Vài vụ tấn công ransomware lớn gần đây

Hôm 2 tháng 6, hơn 2.800 công nhân của nhà máy thịt bò của công ty JBS Canada ở Brooks, Alberta (Canada) đã bắt đầu trở lại làm việc. Hai ngày trước đó, xưởng đã phải hủy một số ca.

Nhà máy ở Alberta là một trong những xưởng sản xuất ở Bắc Mỹ và Úc đại lợi của JBS, công ty nhà sản xuất thịt bò, thịt heo và thịt gà lớn hàng thứ hai ở Hoa kỳ, có cơ sở ở Mỹ, Canada và Úc. JBS bị tin tặc tấn công từ cuối tháng 5.

Bọn cướp trên không gian ảo đã cướp quyền sở hữu, khóa máy chủ (server) của công ty để đòi tiền chuộc và đã gây trở ngại cho hoạt động tại các nhà máy.

Theo Trey Malone, giáo sư nông nghiệp tại Đại học Tiểu bang Michigan, nếu JBS đóng cửa chỉ trong một ngày, Mỹ sẽ mất gần một phần tư công suất chế biến thịt bò, tương đương với 20.000 con bò thịt. Sự gián đoạn trong một hoặc hai ngày có thể khiến giá sỉ của thịt tăng vọt. Nếu vấn đề được giải quyết trong vòng vài ngày, các nhà hàng và cửa hàng tạp hóa có thể sẽ gánh chịu thiệt hại, nhưng nếu tình hình kéo dài một vài tuần, khách hàng và người đi chợ có thể bắt đầu bị ảnh hưởng.

JBS cho hay hôm thứ Ba 2 tháng 6 rằng họ đang đạt được tiến bộ trong việc nối lại hoạt động của nhà máy ở Mỹ và Úc. Một số nhà máy thịt heo, gia cầm và thực phẩm chế biến sẵn cũng như cơ sở ở Canada đã hoạt động.

Công ty cho biết họ đã nhận được sự hỗ trợ mạnh mẽ từ các chính phủ Hoa Kỳ, Úc và Canada, và hàng ngày liên lạc với các giới chức để nỗ lực bảo vệ nguồn cung cấp thực phẩm.

Giám đốc điều hành JBS USA, Andre Nogueira cho biết trong một tuyên bố: “Tôi muốn đích thân cảm ơn Bạch ốc, Cục Điều tra Liên bang FBI, Bộ Nông nghiệp Hoa Kỳ và chính phủ Úc và Canada đã hỗ trợ trong hai ngày qua.”

Theo một người biết chuyện, nhưng không được phép thảo luận công khai, JBS đã thông báo cho chính phủ Úc về yêu cầu đòi tiền chuộc của băng đảng ransomware REvil, được cho là hoạt động ở Nga,

Kỹ nghệ chế biến thịt ở các nước tiền tiến trên thế giới hiện đã tự động hóa nặng nề, cho cả an toàn thực phẩm và an toàn của công nhân. Những máy điện toán thu thập thông tin ở nhiều giai đoạn trong quy trình sản xuất, từ đơn đặt hàng, làm hóa đơn tính tiền, vận chuyển đến nhiều chức năng khác đều đã được tự động hóa và điều khiển bằng điện tử.

JBS đã không trả lời các cơ quan truyền thông về các chi tiết của cuộc tấn công ransomware, và cũng im lặng trước câu hỏi phải chăng họ đã trả tiền chuộc.

Đây không phải là lần đầu tiên một cuộc tấn công bằng ransomware nhắm vào một công ty thực phẩm.

Tháng 11 năm ngoái, Campari Group, công ty sản xuất thức uống có trụ sở tại Milan (Ý) đã là nạn nhân của một cuộc tấn công ransomware khiến công nghệ tạm thời ngừng hoạt động và làm tổn hại một số dữ liệu kinh doanh và cá nhân.

Vào tháng 3, Molson Coors đã thông báo về một cuộc tấn công mạng ảnh hưởng đến hoạt động sản xuất và vận chuyển của hãng. Molson Coors cho biết họ có thể đưa một số nhà máy bia của mình hoạt động sau 24 giờ; những nhà máy khác mất vài ngày.

Vụ tấn công JBS khiến người ta nhớ lại chỉ mới cách đây ít tuần, cũng trong tháng 5, một cuộc tấn công bằng ransomware đã nhắm vào Colonial Pipeline, khiến một trong những đường ống dẫn nhiên liệu lớn nhất của Hoa Kỳ phải đóng cửa trong sáu ngày.

Tương tự như JBS, hệ thống của Colonial Pipeline đã bị tấn công bằng ransomware.

Trong một cuộc tấn công bằng ransomware, tin tặc đánh cắp dữ liệu của tổ chức và khóa máy tính của tổ chức đó. Nạn nhân phải trả tiền để lấy lại quyền truy cập vào mạng của họ và ngăn chặn việc tiết lộ thông tin nhạy cảm.

Khi một công ty bị tấn công bởi ransomware, hành động đầu tiên họ thường là đưa phần lớn hoặc tất cả các hệ thống của họ offline – không nối với mạng nữa, để cô lập quyền truy cập của tin tặc và bảo đảm tin tặc không thể di chuyển vào các phần khác của mạng.

Đó có thể là một trong những lý do tại sao JBS ngừng hoạt động và Colonial đóng cửa đường ống – để ngắt kết nối hoạt động của các công ty khỏi hệ thống IT mà tin tặc đã xâm phạm. Những người biết chuyện vụ tấn công Colonial cho biết công ty này đã tạm dừng hoạt động vì hệ thống thanh toán cũng bị xâm phạm và lo ngại rằng họ sẽ không thể xác định số tiền phải thanh toán cho khách hàng.

Đường ống kể từ đó đã trở lại hoạt động bình thường. Nghe nói Colonial đã phải chi 4.4 triệu đô la.

Một kỹ nghệ ăn cướp

thời đại mới

Theo các chuyên gia bảo mật, ransomware nay đã phát triển thành một ngành kỹ nghệ, với hàng trăm băng đảng tranh giành nhau những nạn nhân béo bở nhất. Một số tin tặc đã chuyên về “dịch vụ ransomware”, chúng viết nhu liệu để bán trên cái gọi là “dark web” – mạng đen. Thậm chí chúng còn xây dựng các “trung tâm dịch vụ khách hàng” để “giao dịch” với nạn nhân và các khoản tiền chuộc.

Cho đến nay, chưa có một từ “đẹp” nào trong tiếng Việt để dịch chữ ransomware, kiểu như “phần cứng” (hardware), “phần mềm” (software), cho nên người ta vẫn tạm dùng chữ ransomware của tiếng Anh. “Ransom” là tiền chuộc và “ware” là một thứ vật liệu.

Dùng máy tính hoặc điện thoại thông minh, hầu như chẳng còn ai không biết – hoặc nghe nói, hoặc là nạn nhân của virus máy điện toán. Cũng chính vì thế, họ cứ nghĩ ransomware cũng chỉ là một loại virus. Thực tế, dù cả virus lẫn ransomware đều là malware – nhu liệu độc hại hay mã độc, nhưng hai thứ này hoàn toàn khác nhau.

Virus chỉ những malware có khả năng lan truyền nhanh, y hệt như các virus bệnh, như virus corona gây bệnh Covid-19 chẳng hạn. Trung khi đó, ransomware là những nhu liệu được phát triển chỉ nhằm tống tiền, bằng cách bắt giữ (khóa) máy tính hay một số dữ liệu trong mày tính để đòi tiền chuộc. Thường thì ransomware được gửi đi qua con đường phishing, “câu” nạn nhân.

Lại thêm một từ nữa! Phishing được tạo ra trong tiếng Anh bằng cách ghép hai chữ có sẵn, nhưng cách ghép khá lắt léo.

Từ phishing được ghép lại từ hai chữ: fishing for information (câu, như câu cá, để lấy thông tin) và phreaking (còn được gọi là phone phreaking, thao tác gian lận tín hiệu điện thoại để gọi điện chùa. Phreaking liên quan đến kỹ thuật đảo ngược các âm (tone) nhất định được các công ty điện thoại sử dụng để chuyển tuyến các cuộc gọi đường dài. Bằng cách mô phỏng những âm đó, những tên gian phi – phreaks, có thể gọi long distance chùa đến khắp thế giới.

Một ngày…xấu trời nào đó, bạn nhận được một email từ một công ty khá có tiếng tăm, thậm chí cả một công ty như Canada Post ở Canada. Email cho hay bạn được chọn làm người trúng một giải thưởng bi nhiêu đô la, hoặc một món quà đáng giá. Bạn sung sướng mở email đó ra, vào trang web của công ty/tổ chức đó và điền một số chi tiết cá nhân để nhận quà…

Phising là như vậy đó. Bạn vừa đã “mắc câu”!

Phương thức tấn công bằng phishing thường được tin tặc thực hiện thông qua email và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu log in hay check in – bằng email hoặc số tài khoản của mình và password! Thế là xong.

Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công Phishing.

Một trong những cách chính là giả mạo email. Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơn vị/tổ chức uy tín, dụ người dùng click vào đường link dẫn tới một website giả mạo và “mắc câu”.

Những địa chỉ email giả mạo thường rất giống với email thật, chỉ khác một vài chi tiết nhỏ, rất nhỏ và người dùng hấp tấp sẽ lãnh đủ

Thí dụ như customerservice@canadapost.ca sẽ trở thành customerservice@canadapost.com. Người tinh ý sẽ nhận ra rằng tên miền của Bưu điện Canada không thể là .com, nhưng mấy ai? Trong những email giả, có cả logo thật của cơ quan bị mạo nhận và trang web giống y chang trang web original, v.v… Máy tính, hoặc các folder chứa dữ liệu quan trọng trong máy tính của bạn sẽ bị khóa cứng. Nếu máy tính của bạn bị khóa, màn hình sẽ hiện lên thông báo, nếu folder bị khóa, bạn sẽ thấy message “encrypted”, kèm theo đòi hỏi “chuộc”.

Tại sao Ransomware

lại hiệu quả như vậy?

Bọn tin tặc bằng ransomware khiến cho nạn nhân sự hốt hoảng và sợ hãi,

Không hoảng và sợ sao được khi thấy trên màn hình hiện ra những thông điệp như dưới đây kèm theo âm thanh báo động:

“Máy tính của bạn đã bị nhiễm virus. Hãy click vào đây để giải quyết chuyện này.” (Your computer has been infected with a virus. Click here to resolve the issue.)

“Máy tính của bạn đã được sử dụng để truy cập các trang web có nội dung bất hợp pháp. Để mở khóa máy tính, bạn phải nộp phạt 100 đô la ”. (Your computer was used to visit websites with illegal content. To unlock your computer, you must pay a $100 fine.)

“Tất cả các file trong máy tính của bạn đã bị mã hóa. Bạn phải trả khoản tiền chuộc này trong vòng 72 giờ để lấy lại quyền truy cập vào dữ liệu của mình ”. (All files on your computer have been encrypted. You must pay this ransom within 72 hours to regain access to your data.)

Thế là nạn nhân quýnh lên, click vào đường link mà tên gian phi đã gài sẵn, hoặc trả tiền chuộc. Để rồi máy của họ nạn nhân có thể bị nhiễm thêm một mã độc khác.

Thường thì với cá nhân, khoản tiền chuộc – ransom, là chừng vài trăm đô. Nhưng với các tổ chức lớn, như Colonial Pipeline vừa rồi, nghe nói bị đòi (và có thể đã trả) đến 5 triệu đô.

Phúc trình của Emsisoft, công ty nhu liệu chống malware, ước tính rằng vào năm 2019, các đòi hỏi tiền chuộc ở Canada tổng cộng đến từ cỡ 65 triệu đến gần 260 triệu đô la Mỹ. Cộng thêm với thiệt hại của thời gian phải ngừng hoạt động, tác động này lên đến từ 440,1 triệu đến 1,76 tỷ đô la Mỹ – hoặc 2,3 tỷ đô la Canada.

Những mục tiêu ngon ăn của bọn cướp

Dùng ransomware để kiếm tiền nay đã trở thành một kỹ nghệ, có chiến lược, chiến thuật đàng hoàng. Những tên gian phi thời đại này xác định mục tiêu cẩn thận. Những mục tiêu với chúng là “ngon ăn” gồm có:

• Các nhóm được coi là có các đội ngũ an ninh bảo mật nhỏ. Trong nhóm này có các trường đại học vì họ thường có ít an ninh bảo mật hơn đồng thời cũng chia sẻ file ở mức độ cao hơn.

• Các tổ chức có thể và sẽ nhanh chóng trả tiền chuộc: Các cơ quan chính phủ, ngân hàng, cơ sở y tế và các nhóm đại loại như thế. Vì họ cần sử dụng các file của mình ngay – và có thể sẵn sàng trả lòng tiền chuộc nhanh chóng để mà còn làm việc.

• Các công ty nắm giữ dữ liệu quan trọng. Các công ty luật và các tổ chức tương tự có thể bị nhắm đến, vì bọn gian tin rằng loại nạn nhân này ngại phải vướng vào những lôi thôi về mặt pháp lý có thể xảy ra sau đó nếu dữ liệu đang bị bắt cóc để đòi tiền chuộc bị lọt ra ngoài.

• Các doanh nghiệp ở thị trường phương Tây. Bọn gian muốn kiếm được nhiều tiền hơn, có nghĩa là nhắm mục tiêu vào các tổ chức doanh nghiệp lớn. Các doanh nghiệp, và cả các cá nhân ở Anh quốc, Hoa Kỳ và Canada là mục tiêu chính vì họ giàu hơn và việc sử dụng máy tính cá nhân ở những nơi đó rộng rãi hơn.

Ác ôn

Trong hơn một năm nay, khi thế giới vất vả với Covid-19, các cơ sở y tế, sức khỏe đã trở thành mục tiêu ngon ăn của bọn gian tặc. Bọn ác ôn này biết rõ rằng các cơ sở này- nơi sinh mạng của con người nằm trong các hồ sơ y tế, kết quả xét nghiệm, hệ thống phân phối theo dõi thuốc men, lịch chăm sóc … của các bệnh nhân đều nằm trong máy tính. Họ không thể có thời gian để chờ sửa chữa, khôi phục mà phải bằng mọi giá, để có thể truy cập những dữ liệu sinh tử đó.

Báo cáo về Đe dọa Ransomware năm 2021 của Unit 42, nhóm tình báo về mối đe dọa thuộc công ty an ninh mạng Palo Alto Networks (California, Hoa kỳ) nhận định: “Bọn điều hành ransomware đã trơ trẽn trong các cuộc tấn công của họ nhằm cố gắng để hết sức kiếm nhiều tiền nhất, vì biết rằng các tổ chức chăm sóc sức khỏe — cần tiếp tục hoạt động để điều trị bệnh nhân COVID-19 và để cứu người — không thể chịu để cho hệ thống của họ bị khóa và có nhiều khả năng phải trả tiền chuộc hơn.”

“…kiểu tấn công này không phải là một nhu liệu độc hại, mà thực sự là một mô hình kinh doanh…” Ryan Olson, Phó Giám đốc Tình báo Đe dọa của Đơn vị 42 tại Palo Alto Networks, nói thêm rằng các bệnh viện đã trở thành “mục tiêu lớn” cho các loại tấn công này trong những năm gần đây. “(Bọn tấn công) có thể gây đau đớn và đóng cửa các bệnh viện… Nếu chúng có thể tắt toàn bộ hệ thống quản lý dữ liệu bên trong mạng, chúng có thể cản trở không cho bệnh viện đó gặp bệnh nhân, thực hiện các phẫu thuật, thực hiện tất cả các loại hành động.”

Theo báo cáo của Unit 42, dại dịch Covid-19 cũng khiến bọn gian tặc dùng ransomware dễ dàng tìm thấy nạn nhân hơn, do nhiều nhân viên chuyển sang làm việc tại nhà. Bằng chứng là từ năm 2019 đến năm 2020, các trường hợp ứng phó với các vụ bị trúng ransomware đã 65%.

Bọn gian ngày càng thêm tham lam, thấy ngon ăn, chúng còn tăng mức tiền chuộc.

Báo cáo của Unit 42 cho biết, mức tiền chuộc bị đòi trung bình tăng gấp đôi từ năm 2019 đến năm 2020, từ 15 triệu đô la vào năm 2019 lên 30 triệu đô la vào năm 2020. Những kẻ tấn công hiện đang kiếm được nhiều tiền hơn bao giờ hết.

Vẫn theo báo cáo này, mức tiền chuộc trung bình được trả tăng gần gấp ba vào năm 2020, từ 115.123 đô la vào năm 2019 lên 312.493 đô la vào năm 2020. Khoản thanh toán tiền chuộc cao nhất cũng tăng gấp đôi, từ 5 triệu đô la vào năm 2019 lên 10 triệu đô la vào năm 2020.

Hoa Kỳ là quốc gia bị ảnh hưởng nặng nề nhất, với 151 tổ chức đã thấy dữ liệu bị đánh cắp của họ được công bố trên các leak site – các trang mạng chuyên công bố các thông tin rò rỉ kiểu Wikileak, hoặc dark web (mạng đen) vào năm ٢٠٢٠, Canada thì được “vinh dự” đứng hàng thứ hai.

Một trong những vụ lớn nhất là cuộc tấn công vào Cơ quan Y tế tỉnh bang Saskatchewan (SHA) của Canada ngày 20 tháng 12 năm 2019. Cổng vào kho dự liệu của SHA bị phá khi một nhân viên mở một hồ sơ Microsoft Word bị nhiễm virus trên thiết bị cá nhân của người này trong khi thiết bị đó đang được sạc bằng dây USB tại máy tính ở nơi làm việc (work station) của ông ta. Thế là ransomware Ryuk nhảy xổ vào hệ thống của SHA và hoành hành nửa tháng trời cho đến ngày 5 tháng 1 năm 2020.

Văn kiện chính thức từ cuộc điều tra sau đó cho biết có “ít nhất 547.145 file chứa thông tin cá nhân và / hoặc thông tin sức khỏe cá nhân của công dân Saskatchewan đã bị tiếp xúc với nhu liệu độc hại hoặc bị đánh cắp một cách ác ý từ eHealth, SHA và [Bộ y tế]” và tổng cộng khoảng 40 gigabyte dữ liệu mã hóa đã bị trộm. Ngày 21 tháng 1 năm 2020, eHealth phát hiện ra các file đó đã được gửi đến các địa chỉ IP ở Đức và Hoà Lan.

Nhưng, như đã nói, y tế chỉ là một trong các lãnh vực ngon ăn. Bất cứ lãnh vực nào cũng là mục tiêu của ransomware cả, miễn là bọn gian thấy có ăn.

Chúng tấn công các tổ chức tài chánh (như vụ tấn công hệ thống quầy đổi tiền quốc tế Travelex hôm 31 tháng 12 năm 2020, ảnh hưởng đến cả các ngân hàng Barclays, Royal Bank of Scotland và HSBC), các thành phố (như Baltimore (Hoa Kỳ), năm 2018, gây thiệt hại 18 triệu đô la), Woodstock (Ontario, Canada, phải chuộc hết 660 ngàn đô la) và gần đây nhất là thành phố du lịch Whistler (Canada) đầu tháng 5 vừa qua, và các hệ thống điều hành cảng biển, cảng hàng không, các công ty điện, nước v.v…

Bên cạnh các tổ chức, các chiến dịch tống tiền bằng nhu liệu độc hại cũng nhắm vào cá nhân. Đã có nhiều vụ tấn công ransomware nhắm tới những người mà bọn gian tin là có tiền, như CEO – Người sáng lập (Founder) – Giám đốc (Manager) của các công ty, tập đoàn lớn.

Tuy nhiên, điều đó không có nghĩa là những người bình thường thì không sợ bị dính ransomware. Thực tế, bất cứ ai cũng có thể trở thành nạn nhân của ransomware. Bởi hiện nay có rất nhiều loại ransomware có thể tự động lan rộng khắp Internet. Chỉ cần lỡ click một cái!

Cũng có một số ransomware chỉ để hù. Chúng xuất hiện trên màn hình, tuyên bố đã kiểm soát máy của nạn nhân và đòi nộp tiền chuộc.

Cái đáng sợ là người sử dụng chẳng biết nó là thật hay giả, và …nộp tiền cho chắc ăn.

Vậy thì làm thế nào

bây giờ?

Các cơ quan an ninh ở Hoa Kỳ và Canada đã đề nghị chính phủ liệt loại tội phạm sử dụng ransomware vào loại khủng bố. Mà đúng và đáng như vậy thật, vì chúng quá tham lam, bất chấp sinh mạng của người dân khi tấn công các cơ sở thiết yếu cho an toàn và an ninh của quốc gia và cá nhân.

Nhưng trước mắt, ở bình diện cá nhân, những người bình thường như bạn đọc chỉ sử dụng internet để xem tin tức, giải trí, liên lạc giao thiệp với thân nhân, bạn bè, cùng lắm thì giao dịch ngân hàng, trả bill hàng tháng… Chúng có rớ tới mình không, và nếu có, làm sao để né bây giờ?

Có đấy. Rất nhiều người thường như bạn đã bị khóa máy, mã hóa các file. Thường gặp nhất là thông báo đe dọa kiểu “FBI Warning” vì lý do đã truy cập những trang web hay thông tin “độc và hại” như nhi dâm, hình ảnh porno,…

Còn cách trách né? Hơi khó, khó như né Covid-19, nhưng cũng có thể giảm thiểu nguy cơ dính ransomware.

Trước hết, và duy nhất là hãy cẩn thận.

Đầu tiên, hãy thường xuyên backup (sao lưu) những dữ liệu quan trọng, update (cập nhật) Windows và các chương trình chống virus. Cũng đừng “tiết kiệm” mà tải về hay sử dụng các nhu liệu đã được phá khóa (cracked). Khi tải về một chương trình free của một công ty có uy tín, hãy cẩn thận chọn “download” ở đúng chỗ, vì có rất nhiều món đi kèm theo chương trình đó. Hãy tránh click vào những đường dẫn (link) hoặc “Open” các file…quá sức hấp dẫn như clip “lộ hàng”, clip HOT TREND… Cả những link chia sẻ các video, ứng dụng (app) hay nhu liệu chùa (free)…nữa.

Có không ít chương trình chống virus khá tốt của các hãng nổi tiếng như Malwarebytes, TrendMicro, Kapersky, Norton, TotalAV, Bitdefender, PCPROTECT, McAfee… Có thể họ có phiên bản miễn phí, với một số chức năng hạn chế, nhưng …có còn hơn không. Dĩ nhiên bạn cũng có thể trả tiền để dùng phiên bản đầy đủ. Windows Defender của Microsoft Windows – có sẵn trong Win10, cũng nằm trong số 10 Best Internet Security được bình chọn năm 2021.

Một số công ty an ninh mạng còn có thể có các chương trình giải cứu các máy và file bị khóa.

Cũng nhớ rằng ransomware gạt gẫm người ta bằng cách gửi attachment dưới dạng .doc theo email giả. Các .doc này thường là invoice hay receipt. Vậy thì hãy xem kỹ các địa chỉ email. Một email giả thường ngụy trang rất giống email của một tổ chức thứ thiệt, nhưng chỉ thêm, hay bớt có một chữ cái, hoặc một tên miền khác. Như trường hợp của Canada Post đã trình bày ở trên. Thay vì canadapost.ca (thứ thiệt), lại là canadapost.com!

Thêm nữa, có những email giả rất lộ liễu, thí dụ như chính người viết đã nhận được invoice và receipt của một số công ty, cửa hàng mà mình chưa hề có giao dịch.

Một số ransomware còn ngon lành giả dạng nhu liệu của những hãng…diệt virus nổi tiếng. DetoxCrypto ransomware (Ransom.DetoxCrypto) mạo nhận là Malwarebytes Anti-Malware – một công ty cung cấp nhu liệu chống mã độc nổi tiếng, chỉ bớt có một chữ cái – trở thành Malwarbyte (thiếu chữ e). Có biến thể Cryptolocker còn dám mạo nhận là Windows Update!

Chúc bạn an toàn trên xa lộ thông tin!

Đỗ Quân (viết theo tài liệu của nhiều nguồn)

• Thành phố Atlanta, Georgia năm 2018. Cuộc tấn công tống tiền khổng lồ này hầu như đã làm tê liệt các hoạt động của thành phố tự hào của Hoa Kỳ này. Báo Atlanta Journal-Constitution và đài TV Channel 2 Action News báo cáo rằng cuộc tấn công “có thể khiến người dân đóng thuế phải hao 17 triệu đô la.

• Thành phố Baltimore, Maryland năm 2019: Thành phố phía đông Hoa Kỳ này nhận thấy mình đang phải đối mặt với mức giá cao ngất ngưởng hơn 18 triệu đô la sau khi trải qua một cuộc tấn công ransomware nhắm vào nhiều sở và cơ quan. Cuộc tấn công dẫn đến nỗ lực giảm thiểu trong hơn hai tháng khi tất cả đã được nói và thực hiện, theo một dòng thời gian chi tiết của Heimdal Security.

• ISS World năm 2020: cuộc tấn công nhắm vào công ty ISS World (trụ sở tại Đan mạch) là một trong những cuộc tấn công ransomware lớn nhất. Theo báo cáo của Cybersecurity Insiders, ISS World đã phải chi tổng cộng 74 triệu đô la Mỹ để giành lại quyền kiểm soát các hệ thống IT và các hệ thống kinh doanh quan trọng khác.

Vào tháng 8 năm 2019, cơ sở y tế mà bác sĩ Shayla Kasel đã xây dựng hơn 20 năm ở Thung lũng Simi, California, bị ransomware tấn công. Sau khi công ty bảo hiểm của bà Kasel giới thiệu bà với một nhà thương lượng về tiền chuộc và một chuyên viên điều tra phân tích thông tin (forensic), bà được cho biết rằng ngay cả khi trả 50.000 đô la cho mỗi chìa khóa kỹ thuật số (digital keys) có thể mở khóa các máy chủ khác nhau của bà, bà chỉ có 15% cơ hội sẽ lấy lại được các file của mình.

Bác sĩ Kasel cho biết trong vài tuần bà đã loay hoay cố kéo dài hoạt động của cơ sở, khám bệnh cho những bệnh nhân tình cờ đến phòng mạch và ghi chép trên giấy. Nhưng cuối cùng bà quyết định không đáng để cố lập lại hồ sơ và việc hành nghề của mình từ đầu và có nguy cơ đối mặt với các vụ kiện và tiền phạt. Bà đã đóng cửa cơ sở vào tháng 12 sau khi phải chịu khoảng 55.000 đô la chi phí.

“Điều khó khăn nhất sau 20 năm là đột ngột nói với bệnh nhân rằng “ Vâng, tôi bỏ cuộc ”, Dr. Kasel nói. “Đó là một quyết định đứt ruột.” (Theo New York Times)

Máy tính người dùng thường bị nhiễm ransomware chỉ ngay sau một động tác nhỏ mà chính họ cũng không để ý. Hacker tạo cho những file chứa mã độc tống tiền một vẻ ngoài vô hại, giống như một file word, excel hay PDF. Tuy nhiên, thực tế thì đây lại là các file “.exe”. Một khi người dùng click vào chúng, các file này sẽ ngay lập tức chạy ngầm trên nền máy tính.

Dựa vào phương thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting (Mã hóa), Non-encrypting (không mã hóa), Leakware (Rò rỉ).

Encrypting: Encrypting Ransomware là loại phổ biến nhất, chúng mã hóa dữ liệu (các file và folder) của người dùng. Sau khi mã hóa các file, crypto ransomware sẽ đưa lên máy của nạn nhân thông báo rằng máy đã bị tấn công và phải trả tiền chuộc cho chúng. Đôi khi, kẻ gian còn đưa ra thời hạn mà nếu quá mà không nạp tiền, các file sẽ bị xóa hoặc đòi hỏi nạn nhân phải trả tiền trong thời hạn nhất định. Sau thời hạn đó, khóa giải mã file sẽ bị phá hủy hoặc mức tiền chuộc sẽ tăng lên.

Non-encrypting (còn gọi là Locker) không mã hóa các file của nạn nhân nhưng khóa không cho nạn nhân dùng máy. Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách nộp tiền chuộc

Leakware (còn gọi là Doxware) hăm dọa sẽ công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Những vị có các file hoặc hình ảnh thuộc loại “nhạy cảm” trong máy tính sẽ chẳng còn cách nào ngoài việc chào thua, nộp tiền.

CryptoLocker: dạng ransomware khó trị nhất. Thông thường, không thể khôi phục được máy tính và các file bị nhiễm mã độc Crypto mà không trả tiền chuộc.

WannaCry: biến thể ransomware được biết đến nhiều nhất trên toàn cầu. Năm 2017, nó đã lây nhiễm vào trên 200 ngàn máy tính của trên 125 ngàn tổ chức ở hơn 150 quốc gia. Ransomware này tấn công các máy có hệ điều hành Microsoft Windows, mã hóa dự liệu trong máy và đòi nộp tiền chuộc bằng Bitcoin. Nó còn có một số tên khác như WCry hoặc WanaCrypt0r.

Cerber: một biến thể ransomware nhắm vào người dùng Office 365 cloud. Hàng triệu người dùng Office 365 đã trở thành con mồi của một chiến dịch phishing bằng Cerber.

Crysis: một loại ransomware đặc biệt mã hóa các file trên ổ đĩa (drive) cố định, di động và mạng. Nó lây lan qua các file đính kèm email độc hại.

CryptoWall: CryptoWall là một dạng ransomware CryptoLocker nâng cao, ra đời từ đầu năm 2014. Ngày nay, có nhiều biến thể của CryptoWall, như CryptoDefense, CryptoBit, CryptoWall 2.0 và CryptoWall 3.0.

GoldenEyse: tương tự như loại ransomware Petya khét tiếng. Khi người dùng tải xuống file bị nhiễm GoldenEye, nó sẽ âm thầm khởi chạy một macro (chương trình tự động) mã hóa các file trên máy tính của nạn nhân.

Jigsaw: một trong những loại ransomware phá hoại nhất, nó mã hóa và xóa dần các file bị mã hóa cho đến khi trả tiền chuộc. Tất cả các file của nạn nhân bị xóa hết sau 72 giờ.

Locky: xuất hiện đầu tiên vào tháng 2, 2016, thường được gửi dưới dạng attachment (file đính kèm) với email, có tiêu đề ‘Invoice J-00’, hóa đơn tính tiền. Văn bản (document) này nói rằng nếu không xem được invoice, bạn cần cho phép macro chạy. Và ngay sau khi người dùng cho chạy macro, Locky bắt đầu mã hóa các file. Một dạng mới nhất của Locky đã dùng ‘Receipt of Order – 00’ thay vì “Invoice”

Ranscam: theo các công ty chuyên diệt virus như Kapersky, Ranscam hứa sẽ “thả” các file sau khi nhận được tiền chuộc, nhưng thực tế, thằng gian này sẽ xóa sạch mọi thứ!

FLocker: FLocker ransomware (ANDROIDOS_FLOCKER.A) tấn công các máy điện thoại và máy tính bảng Android và sau này, cả các smart TV dùng Android. Nó khóa phone hoặc TV và đòi nạn nhân thanh toán bằng iTunes voucher.

Ngoài danh sách trên, còn có một số biến thể ransomware khác như Petya, NotPetya, TeslaCrypt, TorrentLocker, ZCryptor, v.v…

Tin tức khác...