Ransomware đã 'tiến hóa' thế nào?

Thứ năm, 11/04/2024  |  Tin công nghệ  |  Lượt xem: 86

 
Từ phần mềm đổi tên file đơn giản, mã độc tống tiền dần trở thành mối đe dọa lớn, gây thiệt hại nặng cho các tổ chức trên toàn cầu.
 
Mã độc tống tiền (ransomware) là một trong những rủi ro bảo mật lớn nhất hiện nay. Không chỉ mã hóa dữ liệu, người dùng và tổ chức còn đối diện nguy cơ thiệt hại tài chính, mất uy tín.
 
Dù mới phổ biến vài năm gần đây, ransomware thực chất đã xuất hiện hơn 30 năm trước. Từ các phiên bản đầu tiên chỉ đổi tên file hay giấu mật khẩu trong mã nguồn, những biến thể ransomware ngày càng hoạt động tinh vi, thậm chí kết hợp đánh cắp, rò rỉ dữ liệu để gây áp lực cho nạn nhân.
 
Ransomware đầu tiên ra sao
 
Chiến dịch tấn công ransomware đầu tiên được ghi nhận năm 1989 với trojan AIDS.
 
Thời điểm đó, 20.000 người tham gia hội nghị về AIDS của Tổ chức Y tế Thế giới (WHO) nhận được đĩa mềm gửi bởi PC Cyborg Corp, cùng tờ giấy ghi rằng bên trong đĩa chứa chương trình tương tác để tìm hiểu về AIDS.
 
Thực chất, PC Cyborg Corp là công ty giả mạo. Thay vì chương trình tìm hiểu AIDS, đĩa mềm gồm 2 file, một file chứa virus viết bởi nhà sinh vật học Joseph Popp.
 
Khi cho đĩa mềm vào máy tính và nhập lệnh cài đặt, virus sẽ chiếm quyền điều khiển autoexec.bat, tập tin chứa lệnh khởi động Windows.
 
Đĩa mềm chứa mã độc tống tiền AIDS. Ảnh: Seytonic.
 
Sau 90 lần khởi động, virus mã hóa toàn bộ tên file trong máy, không thể mở như bình thường. Một thông báo hiện lên màn hình, yêu cầu nạn nhân trả tiền chuộc hàng năm hoặc trọn đời (lần lượt 189 USD và 378 USD) để giải mã.
 
Mã độc này chỉ đổi tên file, không mã hóa nội dung nên có thể gỡ bỏ bằng phần mềm CLEARAID do chuyên gia máy tính Jim Bates và John Sutcliffe phát hành miễn phí năm 1990.
 
Tiến sĩ Popp, tác giả mã độc bị bắt với 11 cáo buộc tống tiền, nhưng được trả tự do vì không đủ sức khỏe tinh thần để hầu tòa.
 
Trở lại sau nhiều năm
 
Ransomware trở lại vào 2005 với trojan GPcode. Theo Flashpoint, GPcode tấn công máy tính Windows với thuật toán mã hóa đối xứng (symmetric), khóa mã hóa và khóa giải mã giống nhau.
 
Đến năm 2010, biến thể mới của GPcode dùng mã hóa bất đối xứng RSA-1024 với khóa công khai (nhúng vào virus để mã hóa) và khóa riêng tư (thuộc sở hữu của người tạo virus để giải mã).
 
Với trojan này, các định dạng file phổ biến như .doc, .xls hay .rar đều bị mã hóa, yêu cầu người dùng trả 100-200 USD để giải mã.
 
File bị mã hóa và thông báo nhập mật khẩu giải mã của Archiveus. Ảnh: F-Secure.
 
Trước đó vào năm 2006, Archiveus là ransomware đầu tiên dùng thuật toán RSA, ảnh hưởng các file trong thư mục “My Documents”. Nếu nạn nhân trả tiền, kẻ xấu sẽ cung cấp mật khẩu dài 30 ký tự để giải mã.
 
Dù thuật toán bảo mật phức tạp, mật khẩu của Archiveus được tìm thấy trong mã nguồn vào tháng 5/2006.
 
Tương tự, trước khi GPcode chuyển sang thuật toán RSA, các file có thể khôi phục mà không cần mật khẩu. Do đó, hacker giai đoạn này thường dùng thủ đoạn tấn công khác.
 
Năm 2009, virus Vundo xuất hiện, khai thác lỗ hổng plug-in trình duyệt viết bằng Java, hoặc tự tải xuống nếu người dùng nhấn vào file độc hại trong email. Sau khi cài đặt, Vundo tấn công, ngăn chặn các phần mềm bảo mật như Windows Defender, Malwarebytes...
 
Ít lâu sau, trojan WinLock xuất hiện vào năm 2010. 10 tội phạm mạng tại Moscow (Nga) sử dụng phần mềm này để khóa máy tính, hiển thị nội dung khiêu dâm đến khi nạn nhân trả số tiền tương đương 10 USD. Nhóm tin tặc này bị bắt vào tháng 8 cùng năm, sau khi thu về khoảng 16 triệu USD.
 
Hình ảnh khiêu dâm kèm thông báo mã hóa dữ liệu bởi virus WinLock. Ảnh: KnowBe4.
 
Năm 2012, một ransomware xuất hiện có tên Reveton. Sau khi lây nhiễm, phần mềm hiện thông báo mạo danh Cục Điều tra Liên bang Mỹ (FBI) phát hiện nạn nhân xem phim khiêu dâm, đe dọa truy tố nếu không trả tiền.
 
Một biến thể của Reveton cũng xuất hiện trên máy tính Mac dù không mã hóa file. Thay vào đó, trojan chuyển hướng tất cả website đến trang giả danh FBI, yêu cầu nạn nhân trả tiền để duyệt web như bình thường.
 
Khi nhiều biến thể ransomware xuất hiện, số vụ tấn công tống tiền ghi nhận trong năm 2012 tăng gần 4 lần so với 2011.
 
Bắt đầu bùng nổ
 
Tháng 9/2013, xuất hiện ransomware có tên CryptoLocker. Đây là mã độc tống tiền đầu tiên có thể phát tán qua botnet Gameover Zeus, bên cạnh các thủ đoạn truyền thống như email lừa đảo.
 
Sau khi kết nối máy chủ, phần mềm tải một gói file nhỏ để tạo mã khóa công khai, từ đó mã hóa tài liệu, hình ảnh và các file khác trên máy tính trước khi hiện thông báo đòi tiền.
 
Tin tặc yêu cầu nạn nhân trả 400 USD qua thẻ tín dụng hoặc Bitcoin. Trong nghiên cứu của Đại học Kent, 41% nạn nhân đồng ý trả tiền. Theo dõi 4 địa chỉ ví Bitcoin được nạn nhân cung cấp, giá trị các giao dịch lên đến 27 triệu USD.
 
Do sử dụng thuật toán mã hóa RSA 2048-bit, CryptoLocker rất khó bẻ khóa. Phải đến khi botnet Gameover Zeus bị triệt phá vào 2014, ransomware này mới ngừng lây lan.
 
Thông báo đòi tiền chuộc của CryptoLocker. Ảnh: Varonis.
 
Thành công của CryptoLocker khiến ransomware phát triển mạnh. Ra đời vào năm 2014, CryptoWall được mệnh danh là bản kế thừa của CryptoLocker.
 
Mã độc phần lớn lây lan qua email lừa đảo, trở thành mối nguy lớn suốt nhiều năm. Một số báo cáo cho biết CryptoWall đã gây thiệt hại 325 triệu USD vào năm 2018.
 
Năm 2014 chứng kiến Oleg Pliss, chiến dịch tống tiền nhắm đến người dùng thiết bị Apple. Tin tặc sử dụng tài khoản Apple bị đánh cắp để khóa iPhone từ xa bằng tính năng Find my iPhone. Để mở khóa, nạn nhân phải chuyển tiền vào tài khoản được chỉ định.
 
Android cũng hứng chịu đợt tấn công ransomware đầu tiên vào năm 2014 với tên Spyeng. Không chỉ lây nhiễm một thiết bị, phần mềm còn gửi tin nhắn kèm link lây lan đến toàn bộ danh bạ.
 
Chiến dịch tấn công Oleg Pliss nhắm vào người dùng thiết bị Apple để đòi tiền chuộc. Ảnh: Victorville Daily Press.
 
Chiến dịch tấn công ransomware đầu tiên trên máy Mac được ghi nhận năm 2016 với tên KeRanger. Đính kèm trong ứng dụng torrent Transmission 2.90, ransomware khóa máy tính của nạn nhân cho đến khi trả 1 Bitcoin (khoảng 400 USD).
 
Một ransomware khác trên Mac OS có tên Patcher xuất hiện vào tháng 2/2017. Mã độc cũng lây lan qua trình tải file torrent, giả dạng công cụ bẻ khóa phần mềm Office 2016, Adobe CC 2017...
 
Dù vậy do sai sót trong khâu lập trình, Patcher không thể giải mã dù nạn nhân trả tiền chuộc.
 
Hình thức tấn công mới
 
Đến 2016, những biến thể ransomware ngày càng phổ biến, với sự xuất hiện lần đầu của thể loại RaaS (Ransomware-as-a-Service). Trong đó, nhóm viết mã độc bán phần mềm cho hacker dưới dạng dịch vụ để tự phát tán.
 
Một số RaaS nổi tiếng trong giai đoạn này gồm Ransom32 (ransomware đầu tiên viết bằng JavaScript), shark và Stampado, được bán trên chợ đen với giá 39 USD.
 
Năm 2016 cũng ghi nhận sự nổi lên của Petya. Ban đầu, ransomware này không thành công như CryptoWall, nhưng một biến thể xuất hiện vào 2017, được Kaspersky đặt tên notPetya lại gây thiệt hại lớn.
 
Cuộc tấn công bắt đầu từ Ukraine, nhanh chóng lan rộng trên toàn cầu thông qua lỗ hổng EternalBlue trên Windows. Theo Nhà Trắng, notPetya gây thiệt hại khoảng 10 tỷ USD.
 
Thông báo đòi tiền chuộc của WannaCry. Ảnh: The Guardian.
 
WannaCry, một trong những ransomware khét tiếng nhất, xuất hiện vào năm 2017. Tương tự notPetya, WannaCry lây lan thông qua lỗ hổng EternalBlue.
 
Sau khi bùng phát, WannaCry đã lây nhiễm hơn 230.000 máy tính tại 150 quốc gia, gây thiệt hại 4 tỷ USD. Dù Microsoft đã vá lỗ hổng 2 tháng trước khi mã độc lây lan, nhiều người chưa cập nhật hệ thống nên vẫn nhiễm WannaCry.
 
Thiệt hại bởi WannaCry có thể nghiêm trọng hơn nếu không có sự đóng góp của nhà khoa học máy tính Marcus Hutchin. Dù vậy, anh bị FBI bắt giữ do liên quan đến việc phát tán mã độc khác. Tháng 7/2019, Hutchin được trả tự do.
 
Những đợt tấn công lớn
 
Tháng 1/2018 đánh dấu bước ngoặt của ransomware với GandCrab. Ban đầu không có gì đặc biệt, song nhà phát triển liên tục cải tiến mã độc, tích hợp phần mềm đánh cắp thông tin Vidar để tạo ra ransomware vừa đánh cắp, vừa mã hóa dữ liệu.
 
GandCrab nhanh chóng trở thành RaaS phổ biến, chủng ransomware hoạt động tích cực giai đoạn 2018-2019.
 
Team Snatch, nhóm tin tặc hợp tác với GandCrab, mở ra xu hướng công bố dữ liệu bị đánh cắp. Một trong những nạn nhân là công ty phần cứng Citycomp, bị công khai dữ liệu trên diễn đàn tội phạm mạng Exploit do không trả tiền.
 
Dù vậy, GandCrab không còn tiếng tăm khi nhóm phát triển tuyên bố dừng hoạt động vào ngày 1/6/2019. Đến tháng 7 cùng năm, FBI phát hành công cụ giải mã ransomware này.
 
Thông báo đe dọa công khai dữ liệu của một doanh nghiệp bị tấn công ransomware. Ảnh: Heimdal Security.
 
Tuy Team Snatch biến mất từ năm 2019, hành động tung dữ liệu lên mạng tạo tiền đề cho ransomware Maze, và các diễn đàn chuyên rò rỉ dữ liệu.
 
Thủ đoạn này khiến sao lưu dữ liệu không còn quan trọng, bởi ransomware có thể đánh cắp và gửi bản sao file cho tin tặc, nạn nhân không chỉ đơn thuần trả tiền giải mã như trước. Họ có thể trả nhiều tiền hơn để chuộc dữ liệu, đặc biệt nếu chúng nhạy cảm và quan trọng.
 
Năm 2021, Colonial Pipeline, công ty vận hành đường ống dẫn nhiên liệu tinh luyện lớn nhất Mỹ, bị tấn công ransomware. Sự cố khiến một số đường ống phải ngừng hoạt động.
 
Joseph Blount, CEO Colonial Pipeline, thừa nhận đã trả nhóm tin tặc 4,4 triệu USD để chuộc dữ liệu.
 
Hacker rao bán dữ liệu sau khi tấn công ransomware vào hệ thống Thư viện Quốc gia Vương quốc Anh. Ảnh: BBC.
 
Đến năm 2022, chính phủ Costa Rica ban bố tình trạng khẩn cấp do bị tấn công ransomware, tin tặc đòi 20 triệu USD tiền chuộc với "quyết tâm lật đổ chính phủ bằng tấn công mạng".
 
Tháng 10/2023, một cuộc tấn công đánh sập website Thư viện Quốc gia Vương quốc Anh. Rhysida, nhóm tin tặc đứng sau vụ tấn công còn đánh cắp dữ liệu người dùng, đe dọa bán trên mạng nếu không trả tiền chuộc.
 
Dù ransomware chưa thay thế hoàn toàn mọi phần mềm độc hại, đây là lựa chọn phổ biến cho tin tặc vì có thể mua dễ dàng trên dark web. Các chương trình RaaS có cả hệ thống điều khiển, hướng dẫn và bộ phận hỗ trợ kỹ thuật.
 
Hiện tại, ransomware tiếp tục đe dọa các tổ chức trên toàn cầu, gây thiệt hại hàng chục triệu USD mỗi năm.
 
Sự nổi lên của ransomware cũng gắn với sự phát triển của công nghệ, chẳng hạn như thuật toán mã hóa, Bitcoin hay Tor, có thể vận hành bởi một tổ chức, thay vì chỉ cá nhân hay một nhóm nhỏ hacker như trước.
 
 
 
Theo Znews.vn
  Theo:
  Từ khóa: Ransomware đã 'tiến hóa' thế nào

CÁC TIN ĐƯỢC QUAN TÂM GẦN ĐÂY


CÁC TIN ĐƯỢC XEM NHIỀU


BÀI VIẾT HAY GẦN ĐÂY

Cách sao chép copy toàn bộ trang tính trong Google Sheets
Thứ hai, 20/09/2021  |  MS Excel  |  Lượt xem: 31567

Để sao chép một trang tính trong Google sheets, bạn có thể đưa nó vào một bảng tính mới hoặc bảng tính hiện có, tùy thuộc vào nhu cầu thực tế. Bài viết dưới đây sẽ giới thiệu đến các bạn cách sao chép một trang tính trong Google Sheet nhé!

Cách Chuyển Dãy Số Thành Ngày Tháng Trong Excel
Thứ bảy, 20/06/2020  |  MS Excel  |  Lượt xem: 23851

Bạn có một bảng dữ liệu excel nhưng cột ngày tháng năm lại là một dãy số, với mong muốn chuyển đổi dãy số đó thành định dạng ngày tháng năm mà không biết phải làm sao?

Hướng dẫn dịch file tài liệu WORD, EXCEL, PDF đa ngôn ngữ bằng công cụ online
Thứ ba, 15/06/2021  |  Thủ thuật  |  Lượt xem: 20986

Khi đọc những tài liệu bằng các ngôn ngữ khác nhau ngoài công cụ từ điển hoặc Google translate. Đặc biệt là đối với những ngôn ngữ có hệ ký tự đặc biệt như tiếng Trung, tiếng Ả rập... thì rất khó khăn. Hôm nay tayninhit sẽ giới thiệu với các bạn một công cụ vô cùng hữu ích giúp bạn đọc các loại tài liệu bằng Tiếng Việt chỉ với một vài thao tác đơn giản.

Cách chặn trẻ truy cập internet, chơi game trên máy tính
Thứ bảy, 25/12/2021  |  Thủ thuật  |  Lượt xem: 20030

Trong gia đình bạn có nhiều trẻ thường xuyên sử dụng Internet, chơi game và bạn luôn kiểm tra rằng con em của mình đã xem hoặc truy cập vào những trang Web như thế nào thông qua lịch sử trình duyệt Web. Nhưng làm sao để chặn một Website hoặc phần mềm game nào đó để ngăn con em mình truy cập?

Cách sử dụng Canva để tạo hình ảnh đồ họa, infographics và các bài thuyết trình đẹp
Thứ năm, 20/06/2019  |  Thủ thuật  |  Lượt xem: 18222

Canva – một nền tảng thiết kế thân thiện với người dùng, rất hiệu quả khi chúng ta muốn tìm kiếm một SlideShare, chủ đề Facebook hoặc bài đăng trên các trang mạng xã hội khác. Canva giúp tiết kiệm thời gian và cho phép bạn tạo hình ảnh đồ họa theo phong cách chuyên nghiệp, hấp dẫn theo nhu cầu

Hướng dẫn sử dụng Auto Click giả lập trên Androi Nox App
Thứ ba, 07/05/2019  |  Thủ thuật  |  Lượt xem: 18062

Sử dụng Auto Click, công cụ tự động click chuột cho người chơi Game sẽ hạn chế được việc hỏng chuột máy tính và cũng giúp game thủ chơi game tốt hơn

Cách sửa lỗi Your virus & threat protection is managed by your organization trên Win10
Thứ hai, 11/05/2020  |  Thủ thuật  |  Lượt xem: 15900

Windows Defender trên Win10 là trình diệt virus giúp ngăn chặn các phần mềm độc hại xâm phạm vào máy tính từ nhiều nguồn như USB, Internet, Software…

Cách Viết Mũi Tên Nhanh Trong Word
Thứ ba, 29/10/2019  |  MS Word  |  Lượt xem: 13909

Trong quá trình sử dụng văn bản Word việc dùng mũi tên rất cần thiết, Dấu mũi tên trong Word có sẵn trong bộ biểu tượng ký tự, chúng ta phải khởi động và cài đặt thì mới có thể sử dụng được.

Cách ẩn tập tin, thư mục trên Windows
Thứ hai, 16/08/2021  |  Thủ thuật  |  Lượt xem: 11929

Ẩn một tập tin, thư mục trên window 7/8/10 hiểu đơn giản chỉ là một tập tin/thư mục bình thường được thiết lập thêm tùy chọn “ẩn” (hidden). Khi sử dụng chung máy tính với nhiều người, bạn có những tập tin dữ liệu cá nhân quan trọng hoặc nhảy cảm và muốn hạn chế người xem thì cách tốt nhất là giấu chúng đi bằng cách ẩn nó.

TIN CÔNG NGHỆ
BÀI VIẾT MỚI
BÀI XEM NHIỀU
BÀI CỦ MÀ HAY
PHẦN MỀM QUẢN LÝ
Thông tin

Bản quyền © 2015-2021 Tayninhit.info. Giữ toàn quyền. Khi sao chép, sử dụng hoặc phát hành lại bất kỳ nội dung nào thuộc Tayninhit.info thì ghi rõ nguồn phát hành là Tayninhit.info.

Thiết kế và Phát triển bởi Công Ty TNHH Tin Học Tín Nghệ

Quản trị nội dung Đào Minh Triệu - Liên hệ đặt quảng cáo Ms. Hiền 0979.825.837

Điện thoại: 0979 708 108 - Email: tinhoctinnghe@gmail.com

Địa chỉ: 115 đường 78A4 Nguyễn Chí Thanh, Kp. Long Kim, P. Long Thành Trung, Tx. Hòa Thành, Tây Ninh

Facebook Tây Ninh IT   Google plus Tây Ninh IT   twitter Tây Ninh IT   Giải pháp phần mềm quản lý Xăng dầu, Phòng khám, khai thác đất đá   RSS Tây Ninh IT