Không còn là mối đe dọa, ransomware giờ đã phát triển như một ngành công nghiệp

So với năm 2016 thì số lượng các cuộc tấn công ransomware đã tăng đến 2.502%. Đây là một thị trường thực sự béo bở, phát triển như một dịch vụ kinh doanh (RAAS), ngày càng chuyên nghiệp và tinh vi mà hacker dựa trên nhiều điều kiện thuận lợi như sự xuất hiện của Tor, tiền điện tử, thói quen thiếu kiểm soát an ninh mạng của người dùng…

Trong tháng 8 và 9-2017, các nhà nghiên cứu của Carbon Black đã theo dõi 21 dark web lớn nhất (trong số hơn 6.300 dark web hiện nay), nơi thị trường mua bán ransomware hoạt động với hơn 45.000 chủng loại khác nhau.

Mức giá rất đa dạng, dao động từ 1 đô la cho ransomware khóa màn hình Android đến 1.000 đô la cho ransomware có mã tùy chỉnh, trung bình tầm 10,50 đô la cho mỗi “mặt hàng”.

Tổng số tiền thu được từ ransomware cũng rất đáng kinh ngạc. Theo số liệu của FBI, các khoản thanh toán tiền chuộc vào năm 2016 rơi vào khoảng 1 tỉ đô la, tăng từ 24 triệu đô la vào năm 2015.

Theo nghiên cứu của Carbon Black, các hacker tạo ra ransomware có thể kiếm được khoảng 100.000 USD (miễn thuế) mỗi năm, hơn hẳn so với mức lương trung bình 69.000 đô la Mỹ (trước thuế) của các chuyên viên phát triển phần mềm hợp pháp.

Sự khác biệt thậm chí còn lớn hơn ở nhiều nước Đông Âu, nơi mà phần mềm độc hại phát triển cực mạnh. Doanh thu ransomware trên dark web đã tăng từ dưới 400.000 đô la vào năm 2016 lên khoảng 6,25 triệu đô la vào năm 2017.

Ảnh: Webroot.

“Ransomware giờ đã trở thành một ngành công nghiệp tương tự như tất cả các phần mềm hoàn chỉnh hiện có trên thị trường với sự phát triển, hỗ trợ, phân phối, đảm bảo chất lượng cực kỳ bài bản”, ông Rick McElroy, chuyên gia an ninh của Carbon Black, cho biết.

Ông dự đoán thị trường kinh doanh ngầm này sẽ phát triển với định hướng như các ngành công nghiệp hợp pháp với sự hợp nhất giữa nhà phát triển và sản phẩm.

Ransomware phát triển vì nó thu được lợi nhuận. Việc tháo dỡ các ngành công nghiệp phải tập trung vào việc loại bỏ lợi nhuận. Carbon Black mô tả ngành công nghiệp mới nổi này như một chuỗi cung cấp gồm năm điểm: tạo ra, phân phối, mã hóa, thanh toán, và kiểm soát. “Nếu chúng ta có thể làm gián đoạn một yếu tố của chuỗi thì toàn bộ cuộc tấn công sẽ bị phá vỡ”.

Trong chuỗi cung ứng đó, việc can thiệp vào quá trình tạo ra ransomware sẽ không thể thực hiện được. Quá trình phân phối và mã hóa cũng khó để kiểm soát. Thanh toán là điểm yếu nhất, là việc thu thập và theo dõi tiền chuộc được trả, và nếu không có tiền chuộc được trả thì toàn bộ ngành này sẽ sụp đổ.

McElroy nhấn mạnh: “Chúng ta cần phải ngừng trả tiền chuộc thì mới làm ransomware ngưng phát triển”.

Nhưng rõ ràng đây là một yêu cầu khó khăn. Nếu nạn nhân kiên quyết từ chối trả tiền thì tội phạm mạng sẽ nhắm mục tiêu đến nạn nhân khác, các khu vực khác hoặc các ngành công nghiệp khác. Vấn đề cũng không được giải quyết triệt để. Do đó, để ngăn việc trả một khoản tiền chuộc phát sinh, việc cải thiện kiểm soát an ninh cần được chú trọng, cả đối với cá nhân lẫn tổ chức.

Một điều mà bạn có thể nhận thức là hacker đứng đằng sau ransomware không hẳn chỉ toàn những tay chuyên nghiệp. Carbon Black đã nhận ra điều này thông qua vụ WannaCry và NotPetya.

NotPetya được thiết kế giống như ransomware nhưng lại là phần mềm độc hại dạng xóa ổ cứng, loại bỏ hoàn toàn các dữ liệu trên máy tính, phá hủy tất cả hồ sơ từ các hệ thống mục tiêu.

Còn WannaCry thì các chuyên gia bảo mật tin rằng cuộc tấn công này không nhắm vào đòi tiền chuộc mà thực chất chỉ để thu hút sự chú ý của giới truyền thông, làm người dùng hoang mang và sẵn sang chi trả bất cứ khoản tiền nào để bảo mật dữ liệu. Chỉ có một điểm cần lưu ý là sự phân phối ransomware thông qua việc khai thác lỗ hổng NSA chính là một sự phát triển mới.

Carbon Black còn cho biết việc sử dụng kỹ thuật xóa bỏ các bản sao lưu, xóa tính năng Shadow Copy, xóa các bản ghi sự kiện Windows sẽ giúp hacker ngăn chặn được nỗ lực phản hồi của người dùng buộc người dùng thỏa hiệp thay vì cố gắng giải mã tập tin hay điều tra dữ liệu. Các ransomware – hay cụ thể hơn là các yếu tố mã hóa của ransomware – sẽ được sử dụng để ẩn mọi vết tích đánh cắp dữ liệu và tống tiền.

McElroy nói thêm: “Với đà này, ransomware sẽ dần hoàn thiện và phức tạp hơn, cưỡng ép nạn nhân trả tiền chuộc, sử dụng nhiều kỹ thuật ngụy trang và gián điệp tiên tiến hơn để có thể tống tiền nhiều lần trong tương lai”.

Theo tto

 

SHARE