nhận được một khoản tiền từ bất kỳ cuộc tấn công mã độc thành công. Dưới đây là một ví dụ về quảng cáo cho một chủng RaaS mới có tên MegaCortex, giải thích cấu trúc và quy trình chi phí cho người mua mới bắt đầu.

Nguồn: PCRisk.com

Biểu đồ phản ứng chuỗi dưới đây cho thấy 2 ví dụ từ một trong những chủng RaaS phổ biến nhất năm 2019, Sodinokibi. Trong cả hai trường hợp, người dùng Sodinokibi RaaS ở bên trái sẽ gửi 70-75% tiền chuộc được đưa đến một địa chỉ, có thể là của chính họ và 20-25% cho một địa chỉ khác, có khả năng được kiểm soát bởi nhà cung cấp RaaS.

RaaS đã dẫn đến nhiều cuộc tấn công, khiến cho việc định lượng toàn bộ tác động tài chính trở nên khó khăn hơn. RaaS cũng đã thay đổi mạnh mẽ bản chất của các cuộc tấn công mã độc tống tiền, đặc biệt là về quy mô tiền chuộc và hồ sơ nạn nhân.

Mặc dù các nhà nghiên cứu không thể đo lường tổng tác động và chi phí của mã độc tống tiền nhưng họ có thể phân tích dữ liệu trên cơ sở tỷ lệ phần trăm hiện có để hiểu các xu hướng năm 2019 và có thể tiếp tục vào năm 2020.

Nhìn vào khu vực sở sơ đồ dưới, các nhà nghiên cứu đã ước tính gần đúng vị trí của nạn nhân dựa trên vị trí của các giao dịch.

Năm 2019, các nhà nghiên cứu phát hiện ra rằng 52% tiền thanh toán mã độc tống tiền đến từ Bắc Mỹ, một mức tăng lớn so với 31% vào năm 2018. Tỷ lệ thanh toán tiền chuộc lớn thứ hai đến từ các sàn giao dịch toàn cầu, tiếp theo là các sàn giao dịch châu Âu.

Mặc dù có thể nhưng các nhà nghiên cứu đã quyết định không cố xác định gần đúng vị trí của các kẻ tấn công mã độc như cách mà họ đã làm để xác định các nạn nhân. Tuy nhiên, những kẻ tấn công có khả năng cố gắng làm xáo trộn hoạt động của mình và sử dụng các dịch vụ ít yêu cầu về mặt địa lý, trong khi nạn nhân thường chọn sàn giao dịch hoặc dịch vụ thuận tiện nhất khi trả tiền chuộc.

Đi sâu vào dữ liệu cho thấy những kẻ tấn công mã độc tống tiền đang hoạt động rút tiền mặt chỉ tập trung vào một vài sàn giao dịch. Dưới đây là các sàn giao dịch phổ biến nhất của những kẻ tấn công mã độc tống tiền theo thời gian.

Tất cả các khoản tiền thu vào nhờ các chủng mã độc tống tiền hàng đầu từ 2013 đến 2016 đã được rút tại một sàn giao dịch phổ biến nhất trên thế giới: BTC-e (một trang web chuyên giao dịch các đồng coin lớn, chuyên mua bán, giao dịch, trao đổi và đầu tư hoặc rút tiền về tài khoản ngân hàng) ở Nga và đã bị đóng cửa bởi cơ quan thực thi pháp luật vào năm 2017. Theo như tình báo, có nhiều người trong số các giao dịch mã độc tống tiền họ có trụ sở ở Nga, bao gồm cả những người tạo ra các chủng mã độc phổ biến như CryptoLocker, Locky, và Cerber.

Sau khi BTC-e ngừng hoạt động vào năm 2017, những kẻ tấn công mã độc tống tiền đã chuyển sang rút tiền mặt tại các sàn giao dịch với cơ sở người dùng quốc tế lớn, bao gồm sàn giao dịch P2P (giao dịch điện tử theo hình thức ngang hàng).

Điều này phản ánh sự phổ biến của RaaS và cách nó cho phép một nhóm tội phạm mạng cấp thấp hơn phát động các cuộc tấn công mã độc tống tiền. Càng có nhiều kẻ tấn công trên thế giới thì càng có nhiều sự đa dạng hoá phương thức giao dịch để rút tiền. Một điều thú vị cần lưu ý rằng một sàn giao dịch khác có trụ sở ở Nga đã bắt đầu nhận được khoản tiền đáng kể từ các địa chỉ mã độc tống tiền vào năm 2018, ngay sau khi sự sụp đổ của BTC-e. Cổ phiếu của sàn này đã tiếp tục tăng lên, vì sàn giao dịch đó đã chiếm gần 44% của tất cả các quỹ tấn công mã độc được gửi đến các sàn giao dịch năm 2019.

Giống như các sàn giao dịch để rút tiền, chủng mã độc tống tiền cũng có xu hướng tập trung chỉ một số ít tại bất kỳ thời điểm nào. Biểu đồ bên dưới cho thấy các chủng mã độc tống tiền theo thời gian bằng tỷ lệ của tổng số thanh toán mã độc tống tiền mà chúng thu được.

Các chủng riêng lẻ có xu hướng thống trị trong năm đến 7 tháng một lần trước khi vô hiệu hoá và được thay thế bởi các chủng khác. Nhưng không phải chúng đều có phương thức hoạt động giống nhau.

RaaS khác với mã độc tống tiền như thế nào

Với sự phát triển ngày một gia tăng của RaaS, hai loại mã độc tống tiền khác nhau xuất hiện. Ở một đầu, các chiến dịch mã độc tống tiền truyền thống, tinh vi nhắm vào các tổ chức lớn hoặc trong trường hợp hacker liên kết quốc gia thì nhắm vào các mục tiêu chính trị. Ở phía bên kia của quang phổ, các cuộc tấn công RaaS được thực hiện trên các tổ chức nhỏ hơn bởi các hacker ít tinh vi hơn được gọi là các nhánh nhỏ (chi nhánh) trong thế giới hack. Ông Bill Siegel, giám đốc điều hành của Coveware, một nhà cung cấp ứng phó sự cố mã độc tống tiền, nhận định rằng: “Các nạn nhân chắc chắn có xu hướng nhỏ hơn trong RaaS”, “Các chi nhánh mua RaaS có xu hướng ít tinh vi hơn và có ít tài nguyên hơn, vì vậy họ theo đuổi các nạn nhân dễ hơn.”

Từ biểu đồ, chủng RaaS được tô màu vàng có xu hướng nhận chuyển trung bình thấp hơn từ các nạn nhân. Sodinokibi bùng nổ vào năm 2019, mang lại số tiền chuyển lớn hơn bất kỳ chủng RaaS nào khác, và nó là chủng RaaS duy nhất vượt qua rào cản chuyển tiền trung bình 5.000 đô la.

Bill và nhóm của ông đã theo dõi sự phát triển và lan rộng của Sodinokibi nhiều năm và những quan sát của họ cho thấy cái nhìn sâu sắc về sự lây lan của các chủng RaaS: “Chúng tôi đã thấy các cuộc tấn công Sodinokibi đầu tiên vào mùa xuân năm 2019, mà chúng tôi tin rằng đây là các cuộc chạy thử nghiệm dành cho các nhà phát triển và các chi nhánh ban đầu. Ngay sau đó, các nhà phát triển đã quảng cáo Sodinokibi để chọn các chi nhánh trên các diễn đàn hack nổi tiếng.”

Các nhà phát triển RaaS có thể chuyển từ “tiền tuyến” vào việc chạy phân phối và tuyển dụng. Nó là cùng một ngành nhưng vai trò thì khác nhau trong chuỗi cung ứng. Các nhà phát triển có thể kiếm được nhiều tiền hơn khi phân phối và quản lý RaaS hơn là tự mình thực hiện các cuộc tấn công. Nói một cách khác, những nhà phát triển Raas sẽ kiếm được tiền từ dịch vụ cung cấp các công cụ tấn công, số tiền này được nhiều hơn so với nỗ lực tự mình đi thực hiện tấn công.

Các chi nhánh hoàn toàn sẵn sàng để kiểm tra thị trường và tìm ra các chủng làm việc cho họ. Bill nêu thêm rằng: “ Nói chung, chúng tôi chắc chắn nghe thấy các chi nhánh đăng bài về trải nghiệm của họ với các chủng RaaS khác nhau và tìm kiếm các nhà cung cấp người mà giúp họ có lợi nhuận lớn hơn”.

Biểu đồ trên cho thấy nhiều lần chuyển tiền kết nối các địa chỉ điện tử được liên kết với các chủng mã độc tống tiền khác nhau. Kết nối đó có thể là ngẫu nhiên. Ví dụ, một số chủng có thể được liên kết vì những kẻ tấn công sử dụng cùng một dịch vụ xáo trộn. Một số giao dịch này là ví dụ về người dùng RaaS mua sắm và thậm chí các nhà cung cấp RaaS bán nhiều chủng. Các nhà cung cấp RaaS bán nhiều chủng gợi ý rằng một vài nhà cung cấp lớn đang chiếm lĩnh thị trường, nhưng không thể nói chắc chắn.

Dưới đây là kết nối giữa hai loại mã độc tống tiền - Phobos và Crysis dharma - sử dụng phản ứng chuỗi.

Ở đây, một địa chỉ liên quan đến Crysis Dharma gửi tiền cho một người được liên kết với Phobos. Cả hai đều gửi một khoản tiền đáng kể vào cùng một ví Bitzlato - một sàn giao dịch rủi ro cao của Nga. Mặc dù các nhà nghiên cứu không thể nói chắc chắn, nhưng dự đoán tốt nhất là cả hai địa chỉ ở phía dưới đều được kiểm soát bởi cùng một nhà cung cấp RaaS bán quyền truy cập vào cả Phobos và Crysis Dharma và gửi tiền từ cả hai trở lại tài khoản của họ tại Bitzlato.

Mã độc tống tiền: tin xấu, tin tốt

Tin xấu là sự lây lan của RaaS đến quần chúng tội phạm mạng, điều này đồng nghĩa với việc các công ty thuộc mọi hình dạng và quy mô cần phải cảnh giác trước các cuộc tấn công. Hiện nay có nhiều kẻ tấn công dễ dàng tự phát triển mã độc tống tiền, có nghĩa là chúng có thể mang lại lợi nhuận để tấn công các tổ chức nhỏ mà hacker tinh vi hơn sẽ nhắm vào. Vấn đề RaaS có thể trở nên tồi tệ hơn khi thị trường trên mạng cho các loại virus độc hại này trưởng thành, với các nhà cung cấp RaaS đang tìm cách khác biệt bằng cách giải phóng nhiều chủng nguy hiểm hơn.

Nhưng tin tốt là bất kỳ doanh nghiệp nào cũng có thể tự bảo vệ mình khỏi các cuộc tấn công của mã độc tống tiền bằng cách làm theo một vài bước đơn giản. Bill Siegel phác thảo một số biện pháp này trên Coveware blog. Đầu tiên, các doanh nghiệp nên lưu ba bản sao của các tài liệu quan trọng nhất của họ: một vào ổ đĩa cục bộ của họ, một vào hệ thống sao lưu đám mây như Dropbox và một vào bộ lưu trữ vật lý ngoại tuyến, chẳng hạn như SB hoặc ổ cứng ngoài. Bằng cách đó, các tệp cần thiết có thể tồn tại trong trường hợp bạn bị tấn công. Để ngăn chặn các cuộc tấn công xảy ra, Bill khuyến nghị các doanh nghiệp nên tuân thủ các phương tốt nhất như cập nhật hệ điều hành thường xuyên để có các bản sửa và bảo mật mới, sử dụng phần mềm chống vi-rút mạnh và cho phép các biện pháp bảo mật như xác thực hai yếu tố và quản lý mật khẩu.

Trường hợp doanh nghiệp của bạn trở thành nạn nhân của một cuộc tấn công mã độc tống tiền, Bill sẽ phác thảo một vài bước để thực hiện ngay lập tức.

Trước tiên, bạn nên cách ly mọi máy bị ảnh hưởng bằng cách ngắt kết nối chúng khỏi mọi mạng mà chúng kết nối với, chẳng hạn như wifi hoặc bluetooth và tắt nguồn.
Thứ hai, đóng tất cả các cổng giao thức máy tính để bàn từ xa (RDP), vì chúng là một vectơ phổ biến cho các cuộc tấn công mã độc tống tiền.
Cuối cùng, cập nhật tất cả thông tin quản trị và người dùng để tin tặc mất bất kỳ quyền truy cập nào họ có vào hệ thống của bạn. Từ đó, bạn nên khôi phục càng nhiều dữ liệu của bạn càng tốt từ các bản sao lưu.

Bill, cùng với FBI, khuyên bạn không nên trả tiền chuộc cho những kẻ tấn công trừ khi có một cách khác để doanh nghiệp của bạn lấy lại dữ liệu quan trọng.

Các nhà nghiên cứu cũng kêu gọi bất kỳ công ty nào gặp phải mã độc tống tiền cần báo cáo cuộc tấn công ngay lập tức. Mặc dù có thể cảm thấy đáng sợ khi tiếp tục và thừa nhận rằng doanh nghiệp đã trở thành nạn nhân, nhưng thật khó để các cơ quan thực thi pháp luật và ngành an ninh mạng giám sát và nắm bắt được vấn đề nếu các doanh nghiệp không báo cáo. Nỗi sợ hãi về sự giám sát này của các doanh nghiệp giúp những kẻ tấn công mã độc tống tiền thản nhiên hơn và đòi thêm nạn nhân. Với số lượng các tổ chức uy tín bị tấn công bằng mã độc tống tiền, từ FedEx đến dịch vụ y tế quốc gia của chính phủ Anh đến vô số chính quyền địa phương, các nhà nghiên cứu khuyên rằng nên xóa bỏ sự kỳ thị liên quan đến các cuộc tấn công này - rõ ràng, chúng có thể xảy ra ở bất kì tổ chức nào.

Trong trường hợp bạn bị tấn công, bạn nên thu thập càng nhiều bằng chứng càng tốt, chẳng hạn như ảnh chụp màn hình các tin nhắn đòi tiền chuộc bạn nhận được và gửi cho các nhà điều tra để họ có thể biết được loại mã độc tấn công nào mà bạn đã gặp phải và bắt đầu hình thành phản hồi. Bạn cũng có thể báo cáo các cuộc tấn công tới Chainalysis trực tiếp bằng mẫu báo cáo mã độc tống tiền hoàn toàn mới của chúng tôi. Các chi tiết bạn cung cấp có thể giúp chúng tôi thu thập thêm dữ liệu về những kẻ tấn công của bạn và làm việc với cơ quan thực thi pháp luật để ngăn chặn chúng.

Nguồn: Chainalysis
Biên tập: VIC News

Disclaimer: Bài viết chỉ nhằm mục đích cung cấp thông tin và không được coi là lời khuyên đầu tư. Đầu tư Crypto là một hình thức đầu tư mạo hiểm và người tham gia phải chịu hoàn toàn trách nhiệm với khoản đầu tư của mình.

Follow us: Fanpage | Group FB | Group chat | Channel Analytics | Channel NFT Youtube