Lịch sử và cách thức hoạt động của mã độc tống tiền "Ransomware"

Ransomware được xem là một trong những phần mềm độc hại nguy hiểm nhất hiện nay, chưa có dấu hiệu chững lại. Do đó, chúng ta phải tìm hiểu rõ về lịch sử phát triển, cách thức hoạt động cũng như mức độ nguy hiểm của nó để tìm cách ngăn chặn hiệu quả.

Hiểu rõ Ransomware là gì?

Ransomware (hay mã độc tống tiền) là một chương trình độc hại giành quyền kiểm soát thiết bị bị nhiễm, mã hóa tệp và chặn quyền truy cập của người dùng vào dữ liệu hoặc hệ thống cho đến khi trả được một khoản tiền chuộc.

Lịch sử và cách thức hoạt động của mã độc tống tiền "Ransomware"1 Nó từ đầu đến? Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:
  • Tìm và dùng các phần mềm crack.
  • Bấm vào quảng cáo.
  • Truy cập web đen, đồi trụy.
  • Truy cập vào website giả mạo.
  • Tải và cài đặt phần mềm không rõ nguồn gốc.
  • File đính kèm qua email spam.
  • ............
Vì thế, chúng ta cần phải hiểu rõ về mối đe dọa này.

Lịch sử phát triển của Ransomware

Ransomware đầu tiền

Cuộc tấn công ransomware đầu tiên được thực hiện vào năm 1989 bởi một nhà nghiên cứu AIDS, Joseph Popp, người đã phân phối 20.000 đĩa mềm độc hại cho các nhà nghiên cứu AIDS trên hơn 90 quốc gia, tuyên bố rằng các đĩa này chứa một chương trình khảo sát. Kể từ đó, mối đe dọa ransomware đã phát triển rất nhiều và có nhiều tính năng hơn.

Locker ransomware

Năm 2007, Locker ransomware, một loại phần mềm độc hại ransomware mới, đã xuất hiện, không mã hóa các tệp tin; thay vào đó, nó khóa nạn nhân khỏi thiết bị của họ, ngăn họ sử dụng thiết bị đó.

Tương tự như vậy, WinLock yêu cầu 10 đô la tiền chuộc cho mã mở khóa. Sau đó, Citadel, Lyposit và Reveton worm đã điều khiển một màn hình với thông điệp tốt đẹp từ một cơ quan thực thi pháp luật giả mạo.

Lịch sử và cách thức hoạt động của mã độc tống tiền "Ransomware"2

Điều này thường diễn ra dưới hình thức khóa giao diện người dùng của máy tính hoặc thiết bị và sau đó yêu cầu người dùng trả phí để khôi phục quyền truy cập vào nó.

Scareware

Trong những năm sau đó, những kẻ tấn công đã thay đổi chiến lược của họ để tận dụng nỗi sợ hãi bằng cách phát tán các ứng dụng giả mạo và chương trình chống vi-rút (AV). Cuộc tấn công liên quan đến một thông báo pop-up hiển thị cho các nạn nhân nói rằng máy tính của họ đã bị nhiễm vi rút. Nó thu hút nạn nhân đến một trang web nơi họ yêu cầu tiền để trả cho phần mềm để khắc phục sự cố. Mọi thứ trông đáng tin cậy: biểu trưng, cách phối màu và các tài liệu có bản quyền khác.

Từ thời điểm đó, bọn tội phạm hiểu rằng việc xâm nhập một số trang web, tập trung vào lừa đảo và tự động hóa toàn bộ quá trình sẽ dễ dàng hơn nhiều.

Crypto ransomware

Vào năm 2013, CryptoLocker nổi lên như một phần mềm độc hại mã hóa đầu tiên thường xuất hiện dưới dạng tệp đính kèm email. Mạng botnet Gameover ZeuS chịu trách nhiệm cho các cuộc tấn công này. CryptoLocker mã hóa các tệp và sau đó, một khoản thanh toán bitcoin được yêu cầu để mở khóa chúng. Mạng botnet Gameover ZeuS chịu trách nhiệm cho các cuộc tấn công này. CryptoLocker mã hóa các tệp và sau đó, một khoản thanh toán bitcoin được yêu cầu để mở khóa chúng.

Nếu không nhận được tiền chuộc trong 3 ngày, số tiền chuộc sẽ tăng gấp đôi. CryptorBit, CryptoDefense, CryptoWall, WannaCry đã mở rộng các biến thể mồi nhử và thậm chí sử dụng các điểm yếu của hệ thống để lây nhiễm máy tính.

Bước mới nhất trong quá trình phát triển đó là sự xuất hiện của ransomware-as-a-service, xuất hiện lần đầu tiên vào năm 2015 với sự ra mắt của bộ công cụ Tox. Nó đã cho tội phạm mạng tùy chọn để phát triển các công cụ ransomware tùy chỉnh với khả năng trốn tránh tiên tiến.

Enterprise ransomware

Những kẻ tấn công ransomware đã lên cấp và chuyển sang giai đoạn doanh nghiệp. Họ thích giao dịch với các tổ chức lớn và lo sợ về khả năng bùng phát. Ví dụ: một mục tiêu nhận được email với mối đe dọa tấn công từ chối dịch vụ (DDoS) phân tán. Để tránh nó, nạn nhân cần phải trả tiền chuộc.

Thêm một trường hợp nữa là đòi tiền chuộc xâm phạm dữ liệu. Tội phạm đe dọa một mục tiêu để khai thác thông tin bị xâm phạm cho công chúng trừ khi một khoản tiền chuộc được trả. Chiến thuật sau đây hiệu quả ở cấp độ doanh nghiệp, vì các công ty không muốn đặt danh tiếng của mình vào tình trạng nguy hiểm.

Lịch sử và cách thức hoạt động của mã độc tống tiền "Ransomware" 3

Bây giờ rõ ràng là phần mềm độc hại sẽ tiếp tục phát triển. Và có thể nó sẽ thu được các cuộc tấn công lai, bao gồm cả các họ phần mềm độc hại khác.

Cách thức hoạt động và phương thức phân phối

Cách thức hoạt động:
  • Triển khai: Trong bước đầu tiên, những kẻ tấn công phân phối các thành phần thiết yếu được sử dụng để lây nhiễm, mã hóa hoặc khóa hệ thống, được tải xuống mà người dùng không biết, sử dụng lừa đảo hoặc sau khi khai thác các lỗi hệ thống được nhắm mục tiêu.
  • Cài đặt: Khi tải trọng được tải xuống, bước tiếp theo là lây nhiễm. Phần mềm độc hại làm drop một tệp nhỏ thường có khả năng trốn tránh phòng thủ. Phần mềm tống tiền thực thi và cố gắng giành được sự bền bỉ trên hệ thống bị nhiễm bằng cách tự đặt nó để tự động chạy các registry key, cho phép những kẻ tấn công từ xa kiểm soát hệ thống.
  • Command-and-Control: Sau đó, phần mềm độc hại kết nối với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công để nhận hướng dẫn và chủ yếu là gửi khóa mã hóa riêng tư bất đối xứng ngoài tầm với của nạn nhân.
  • Phá hủy: Khi các tệp được mã hóa, phần mềm độc hại sẽ xóa các bản sao gốc trên hệ thống và cách duy nhất để khôi phục chúng là giải mã các tệp được mã hóa.
  • Tống tiền: Đây là ghi chú tiền chuộc. Nạn nhân biết rằng dữ liệu của mình đã bị xâm phạm. Phạm vi thanh toán thay đổi tùy theo loại mục tiêu. Để làm nạn nhân bối rối và sợ hãi, những kẻ tấn công có thể xóa một số tệp khỏi máy tính. Tuy nhiên, nếu người dùng trả tiền chuộc, điều đó không đảm bảo rằng thông tin sẽ được khôi phục hoặc bản thân ransomware sẽ bị xóa.
Các phương thức phân phối:

Dưới đây là một số cách thức lây lan của ransomware:

  • Email (spam)
  • Watering Hole attack
  • Malvertising
  • Exploit kits
  • USB and removable media
  • Ransomware as a service
  • Zero days

Các họ ransomware phổ biến nhất hiện nay

Một số loại phần mềm độc hại nổi tiếng trong thế giới ransomware. Hãy xem qua chúng và nói về các nhà khai thác phổ biến nổi bật trong lịch sử phần mềm độc hại:

1) GandCrab ransomware là một trong những bản phát hành ransomware khét tiếng nhất trong vài năm qua, thu được gần 2 tỷ đô la tiền thanh toán từ các nạn nhân của nó. Được cho là sản phẩm của một nhóm hacker Nga, GandCrab được phát hiện vào năm 2018 như một phần của Ransomware-as-a-Service (RaaS) được bán cho các tội phạm mạng khác.

Mặc dù GandCrab đã thông báo “nghỉ hưu” vào năm 2019, một số nhà nghiên cứu tuyên bố rằng nó đã trở lại với một chủng mới, được gọi là Sodinokibi, với cơ sở mã tương tự. Sodinokibi nhắm mục tiêu các hệ thống Microsoft Windows và mã hóa tất cả các tệp ngoại trừ tệp cấu hình.

2) Tiếp theo, Maze ransomware, gây chú ý trong hai năm qua, được biết đến với việc tung ra công chúng dữ liệu bị đánh cắp nếu nạn nhân không trả tiền để giải mã nó. Đây là cuộc tấn công ransomware đầu tiên kết hợp mã hóa dữ liệu với đánh cắp thông tin. Hơn nữa, họ đe dọa sẽ công khai dữ liệu nếu tiền chuộc không được trả. Khi COVID-19 bắt đầu, Maze thông báo rằng họ sẽ để bệnh viện yên. Nhưng sau đó, họ cũng đã thất hứa.

Vào năm 2020, Maze thông báo họ ngừng hoạt động. Nhưng nhiều khả năng chúng vừa chuyển sang một phần mềm độc hại khác.

3) Netwalker đã sử dụng quá trình làm rỗng quy trình và làm xáo trộn mã để nhắm mục tiêu các nạn nhân của công ty. Nhưng vào tháng 1 năm 2021, các cơ quan thực thi pháp luật đã hợp tác chống lại Netwalker và tiếp quản các domain trong một dark web tối được sử dụng bởi các phần mềm độc hại.

4) Wannacry tự động lây lan từ máy tính này sang máy tính khác bằng cách sử dụng EternalBlue, một phương thức khai thác được cho là do NSA phát triển và sau đó bị tin tặc đánh cắp.

5) Malspam của Avaddon thường chứa mặt cười duy nhất để thu hút người dùng tải xuống tệp đính kèm. Phần mềm độc hại cũng kiểm tra ngôn ngữ của người dùng trước khi lây nhiễm. Nếu đó là tiếng Nga hoặc tiếng Cherokee, Avaddon không mã hóa hệ thống.

6) Babuk là một phần mềm độc hại mới nhắm mục tiêu vào các doanh nghiệp vào năm 2021. Babuk bao gồm mã hóa an toàn khiến không thể khôi phục tệp miễn phí.

Mục tiêu của các cuộc tấn công ransomware:

Có một số lý do khiến kẻ tấn công chọn loại tổ chức mà chúng muốn nhắm mục tiêu bằng ransomware:

  • Dễ dàng né tránh sự phòng thủ. Các trường đại học, công ty nhỏ có đội bảo vệ nhỏ là một mục tiêu dễ dàng. Chia sẻ tệp và một cơ sở dữ liệu mở rộng làm cho việc xâm nhập trở nên đơn giản đối với những kẻ tấn công.
  • Khả năng thanh toán nhanh chóng. Một số tổ chức buộc phải trả tiền chuộc một cách nhanh chóng. Các cơ quan chính phủ hoặc cơ sở y tế thường cần truy cập ngay vào dữ liệu của họ. Các công ty luật và các tổ chức khác có dữ liệu nhạy cảm thường muốn giữ bí mật về một thỏa hiệp.

Và một số ransomware tự động lây lan, và bất kỳ ai cũng có thể trở thành nạn nhân của nó.

Ransomware phát triển nhanh chóng đến mức nào?

Lý do chính khiến loại phần mềm độc hại này trở nên thành công là các cuộc tấn công mang lại kết quả cho tội phạm mạng. Thị trường cho phép kẻ gian mua ransomware tiên tiến để kiếm tiền.

Lịch sử và cách thức hoạt động của mã độc tống tiền "Ransomware" 4

Các tác giả phần mềm độc hại cung cấp một số cách để đóng gói ransomware. Phần mềm độc hại mã hóa hệ thống một cách nhanh chóng và lén lút. Ngay sau khi nhận được tiền chuộc, không có gì khó khăn để che giấu các dấu vết. Những điểm này dẫn đến một sự gia tăng đáng kể.

Giờ đây bọn tội phạm đang mong đợi nhận được hàng trăm hoặc hàng nghìn đô la vì các công ty không muốn gặp rủi ro mất dữ liệu và ngừng hoạt động.

Sau khi nhận thức được mức độ nguy hiểm và tốc độ lây lan của Ransomware tác động đến an ninh mạng, chúng ta phải kịp thời đưa ra được những phương án ngăn chặn và bảo mật hiệu quả.

Nguồn bài tham khảo: vietsunshine