Hiểm họa từ hành vi tống tiền bằng mã độc

Thứ Tư, 16/06/2021, 11:30
Tấn công bằng mã độc tống tiền đang là nguy cơ an ninh quốc gia và cũng là lĩnh vực kiếm bộn tiền của tội phạm mạng thời gian qua.

Theo thời gian, thủ đoạn và các phương pháp của tin tặc đang ngày càng tinh vi và phức tạp hơn. Trong khi đó, làm thế nào để xử lý hiệu quả và dứt điểm vấn nạn phạm tội này vẫn là câu hỏi nhức nhối của các chính quyền cũng như doanh nghiệp, tổ chức và cá nhân.

Đầu tháng 6, Bộ Tư pháp Mỹ cho hay cơ quan này bắt đầu xếp loại các vụ tấn công mạng sử dụng mã độc tống tiền với ưu tiên tương đương các vụ khủng bố. Trong văn bản hướng dẫn nội bộ gửi đến các cơ quan trực thuộc trên cả nước, Bộ Tư pháp đã chỉ đạo việc điều tra các vụ tấn công mã độc tống tiền cần được phối hợp với lực lượng chuyên trách được thành lập gần đây tại Washington. 

Theo Thứ trưởng Tư pháp John Carlin: “Đây là quy trình đặc biệt nhằm đảm bảo có thể theo dấu mọi trường hợp tấn công mã độc tống tiền nhắm vào bất cứ nơi đâu trên cả nước, để có thể liên kết giữa các bộ phận và ngăn chặn toàn bộ”.

Đây là lần đầu Bộ Tư pháp Mỹ áp dụng quy trình đối phó khủng bố và nguy cơ an ninh quốc gia đối với các vụ tấn công mã độc tống tiền. Quyết định được đưa ra sau vụ tấn công hồi tháng 5 vào đường ống dẫn nhiên liệu của công ty Colonial Pipeline, nơi cung cấp nhiên liệu cho phần lớn Bờ Đông nước Mỹ. 

Vụ việc đã khiến hệ thống cung ứng của công ty này phải đóng cửa, đẩy giá xăng lên cao và dẫn đến những đợt mua bán hoảng loạn. Một tuần sau khi Colonial Pipeline trả 4,4 triệu USD tiền chuộc để hệ thống hoạt động trở lại, 80% các trạm xăng ở Washington D.C., vẫn không có nhiên liệu.

Văn bản của Bộ Tư pháp đề cập cụ thể đến trường hợp Colonial Pipeline là điển hình của tình trạng đe dọa tấn công mã độc ngày càng gia tăng ở Mỹ.

Tấn công bằng mã độc tống tiền đang trở thành một nguy cơ an ninh không thể coi thường.

Mã độc tống tiền “lên ngôi”?

Mã độc tống tiền (ransomware) là loại phần mềm độc hại tấn công hệ thống máy tính khi người dùng bấm phải liên kết độc hại, cài đặt phần mềm không rõ nguồn gốc hoặc từ lỗ hổng trên máy chủ lỗi thời. Có nhiều dạng mã độc tống tiền khác nhau, tuy nhiên mục đích chung đều là ngăn cản người dùng sử dụng thiết bị. 

Thông thường các mã độc tống tiền sẽ mã hóa dữ liệu trên thiết bị, hoặc ngăn chặn các phần mềm được kích hoạt trên máy tính hoặc đôi khi hiển thị các hộp thoại thông báo mà người dùng không thể đóng lại được. Những kẻ tấn công sẽ yêu cầu người dùng trả tiền để đổi lấy cách thức giải mã các dữ liệu đã bị mã hóa hoặc giải pháp để gỡ bỏ các phần mềm độc hại.

Vụ tấn công mã độc tống tiền đầu tiên được xác định là vào năm 1989, khi khoảng 20.000 nhà nghiên cứu trên khắp thế giới đã nhận được một đĩa mềm được cho là chứa một chương trình thông tin về bệnh AIDS. Nhưng cài bên trong điã mềm này còn là một chương trình độc hại. 

Sau khi người dùng khởi động lại máy tính của họ 90 lần, một hộp văn bản xuất hiện trên màn hình, thông báo rằng các tệp của họ đã bị khóa. Sau đó, máy in của họ in ra một yêu cầu gửi 189 USD tiền chuộc đến một hộp thư bưu điện ở Panama. 

Phần mềm độc hại, hiện được đặt tên là Trojan aids, được tạo ra bởi Joseph Popp, một nhà khoa học về sinh học tiến hóa. Chiến lược của Popp- mã hóa tệp và yêu cầu trả phí để mở khóa - là nền tảng của các vụ tấn công mã độc tống tiền ngày nay.

Kể từ đó đến nay, các vụ tấn công mã độc tống tiền đã diễn ra ngày càng dồn dập, trở thành một loại hình phổ biến bậc nhất của tấn công mạng. Năm ngoái, theo nhóm Ransomware Task Force gồm hơn 60 chuyên gia, gần 2.400 cơ sở chăm sóc y tế, trường học và chính phủ tại Mỹ là nạn nhân của mã độc tống tiền. 

Theo hãng bảo mật mạng Palo Alto Networks, hơn một nửa trong số đó đã phải trả một dạng thức tiền chuộc nhất định. Ước tính năm ngoái khoản tiền phải trả này trung bình khoảng 312.000 USD mỗi vụ. Một số chuyên gia an ninh mạng cho rằng con số trung bình đó vẫn còn thấp, chưa phản ánh đúng thực tế.

Ông Michael Daniel, Chủ tịch kiêm CEO của tổ chức chia sẻ thông tin phi lợi nhuận Cyber Threat Alliance, cũng từng là điều phối viên về an ninh mạng dưới thời cựu Tổng thống Barack Obama, chỉ ra xu hướng tăng tiến về quy mô đáng ngại của tội phạm mạng: “Nếu nhìn lại năm 2013, mã độc tống tiền chủ yếu nhắm vào máy tính cá nhân và các khoản tiền chuộc chỉ lên tới vài trăm USD. Nhưng nay mã độc tống tiền đang nhắm vào doanh nghiệp, trường học, cơ quan chính phủ. Các khoản tiền chuộc trung bình giờ là vài trăm nghìn USD và với các doanh nghiệp lớn, là hàng triệu USD”.

Vào tháng 12 năm ngoái, người đứng đầu Cơ quan An ninh mạng và Cơ sở hạ tầng liên bang Mỹ cảnh báo mã độc tống tiền đã “nhanh chóng trở thành tình trạng khẩn cấp quốc gia”. Tin tặc tấn công các nhà sản xuất vaccine và các phòng nghiên cứu. 

Các bệnh viện mất khả năng tiếp cận với các phác đồ hóa trị; các trường học phải hủy bỏ các lớp học. Các công ty đang tìm cách thích nghi với mô hình làm việc từ xa nhận ra họ đang trở thành “miếng mồi ngon” cho tin tặc.

Năm 2014, mối đe dọa an ninh mạng phổ biến nhất là đánh cắp dữ liệu như thông tin tài khoản ngân hàng hoặc số an sinh xã hội. Tuy nhiên, khi việc nâng cấp hệ thống bảo mật khiến việc xâm phạm dữ liệu trở nên khó khăn hơn, mã độc tống tiền ngày càng trở thành lựa chọn phổ biến đối với tội phạm mạng. 

Đến năm 2015, Cục Điều tra Liên bang Mỹ (FBI) ước tính nước Mỹ đã hứng chịu khoảng 1.000 vụ tấn công mã độc tống tiền mỗi ngày. Con số này tăng gấp 4 lần trong năm sau.

Sự lên ngôi của tiền kỹ thuật số cũng tiếp tay cho các vụ tống tiền mã độc.

Những thủ đoạn ngày càng tinh vi

Tin tặc sử dụng nhiều kỹ thuật khác nhau để xâm nhập vào hệ thống máy tính của các công ty, từ nhúng phần mềm độc hại vào tệp đính kèm e-mail đến đánh cắp mật khẩu để đăng nhập vào máy tính kết nối từ xa với mạng công ty. 

Vào những năm đầu 2000, các vụ tấn công mã độc tống tiền thường yêu cầu tiền chuộc là vài trăm USD, dưới dạng thẻ quà tặng hoặc thẻ ghi nợ trả trước. Cách thức này thường đòi hỏi phải có người trung gian, những những kẻ trung gian này cũng thường bòn rút phần lớn lợi nhuận.

Tình thế đã thay đổi với sự xuất hiện của tiền kỹ thuật số Bitcoin vào năm 2009. Tiền kỹ thuật số vốn rất khó truy vết và có thể chuyển ở dạng thức điện tử mà không phải thông qua bất cứ ngân hàng hay tổ chức tài chính nào do chính quyền kiểm soát. 

Trang MarketWatch cho biết Công ty Colonial Pipeline đã trả "tiền chuộc" cho DarkSide trực tiếp vào ví điện tử của nhóm tin tặc. Với cách này, nhà chức trách rất khó, nếu không muốn nói là không thể, lần ra những kẻ nhận tiền. 

Vào năm 2019, trong Hội thảo trên web do Europol tổ chức, một chuyên gia bảo mật đã đề cập rằng tiền điện tử Monero về cơ bản không thể theo dõi được; ngay sau đó, nhóm tin tặc REvil bắt đầu yêu cầu thanh toán tiền chuộc bằng Monero thay vì Bitcoin.

Đó là lý do mà một số chuyên gia cho rằng cần buộc các sàn giao dịch hay các đơn vị trung gian xử lý giao dịch tiền số phải tuân thủ luật chống rửa tiền. Theo đó, nếu một giao dịch tiền điện tử quy mô lớn ở nước ngoài sẽ phải chịu sự kiểm soát của chính quyền.

Các nhóm tin tặc thường nhắm vào những nơi bảo mật lỏng lẻo và thiếu khả năng ứng phó với gián đoạn hoạt động - nông nghiệp, công nghiệp, sản xuất tầm trung, dầu lửa, chính quyền cấp thành phố. Tin tặc cũng lựa chọn thời gian dễ gây tổn thất nhất: trường học trước thời điểm đón học sinh trở lại hay công ty kế toán trong mùa thuế. 

Một số nhóm tin tặc sừng sỏ thậm chí chuyên săn tìm những “con mồi lớn” như nhóm tin tặc đứng sau dòng mã độc tống tiền Hades tập trung vào các doanh nghiệp có doanh thu báo cáo hơn 1 tỷ USD. Một nhóm khác thiết kế những phần mềm mã độc tùy chỉnh riêng cho từng đối tượng.

Gần đây hơn, tin tặc còn gia tăng mức độ đe dọa. Chúng lấy đi các tập tin mật trước khi mã hóa hệ thống; nếu yêu cầu tiền chuộc bị từ chối, tin tặc đe dọa sẽ tiết lộ dữ liệu cho giới truyền thông hoặc bán đấu giá trên chợ đen. Đã có những tổ chức công tác xã hội nơi bị đe dọa tiết lộ thông tin về những đối tượng dễ bị tổn thương như trẻ em hay người khuyết tật.

Vụ tấn công vào Colonial Pipeline là điển hình của mối đe dọa tấn công mã độc ngày càng gia tăng.

Chật vật tìm kiếm giải pháp

Theo báo Washington Post, công ty Colonial Pipeline đã trả 1,2 triệu USD để “cứu” 1 terabyte dữ liệu, tương đương với 6,5 triệu trang tài liệu nhạy cảm của công ty. Đây không phải mức giá những kẻ tấn công đưa ra ban đầu mà là con số công ty “mặc cả” được qua trung gian là một công ty chuyên đàm phán các vụ tống tiền mã độc. 

Đàm phán tống tiền mã độc là nghề mới, chỉ xuất hiện vài năm trở lại đây như sản phẩm kéo theo của nạn tấn công mạng này. Tuy nhiên, những bên trung gian này cũng bị chỉ trích tiếp tay cho tội phạm do tạo điều kiện thanh toán cho tin tặc.

FBI khuyến cáo nạn nhân tránh thương lượng với tin tặc, cho rằng việc trả tiền chuộc sẽ khuyến khích hành vi phạm tội. Có ý kiến cho rằng điều này đặt các nạn nhân vào một thế khó. 

Theo Philip Reiner, Giám đốc điều hành Viện An ninh và Công nghệ phi lợi nhuận: “Nói với một bệnh viện rằng họ không được trả tiền chuộc, đồng nghĩa với việc yêu cầu họ đóng cửa và bỏ mặc bệnh nhân”.

Các tổ chức không trả tiền chuộc có thể mất hàng tháng trời để xây dựng lại hệ thống; nếu dữ liệu khách hàng bị đánh cắp và bị rò rỉ do vụ tấn công, họ có thể phải nộp phạt cho các cơ quan quản lý. 

Vào năm 2018, thành phố Atlanta đã từ chối trả khoản tiền chuộc khoảng 50.000 USD cho tin tặc và sau đó tốn hơn 2 triệu USD để phục hồi sau khủng hoảng. 

Theo dữ liệu từ công ty an ninh mạng Kaspersky, so với số các vụ tấn công mã độc tống tiền được công bố, số các vụ việc được “ỉm” đi thậm chí còn nhiều hơn, hầu hết là các công ty vừa và nhỏ, họ lựa chọn trả tiền cho tin tặc và xử lý trong êm thấm.

Tháng 10 năm ngoái, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Mỹ đã ra một số khuyến cáo đối với các công ty đàm phán, các công ty bảo hiểm mạng và các nhóm ứng phó sự cố, cảnh báo rằng họ có thể bị phạt nếu hỗ trợ thanh toán cho tội phạm. 

Giới chức cho biết các khuyến nghị không nhằm bác bỏ mối đe doạ của mã độc tống tiền, thay vào đó, mục tiêu là đạt được một cấp độ quản lý hiệu quả hơn. Những khuyến nghị bao gồm yêu cầu các khoản thanh toán tiền chuộc phải được báo cáo cho chính quyền và tạo một quỹ để hỗ trợ những nạn nhân không chịu trả tiền chuộc.

Vào tháng 4, Bộ Tư pháp thông báo rằng họ đang thành lập lực lượng đặc nhiệm ứng phó các vụ tấn công mã độc tống tiền của riêng mình để phối hợp giữa khu vực tư nhân, các cơ quan liên bang khác và các đối tác quốc tế. 

Mới đây nhất, Bộ Tư pháp Mỹ vừa thông báo với sự hợp tác từ phía Colonial Pipeline, lực lượng chức năng đã thành công “phát hiện và lấy lại đa số khoản tiền chuộc” (khoảng 2,3 triệu USD) từ một ví điện tử của nhóm tin tặc DarkSide. Đây là lần đầu tiên đội đặc nhiệm chống mã độc và nguy cơ tấn công mạng của Bộ Tư pháp tịch thu tiền chuộc từ ví điện tử.

Bích Hạnh (Tổng hợp)
.
.