Sự ra đời kỳ lạ của phần mềm tống tiền

Tháng 12/1989, khi Eddy Willems cho đĩa mềm vào ổ, máy tính của ông bị khóa kèm thông báo đòi số tiền chuộc 189 USD.

Khi đó, Willems đang làm việc cho một công ty bảo hiểm ở Bỉ. Đĩa mềm này là một trong số 20.000 chiếc được gửi qua đường bưu điện cho những người tham dự hội nghị AIDS của Tổ chức Y tế Thế giới ở Stockholm. Ông chủ của Willems yêu cầu ông mở ra xem trên đó có nội dung gì.

Willems tưởng sẽ đọc được các nghiên cứu y tế. Thay vào đó, ông trở thành một trong những nạn nhân đầu tiên của ransomware – mã độc tống tiền . Vài ngày sau khi cho đĩa vào ổ, máy tính của Willems bị khóa và một thông báo xuất hiện, yêu cầu ông gửi 189 USD một hòm thư bưu điện ở Panama.

“Tôi không trả tiền chuộc hay mất bất kỳ dữ liệu nào vì tôi đã tìm ra cách để đảo ngược tình thế”, ông kể lại với CNN Business.

Eddy Willems và chiếc đĩa mềm chứa mã độc tống tiền đầu tiên trên thế giới .

Các đĩa mềm đã được gửi đến hàng loạt địa chỉ trên khắp thế giới . Cơ quan thực thi pháp luật Mỹ phát hiện hộp thư bưu điện này thuộc sở hữu của một nhà sinh học tiến hóa và từng học tại Harvard tên là Joseph Popp, người đang nghiên cứu bệnh AIDS thời điểm đó.

Willems, hiện là chuyên gia an ninh mạng tại G Data, hãng phát triển giải pháp diệt virus thương mại đầu tiên trên thế giới năm 1987, cho biết: “Tôi nhận được cuộc gọi từ các tổ chức và cơ quan y tế hỏi làm cách nào để vượt qua. Không ít người bị mất nhiều dữ liệu. Đó không phải điều nhỏ nhặt, kể cả ở thời ấy”.

Dù virus này là một phần mềm độc hại cơ bản, đây là lần đầu thế giới biết đến khái niệm “tống tiền kỹ thuật số”, nhưng không rõ liệu có ai hay tổ chức nào trả tiền chuộc cho vụ tống tiền này không.

Joseph Popp sau đó bị bắt tại sân bay Schiphol ở Amsterdam, đưa trở lại Mỹ và bị buộc tội tống tiền, cũng như được coi là người phát minh ra phần mềm tống tiền .

“Tới giờ, vẫn không ai thực sự biết tại sao Popp lại làm điều này. Chưa kể, việc gửi số đĩa mềm đó đến nhiều người như vậy tốn kém và mất thời gian đến mức nào. Có lẽ có ai đó tham gia cùng. Là một nhà sinh vật học, làm sao ông ấy có tiền trả cho tất cả những chiếc đĩa đó? Không ai biết cả”, Willems nói.

Một số báo cáo cho thấy Popp bị WHO từ chối nhận vào làm việc.

Ông được cho là đã khai với các nhà chức trách rằng ông lên kế hoạch sẽ quyên góp tiền chuộc cho các nghiên cứu AIDS. Ông thường đeo bao cao su vào mũi và kẹp râu để chứng tỏ mình không bình thường. Các luật sư của ông cũng cho rằng ông không đủ sức khỏe để hầu tòa. Popp qua đời vào năm 2007.

Sau hơn 30 năm, mã độc tống tiền đã trở nên phổ biến. Bộ Tư pháp Mỹ đánh giá 2020 là “năm tồi tệ nhất bởi các cuộc tấn công ransomware ”. Giới bảo mật tin ransomware nhắm vào doanh nghiệp và cá nhân sẽ tiếp tục lan rộng vì dễ thực hiện, khó theo dõi và nạn nhân có thể bị buộc phải trả rất nhiều tiền.

Ransomware thường tấn công hệ thống máy tính sau khi ai đó bấm vào liên kết độc hại và vô tình cài đặt phần mềm, hoặc từ một lỗ hổng trên một máy chủ đã lỗi thời. Một trong những vấn đề lớn về mã độc tống tiền hiện nay là tiền chuộc thường được trả bằng tiền điện tử, như Bitcoin, được trao đổi ẩn danh và khó theo dõi.

Sự cố mới nhất liên quan tới ransomware diễn ra đầu tháng 5, khi nhà điều hành đường ống dẫn nhiên liệu hàng đầu Mỹ là Colonial Pipeline phải đóng toàn bộ mạng lưới sau cuộc tấn công mạng. Hệ thống đường ống của Colonial cung cấp nhiên liệu từ các nhà máy lọc dầu tại Duyên hải Vịnh Mexico cho miền đông và miền nam Mỹ. Phần mềm độc hại đã mã hóa dữ liệu và yêu cầu công ty này trả tiền nếu muốn lấy lại quyền truy cập. Colonial cho biết họ phải đóng toàn bộ hệ thống để ngăn mối đe dọa và mời một công ty an ninh mạng tiến hành điều tra.

Trong khi đó, chiếc đĩa mềm chứa virus năm 1989 đã trở thành một phần lịch sử của lĩnh vực bảo mật và được treo trên tường phòng khách của Willems. “Một viện bảo tàng đề nghị tôi bán nó với giá 1.000 USD, nhưng tôi đã quyết định giữ lại”, ông nói.

Tấn công bằng mã độc tống tiền đang giảm 

Công ty an ninh mạng toàn cầu Kaspersky cho biết số lượng các cuộc tấn công ransomware (mã độc tống tiền) nhắm vào đối tượng doanh nghiệp vừa và nhỏ trong khu vực Đông Nam Á (SEA) giảm đi đáng kể.

Xu hướng tấn công ransomware đang có dấu hiệu giảm

Trong báo cáo mới nhất từ Kaspersky Security Network (KSN), Kaspersky cho biết năm 2020 ghi nhận chưa đến 1 triệu sự cố ransonware (804.513 cuộc), ít hơn một nửa so với số lượng vào năm 2019 (hơn 1,9 triệu).

Trong số sáu quốc gia Đông Nam Á, Singapore là nước duy nhất có sự gia tăng về số lượng các nỗ lực lây nhiễm bằng ransomware. Cụ thể, số trường hợp phát hiện tăng từ 2.275 vào năm 2019 lên 3.191 vào năm 2020.

Mặc dù Indonesia vẫn đứng thứ 5 trên toàn cầu về số sự cố ransomware được phát hiện, nhưng nước này đã giảm từ 1.158.837 trường hợp vào năm 2019 xuống còn 439.473 trường hợp vào năm 2020. Xu hướng giảm này cũng đồng thời xuất hiện ở các quốc gia khác trong khu vực bao gồm Việt Nam, Philippines, Malaysia và Thái Lan.

Trung Quốc vẫn giữ vị trí đầu bảng về số trường hợp ransomware trên toàn cầu vào cả hai năm 2019 và 2020. Trong khi đó, Brazil và Nga đã hoán đổi vị trí thứ 2 và thứ 3 trong bảng xếp hạng, với Brazil đứng thứ 2 vào năm 2020.

Các cuộc tấn công bằng phần mềm tống tiền có thể đang giảm nhưng Kaspersky đã và đang cảnh báo các doanh nghiệp ở mọi quy mô trong mọi lĩnh vực về hoạt động ngày càng gia tăng của Ransomware 2.0 hay còn được gọi là phần mềm tống tiền có mục tiêu.

Có nhiều cách khác nhau để bảo vệ máy tính và dữ liệu khỏi các cuộc tấn công bằng phần mềm tống tiền. Kaspersky có một số tư vấn như sau:

- Không để các dịch vụ máy tính để bàn từ xa (chẳng hạn như RDP) tiếp xúc với các mạng công cộng nếu không thực sự cần thiết. Luôn luôn sử dụng mật khẩu mạnh cho các dịch vụ này.

- Khẩn trương cài đặt các bản vá sẵn có trong trường hợp sử dụng các giải pháp VPN thương mại để cung cấp quyền truy cập từ xa và cho phép nhân viên làm việc như đang kết nối với các cổng trong mạng lưới.

- Luôn cập nhật phần mềm trên tất cả thiết bị bạn sử dụng để ngăn phần mềm tống tiền khai thác các lỗ hổng bảo mật.

- Hãy sử dụng các giải pháp như Kaspersky Endpoint Detection and Response và dịch vụ phát hiện và ứng phó Kaspersky Managed Detection and Response để sớm xác định và ngăn chặn các cuộc tấn công ngay từ những giai đoạn đầu, trước khi những kẻ tấn công đạt được mục tiêu cuối cùng của chúng.

- Tránh đàm phán với tội phạm mạng hoặc trả tiền chuộc.

Nhiều doanh nghiệp phá sản vì lơ là an ninh mạng  Công ty phân tích Canalys đã cảnh báo về sự "tuyệt chủng hàng loạt" của các doanh nghiệp không chi tiêu mạnh cho an ninh mạng. Các vi phạm an ninh mạng xuất hiện ngày càng nhiều trong năm qua Theo Neowin , báo cáo được Canalys đưa ra sau khi có nhiều dữ liệu bị vi phạm hơn trong 12 tháng qua...