Mã độc BitRAT đội lốt công cụ kích hoạt bản quyền Windows 10

Chiến thắng hiếm hoi trước mã độc tống tiền

Một nhóm bảo mật chạy đua để giúp các nạn nhân khôi phục dữ liệu mà không phải trả tiền chuộc cho những kẻ phát tán ransomware.

Mọi chuyện bắt đầu từ tháng 5. Nhà điều hành đường ống dẫn nhiên liệu hàng đầu Mỹ là Colonial Pipeline đã phải đóng toàn bộ mạng lưới vì nhiễm mã độc tống tiền. Vài tháng sau, DarkSide, nhóm tội phạm đứng sau cuộc tấn công, xuất hiện dưới một cái tên mới là BlackMatter. Chúng tiếp tục mã hóa dữ liệu của các nạn nhân mới và đòi số tiền điện tử trị giá hàng triệu USD.

Tuy nhiên, BlackMatter mắc một lỗi nghiêm trọng khi cập nhật mã. Các nhà nghiên cứu tại Emsisoft ở New Zealand phát hiện có thể khai thác lỗi này, giải mã tệp và lấy lại quyền truy cập dữ liệu cho chủ sở hữu. Công ty hối hả liên hệ hàng chục nạn nhân ở Mỹ, Anh và châu Âu để hỗ trợ họ bí mật mở khóa dữ liệu.

Xe bồn và bể chứa nhiên liệu tại cơ sở của Colonial Pipeline ở bang Alabama, Mỹ, năm 2016.

Theo New York Times , đây là một chiến thắng ngắn ngủi trong trò chơi mèo vờn chuột của ransomware, dự kiến khiến các tổ chức trên toàn cầu thiệt hại 20 tỷ USD riêng trong năm nay. Chiến thắng bất thường đến mức ngay cả những nạn nhân được cứu dữ liệu ban đầu cũng tỏ ra hoài nghi và tưởng Emsisoft đang lừa đảo.

"Hãy tưởng tượng bạn gặp vấn đề. Mọi người cũng đều nói vấn đề này không thể khắc phục được. Bỗng nhiên ai đó xuất hiện và bảo: Tôi có thể giúp bạn", Fabian Wosar, Giám đốc công nghệ tại Emsisoft, cho biết. Để xóa bỏ lo ngại, Emsisoft đã phải liên hệ với các công ty an ninh mạng và các cơ quan chính phủ các nước để xác minh cho họ. Các nạn nhân không được nêu tên cụ thể, nhưng bao gồm những nhà sản xuất chủ chốt trong lĩnh vực vận tải và cung cấp thực phẩm.

Giới bảo mật nhận định, 2021 là năm đầy rẫy các cuộc tấn công tống tiền. Tội phạm mạng khống chế hàng loạt dữ liệu làm "con tin" để đòi tiền chuộc từ sở cảnh sát, chuỗi cửa hàng tạp hóa, bệnh viện, nhà máy xử lý nước cho tới nhà cung cấp thịt. Nạn nhân thường phải chấp nhận trả tiền, hoặc hy sinh những dữ liệu này.

Theo báo cáo tổng quan mối đe dọa an ninh mạng toàn cầu của Fortiguard Labs đầu tháng 10, mã độc tống tiền tăng trưởng 1.070% từ năm này qua năm khác. "Số lượng tăng cao thể hiện tính cấp bách, buộc các tổ chức phải đảm bảo năng lực bảo mật để xử lý được các kỹ thuật, hình thức tấn công bằng mã độc tống tiền mới nhất trên hệ thống mạng, thiết bị đầu cuối và đám mây", ông John Maddison, Phó chủ tịch phụ trách sản phẩm của hãng bảo mật Mỹ Fortinet, nói.

Nghiên cứu của Fortinet cũng cho thấy 85% các tổ chức được hỏi đánh giá mã độc tống tiền đáng lo ngại hơn các mối đe dọa khác. Tuy nhiên, dù đã chuẩn bị phòng ngừa, như đào tạo nhân viên, xây dựng kế hoạch ứng phó rủi ro, trang bị bảo hiểm an ninh mạng, thực tế còn những thiếu sót rõ ràng về công nghệ khiến vấn nạn ransomware vẫn diễn ra.

Hai phần ba tổ chức tham gia khảo sát từng là mục tiêu của ít nhất một vụ tấn công ransomware. Mối lo ngại lớn nhất của họ khi dính mã độc tống tiền là nguy cơ mất dữ liệu, suy giảm năng suất và gián đoạn vận hành. Do đó, 49% chọn trả tiền chuộc ngay lập tức và 25% xem xét phụ thuộc vào số tiền chuộc cao bao nhiêu.