Giới thiệu

Khi sự phụ thuộc của chúng ta vào cơ sở hạ tầng kỹ thuật số ngày càng tăng, tác động của các cuộc tấn công ransomware ngày càng trở nên nghiêm trọng, làm gián đoạn hoạt động hàng ngày và gây tổn thất tài chính. Bắt giữ tội phạm mạng khó khăn hơn khi chúng sử dụng các phương pháp tinh vi để che giấu dấu vết của chúng. Một công cụ như vậy mà họ đã áp dụng là tiền điện tử để nhận thanh toán tiền chuộc. Họ tận dụng bản chất phi tập trung và bút danh của tiền điện tử như một hình thức thanh toán ưa thích. Chỉ riêng trong năm 2023, các cuộc tấn công ransomware đã dẫn đến hơn 1 tỷ USD tiền chuộc, như báo cáobởi công ty phân tích blockchain, Chainalysis.

Ransomware là gì?

Phần mềm tống tiền là phần mềm độc hại được thiết kế để mã hóa dữ liệu hệ thống, làm cho nó không thể truy cập được cho đến khi một khoản tiền chuộc được thanh toán. Cuộc tấn công mạng này nhắm vào cá nhân, doanh nghiệp và tổ chức chính phủ, lợi dụng các lỗ hổng trong hệ thống của họ để có được quyền truy cập trái phép. Khi phần mềm độc hại được triển khai, nó mã hóa các tệp tin và yêu cầu thanh toán, thường là bằng tiền điện tử, để giải mã dữ liệu.

Mặc dù mục tiêu chính của các cuộc tấn công ransomware chủ yếu là về tiền bạc, nhưng trong một số trường hợp, nó cũng được sử dụng để gây gián đoạn hoạt động, truy cập trái phép vào thông tin nhạy cảm hoặc áp lực các tổ chức tuân thủ các yêu cầu khác. Nó cũng đã được sử dụng như một công cụ chiến tranh mạng giữa các quốc gia có căng thẳng chính trị.

Lịch sử và Phát triển của Phần mềm tống tiền

Cuộc tấn công ransomware đầu tiên được biết đến là AIDS Trojan vào năm 1988, còn được gọi là PC Cyborg Virus. Nó được phân phối qua đĩa mềm cho những người tham dự hội nghị của Tổ chức Y tế Thế giới. Sau một số lần khởi động lại máy tính nhất định, trojan đã mã hóa các tệp và yêu cầu khoản tiền chuộc 189 đô la trả cho một P.O. Box ở Panama. Cuộc tấn công này sử dụng mã hóa nguyên thủy so với các tiêu chuẩn ngày nay, nhưng nó đã đặt nền móng cho ransomware hiện đại. Tính đến năm 2006, mã hóa RSA nâng cao đã được sử dụng để cung cấp ransomware đến các trang web và thông qua email spam, với các khoản thanh toán tiền chuộc được thực hiện bằng chứng từ, paysafecards và các phương thức điện tử khác rất khó theo dõi.

Nguồn:Chainalysis

Đến năm 2010, khi Bitcoin trở nên phổ biến, các kẻ tấn công bắt đầu đòi tiền chuộc bằng một loại tiền tệ giấu tên khó theo dõi hơn nhiều. Kể từ đó, các mô hình ransomware mới và tinh vi hơn đã được phát triển, xây dựng một ngành công nghiệp tội phạm đã tích luỹ hơn 3 tỷ đô la từ năm 2019 đến năm 2024.

Vai trò của Tiền điện tử trong Phần mềm tống tiền

Một trong những đặc điểm quan trọng của tiền điện tử, đặc biệt là Bitcoin, là tính chất giả danh của chúng. Trong khi giao dịch được ghi lại trên blockchain, danh tính của các bên liên quan được che giấu bởi địa chỉ ví, làm cho việc truy vết lại kẻ tấn công trở nên khó khăn. Các hệ thống thanh toán truyền thống như thẻ tín dụng và chuyển khoản ngân hàng để lại dấu vết rõ ràng về danh tính mà cảnh sát có thể sử dụng để điều tra tội phạm mạng.

Với giao dịch Bitcoin có thể được theo dõi công khai trên blockchain, một số tội phạm mạng đã chuyển sang sử dụng tiền điện tử tập trung vào quyền riêng tư như Monero, mà có tính năng ẩn danh và sử dụng địa chỉ ẩn danh và chữ ký vòng để làm mờ thêm chi tiết giao dịch.

Cách Hoạt Động của Phần Mềm Tống Tiền Crypto

Phần mềm tống tiền tiền điện tử xâm nhập vào hệ thống mục tiêu, thường thông qua email lừa đảo, tải xuống độc hại, hoặc tận dụng các lỗ hổng hệ thống. Một khi đã vào bên trong, phần mềm độc hại mã hóa các tập tin trên máy tính hoặc mạng của nạn nhân bằng các thuật toán mã hóa phức tạp, làm cho dữ liệu không thể truy cập được.

Nguồn: ComodoSSL

Các giai đoạn của hoạt động được thực hiện theo từng giai đoạn;

• Nhiễm trùng
• Mã hóa
• Yêu cầu tiền chuộc

Nhiễm trùng

Phần mềm tống tiền tiền điện tử xâm nhập vào thiết bị của nạn nhân qua các kênh như;

Email lừa đảo: Kẻ tội phạm mạng gửi email có vẻ như từ các nguồn hợp pháp, lừa người nhận nhấp vào liên kết độc hại hoặc tải xuống tập tin đính kèm có virus. Những tập tin này thường giả mạo thành tài liệu quan trọng hoặc cập nhật, che giấu bản chất thực sự của chúng.

Phần mềm lỗi thời: Ransomware có thể khai thác các lỗ hổng trong các phiên bản cũ của hệ điều hành hoặc ứng dụng. Điều này đã được thể hiện trong cuộc tấn công WannaCry, sử dụng lợi dụng trong Microsoft Windows.

Malvertising: Người dùng có thể tương tác không biết với quảng cáo đánh lừa để tải xuống các bản cập nhật phần mềm giả mạo dẫn đến cài đặt phần mềm tống tiền.

Kỹ thuật Hack Giao thức Máy tính để xa: Giao thức Máy tính để xa (RDP) được sử dụng để duy trì kết nối từ xa với máy chủ trong tình huống nhân viên của một tổ chức làm việc từ các địa điểm khác nhau. Giao diện RDP trên máy tính của nhân viên giao tiếp thông qua các giao thức mã hóa với thành phần RDP trên máy chủ. Mặc dù được mã hóa, phương thức kết nối này dễ bị tấn công bởi các kẻ xấu sử dụng để tải lên phần mềm tống tiền vào máy chủ của một công ty.

Mã hóa

Một khi đã vào hệ thống, phần mềm tống tiền bắt đầu mã hóa các tệp của nạn nhân. Phần mềm tống tiền tiền điện tử sử dụng các phương pháp mã hóa như:

• RSA (Rivest–Shamir–Adleman): Một thuật toán mã hóa không đối xứng sử dụng cặp khóa công khai và khóa riêng. Khóa công khai mã hóa các tệp và cần phải sử dụng khóa riêng, mà kẻ tấn công giữ, để giải mã chúng.
• AES (Advanced Encryption Standard): Một phương pháp mã hóa đối xứng trong đó cùng một khóa được sử dụng cho cả mã hóa và giải mã. Phần mềm tống tiền sử dụng điều này để mã hóa tập tin và khóa được lưu trữ cùng với kẻ tấn công.

Phần mềm độc hại nhắm vào các loại tệp tin, bao gồm tài liệu, hình ảnh, video và cơ sở dữ liệu, bất cứ thứ gì có thể có giá trị đối với nạn nhân. Trong quá trình này, người dùng có thể không nhận ra rằng dữ liệu của họ đang bị khóa cho đến khi quá trình mã hóa hoàn tất, khiến họ không có lựa chọn ngay lập tức để khôi phục.

Một trong những mô hình đáng chú ý trong các cuộc tấn công ransomware lớn là chúng xảy ra vào những ngày lễ hoặc thời điểm mà đa số nhân viên không online để tránh bị phát hiện.

Yêu cầu chuộc tiền

Nguồn:Proofpoint

Sau khi mã hóa dữ liệu, phần mềm tống tiền sẽ hiển thị thông báo tống tiền cho nạn nhân, thường thông qua một cửa sổ pop-up, tệp văn bản hoặc trang HTML.

Một màn hình yêu cầu tiền chuộc yêu cầu Bitcoin để trao đổi cho khóa riêng tư
Nguồn: Varonis

Số tiền chuộc usually được yêu cầu bằng Bitcoin hoặc Monero với một liên kết đến trang thanh toán hoặc một phương pháp để liên hệ với các kẻ tấn công (đôi khi được lưu trữ trên mạng tối).

Nguồn: Proofpoint

Nếu nạn nhân tuân theo yêu cầu và chuyển số tiền được yêu cầu, kẻ tấn công có thể cung cấp khóa giải mã để mở khóa các tập tin. Tuy nhiên, việc trả tiền chuộc không đảm bảo rằng kẻ tấn công sẽ thực hiện. Trong một số trường hợp, nạn nhân không bao giờ nhận được khóa giải mã ngay cả sau khi thanh toán, hoặc họ có thể đối mặt với yêu cầu chuộc thêm.

Các chuyên gia an ninh mạng và cơ quan chức năng khuyến cáo không nên trả tiền chuộc, vì các tội phạm mạng có thể sử dụng kỹ thuật tống tiền kép, nơi kẻ tấn công không chỉ mã hóa các tệp của nạn nhân mà còn đánh cắp dữ liệu nhạy cảm. Sau đó, họ đe dọa phát hành hoặc bán dữ liệu nếu một khoản tiền chuộc khác không được trả.

Các vụ tấn công Ransomware Crypto đáng chú ý

WannaCry (2017)

WannaCry là một trong những cuộc tấn công ransomware khét tiếng và phổ biến nhất trong lịch sử. Nó khai thác một lỗ hổng trong Microsoft Windows được gọi là EternalBlue, mà nhóm hacker Shadow Brokers trước đây đã đánh cắp từ NSA. WannaCry đã ảnh hưởng đến hơn 200.000 máy tính trên 150 quốc gia, bao gồm các tổ chức lớn như Dịch vụ Y tế Quốc gia Anh (NHS), FedEx và Renault. Nó gây ra sự gián đoạn trên diện rộng, đặc biệt là trong các hệ thống chăm sóc sức khỏe, nơi các dịch vụ bệnh nhân bị ảnh hưởng nghiêm trọng.

Một Thông Báo Tống Tiền WannaCry
Nguồn:CyberSpades

Những kẻ tấn công yêu cầu 300 đô la Bitcoin để đổi lấy khóa giải mã, mặc dù nhiều nạn nhân không thể khôi phục dữ liệu của họ ngay cả sau khi trả tiền. Cuộc tấn công cuối cùng đã bị dừng lại bởi một nhà nghiên cứu bảo mật, người đã kích hoạt một "kill switch" được nhúng trong mã của phần mềm độc hại, nhưng không phải trước khi gây thiệt hại hàng tỷ đô la.

NotPetya (2017)

NotPetya là phần mềm tống tiền gây ra sự hỗn loạn gấp đôi, được thiết kế để gây ra sự phá hủy thay vì yêu cầu tống tiền.

Một thông báo tống tiền NotPetya
Nguồn:SecurityOutlines

Phần mềm tống tiền có vẻ yêu cầu một khoản tiền chuộc Bitcoin, nhưng ngay cả sau khi thanh toán, việc khôi phục dữ liệu đã bị mã hóa là không thể, cho thấy lợi ích tài chính không phải là mục tiêu thực sự. Khác với phần mềm tống tiền truyền thống, NotPetya có vẻ có động cơ chính trị, nhắm vào Ukraine trong giai đoạn căng thẳng địa chính trị với Nga. Mặc dù cuối cùng nó lan ra toàn cầu, nhưng nó đã gây thiệt hại cho các tập đoàn đa quốc gia lớn, bao gồm Maersk, Merck và FedEx, với tổng thiệt hại tài chính toàn cầu ước tính trên 10 tỷ đô la.

DarkSide (2021)

DarkSide thu hút sự chú ý toàn cầu sau cuộc tấn công vào Colonial Pipeline, đường ống nhiên liệu lớn nhất tại Hoa Kỳ, dẫn đến thiếu hụt nhiên liệu trên toàn bộ bờ biển Đông. Cuộc tấn công làm gián đoạn nguồn cung cấp nhiên liệu và gây ra tình trạng mua hốt lẻ tẻ. Cuối cùng, Colonial Pipeline đã trả một khoản tiền chuộc là 4,4 triệu USD bằng Bitcoin, mặc dù FBI sau đó đã thu hồi được một phần của số tiền chuộc này.

Một Thông báo Tống tiền DarkSide

Nguồn: KrebsonBảo mật

Phần mềm tống tiền dưới dạng Dịch vụ

RaaS là mô hình kinh doanh trong đó những người tạo ra phần mềm tống tiền cho thuê cho các liên kết hoặc các tội phạm mạng khác. Các liên kết sử dụng phần mềm này để tiến hành các cuộc tấn công, chia sẻ lợi nhuận từ tiền chuộc với những người phát triển phần mềm tống tiền.

REvil

REvil (cũng được biết đến với tên Sodinokibi) là một trong những nhóm phần mềm tống tiền tinh vi nhất, hoạt động như một hoạt động dịch vụ phần mềm tống tiền (RaaS).

REvil đã được liên kết với những vụ tấn công nổi bật vào các tổ chức toàn cầu, bao gồm JBS (nhà cung cấp thịt lớn nhất thế giới) và Kaseya, một công ty phần mềm. Điều này ảnh hưởng đến hơn 1.000 doanh nghiệp phụ thuộc vào các sản phẩm phần mềm của họ.

Clop

Nguồn: BleepingComputer

Clop là một dịch vụ Ransomware as a Service (RaaS) khác thực hiện các chiến dịch spear-phishing quy mô lớn nhắm vào các công ty và đòi tiền chuộc đáng kể. Nhóm điều hành của Clop sử dụng kỹ thuật tống tiền kép: Họ đánh cắp dữ liệu trước khi mã hóa và đe dọa rò rỉ thông tin nhạy cảm nếu không trả tiền chuộc.

Trong năm 2020, Clop đã chịu trách nhiệm về việc xâm nhập dữ liệu lớn liên quan đến phần mềm truyền tệp Accellion, ảnh hưởng đến nhiều trường đại học, các cơ quan tài chính và chính phủ.

Phòng chống Phần mềm tống tiền Tiền điện tử

Cách bảo vệ hiệu quả nhất bắt đầu bằng việc ngăn chặn phần mềm độc hại xâm nhập vào hệ thống của bạn. Dưới đây là một số biện pháp có thể bảo vệ máy tính của bạn khỏi ransomware.

Nhận thức về An ninh Mạng

Người dùng và nhân viên nên được đào tạo để nhận biết và phản ứng với các mối đe dọa như email lừa đảo hoặc tập tin đính kèm đáng ngờ. Việc đào tạo nhận thức về an ninh mạng định kỳ có thể giảm thiểu đáng kể nguy cơ nhiễm trùng tình cờ.

Cập nhật phần mềm

Các bản cập nhật và vá thường xuyên cho hệ điều hành, ứng dụng và phần mềm bảo mật giúp giảm thiểu nguy cơ bị tấn công bằng cách hạn chế sự phơi bày với phần mềm tống tiền do phần mềm lỗi thời gây ra.

Sao lưu dữ liệu

Nếu xảy ra một cuộc tấn công phần mềm tống tiền, việc có bản sao lưu gần đây cho phép nạn nhân khôi phục dữ liệu của họ mà không cần phải trả tiền chuộc. Bản sao lưu nên được lưu trữ ngoại tuyến hoặc trong môi trường đám mây không kết nối trực tiếp với mạng, để bảo vệ chúng khỏi bị nhiễm phần mềm tống tiền.

Bộ lọc Email

Hệ thống lọc email quét các tin nhắn đến để tìm các liên kết, tệp đính kèm hoặc đặc điểm đáng ngờ. Các bộ lọc này có thể chặn email chứa các yếu tố độc hại đã biết trước khi chúng đến được hộp thư đến của người dùng.

Phân đoạn mạng và Kiểm soát Truy cập

Phân đoạn mạng hạn chế sự lan truyền của phần mềm tống tiền sau khi nó xâm nhập vào hệ thống của bạn, ngay cả khi một phần của mạng bị chiếm đóng, thì thiệt hại có thể được kiểm soát. Các chuyên gia khuyên tách riêng các hệ thống và dữ liệu nhạy cảm khỏi các hoạt động thông thường, giới hạn quyền truy cập vào các khu vực quan trọng.

Kiểm soát truy cập như xác thực đa yếu tố (MFA) và nguyên tắc đặc quyền tối thiểu (chỉ cung cấp cho người dùng quyền truy cập họ cần) có thể hạn chế quyền truy cập của người dùng. Nếu kẻ tấn công có quyền truy cập vào một tài khoản hoặc hệ thống, phân đoạn và kiểm soát truy cập có thể ngăn chặn chuyển động ngang trên mạng, hạn chế phạm vi tiếp cận của ransomware.

Giải pháp phát hiện và phản ứng điểm cuối (EDR)

Các giải pháp EDR cung cấp giám sát liên tục và phân tích các hoạt động của điểm cuối, giúp phát hiện các dấu hiệu sớm về nhiễm ransomware. Các công cụ này có thể tự động phản ứng với hành vi đáng ngờ, cô lập các thiết bị bị nhiễm và ngăn chặn sự lan truyền của ransomware trên toàn mạng.

Kết luận

Crypto Ransomware là một trong những ví dụ về việc sử dụng sai trái của tiền điện tử, trong đó tội phạm tận dụng tính nặc danh của công nghệ blockchain. Mặc dù không có nhiều cách để xử lý tiền điện tử dùng để tống tiền, nhưng biện pháp tốt nhất là bảo vệ người dùng và hệ thống khỏi nhiễm ransomware bằng cách tránh các liên kết lừa đảo và thực hiện cập nhật phần mềm thường xuyên.

Ngoài ra, việc duy trì sao lưu dữ liệu thường xuyên đảm bảo rằng các tệp quan trọng có thể được khôi phục mà không phải trả tiền chuộc nếu một cuộc tấn công xảy ra. Phân đoạn mạng đóng vai trò là một biện pháp phòng thủ quan trọng khác, vì nó hạn chế sự lây lan của ransomware, giới hạn nó trong các phần cụ thể của hệ thống và bảo vệ các khu vực không bị ảnh hưởng.