Vào tháng 12 năm 1989, thế giới đã biết đến ransomware đầu tiên. 31 năm sau các cuộc tấn công ransomware vẫn luôn là mối nguy hại cho bất cứ tổ chức, doanh nghiệp hay cá nhân nào.
Ransomware là một trong những mối đe dọa mạng phổ biến nhất mà thế giới phải đối mặt trong nhiều năm qua và không có khả năng nó sẽ sớm dừng lại. Nhiều tổ chức từ doanh nghiệp, trường học đến các cơ quan chính phủ đều có thể trở thành nạn nhân của các cuộc tấn công bằng phần mềm độc hại mã hóa mạng hiện đang đòi hàng trăm nghìn đô la bitcoin hoặc các loại tiền điện tử khác để trả lại an toàn cho các tập tin.
Trong khi cơ quan thực thi pháp luật khuyến cáo rằng nạn nhân không nên tuân theo các yêu cầu của tội phạm mạng và trả tiền chuộc, nhiều người chọn trả tiền vì họ coi đó là phương tiện nhanh nhất và dễ dàng nhất để khôi phục thông tin quý giá của họ. Điều đó có nghĩa là một số nhóm tội phạm điều hành các chiến dịch ransomware có thể kiếm được hàng triệu đô la mỗi năm.
Nhưng những cuộc tấn công mạng lớn nhất trên thế giới ngày nay bắt đầu với nguồn gốc khiêm tốn hơn nhiều vào tháng 12 năm 1989, mở đầu cho những cuộc tấn công mạng nguy hiểm hơn rất nhiều cho đến tận ngày nay
Ransomware đầu tiên được gọi là Trojan AIDS vì đối tượng mà nó nhắm tới – những đại biểu đã tham dự hội nghị AIDS của Tổ chức Y tế Thế giới tại Stockholm năm 1989. Những người tham dự nhận được các đĩa mềm chứa mã độc tự cài vào hệ thống MS-DOS và đếm số lần khởi động máy. Khi khởi động máy lần thứ 90, trojan đã ẩn tất cả các thư mục và mã hóa tên của tất cả các tệp trên ổ đĩa khiến nó không thể sử dụng được. Thay vào đó, các nạn nhân đã nhìn thấy một ghi chú tự xưng là của ‘PC Cyborg Corporation’ cho biết hợp đồng thuê phần mềm của họ đã hết hạn và họ cần gửi 189 đô la qua đường bưu điện tới một địa chỉ ở Panama để lấy lại quyền truy cập vào hệ thống của mình. Đây chính là phầm mềm tống tiền đầu tiên
May mắn là ở thời điểm đó, mã hóa được trojan sử dụng rất yếu, vì vậy các nhà nghiên cứu bảo mật đã có thể phát hành một công cụ giải mã miễn phí. và từ đó, bắt đầu một cuộc chiến tiếp tục cho đến ngày nay, với tội phạm mạng đang phát triển ransomware và các nhà nghiên cứu cố gắng làm ngược lại nó. Trong khoảng 20 năm sau đó những cuộc tấn công vẫn còn đơn giản so với ransomware ngày nay.
Một dạng phổ biến của loại ransomware này là cuộc tấn công ‘Police Locker’, nếu được tải xuống, thường từ các trang tải xuống ngang hàng hoặc các trang web lưu trữ tài liệu người lớn hoặc vi phạm bản quyền. Nó sẽ thay đổi màn hình của người dùng thành một ghi chú được cho là từ cơ quan thực thi pháp luật cho biết máy đã bị khóa do nghi ngờ có hoạt động bất hợp pháp. Không có mã hóa nào thực sự được sử dụng trong các cuộc tấn công này và trong nhiều trường hợp, khóa có thể được gỡ bỏ bằng cách khởi động lại máy tính – nhưng đối với một số người, yếu tố sợ hãi đã khiến họ phải trả tiền. Trong khi Police Lockers đạt đến đỉnh cao trong khoảng thời gian từ năm 2010 đế 2012, chúng vẫn chưa biến mất. Nhưng chúng đã bị thay thế bởi những gì chúng ta phải nhận ra là ransomware ‘thực sự’.
Năm 2012 đến 2014 là miền Tây hoang dã của ransomware. Đó là một ý tưởng mới và công chúng không biết nó là gì và không hiểu chuyện gì đang xảy ra. Máy bạn bị khóa, các tập tin thì bị mã hóa. Tại thời điểm này, ransomware đã chuyển sang mã hóa các tập tin, để thực sự gây khó khăn cho nạn nhân, mặc dù hiếm khi đòi tiền chuộc lên đến hơn vài trăm đô la vì mục tiêu chủ yếu vẫn là người dùng gia đình. Và vì tiền chuộc được trả bằng tiền tệ tiêu chuẩn, đó không phải là hoạt động bí mật và có thể dễ bị phát hiện.
Nhưng sự bùng nổ của Bitcoin đã giúp thay đổi mọi thứ và ngay sau đó bọn tội phạm phát tán ransomware và đòi tiền chuộc phải được thanh toán bằng tiền điện tử vì các giao dịch khó theo dõi hơn các giao dịch được thực hiện bằng tiền tệ thông thường, khiến những kẻ đứng sau các cuộc tấn công khó bị phát hiện hơn.
Đến năm 2016, ransomware-as-a-service đã trở nên phổ biến, với những người tạo ra các họ phần mềm độc hại như Cerber cho thuê khả năng thực hiện các cuộc tấn công để đổi lấy lợi nhuận. Nó đã được chứng minh là một mô hình kinh doanh thành công và đến nay, các biến thể ransomware được xếp hạng trong số các họ phần mềm độc hại phổ biến nhất. Chậm nhưng chắc chắn, các cuộc tấn công ransomware đang chuyển trọng tâm từ người dùng gia đình để nhắm mục tiêu vào các doanh nghiệp và tổ chức khu vực công, mã hóa toàn bộ mạng để kiếm được nhiều tiền hơn.
Mặc dù vậy, ransomware vẫn chưa thật sự làm cho giới bảo mật thông tin phải thật sự quá lo lắng, nhưng vào tháng 5 năm 2017, điều đó đã thay đổi mãi mãi với sự xuất hiện của ransomware WannaCry.
Thời điểm đó, mọi người tại các tổ chức trên khắp thế giới nhận thấy mình phải đối mặt với thông báo yêu cầu trả tiền chuộc để đổi lấy việc trả lại an toàn cho các tệp của họ. WannaCry đã lan rộng khắp thế giới với sự trợ giúp của EternalBlue, một công cụ hack bị rò rỉ của NSA đã được công khai vài tháng trước đó. Thiệt hại sẽ còn lớn hơn nhiều nếu các nhà nghiên cứu bảo mật không tìm ra công cụ dùng cho cuộc tấn công, mà sau đó được đổ lỗi cho Triều Tiên. Tuy nhiên, ngay cả khi các tổ chức trả tiền chuộc, không có cơ chế nào để lấy lại các tập tin. Các cuộc tấn công dường như hoàn toàn là phá hoại về bản chất. Chỉ vài tuần sau, một điều tương tự đã xảy ra khi NotPetya, một cuộc tấn công khác, cũng tấn công các mục tiêu trên khắp thế giới. Nhưng bất chấp tính chất nghiêm trọng hai sự cố này, đó vẫn chưa phải là dấu chấm hết của ransomware khi các tổ chức tiếp tục để mạng của họ để các kẻ tấn công mạng xâm nhập, những kẻ đã tìm ra cách khác để làm cho ransomware thậm chí còn mạnh hơn – và sinh lợi hơn – so với trước đây. Tin tặc nhận ra rằng họ có thể phát tán phần mềm độc hại bằng nhiều cách không chỉ là các cuộc tấn công lừa đảo. Kể từ đó, tội phạm mạng ransomware ngày càng táo bạo hơn và các cuộc tấn công ngày càng lớn hơn nhiều.
Bằng cách kết hợp các cuộc tấn công vào các cổng Internet, sử dụng thông tin đăng nhập bị đánh cắp, tuyền qua mạng và các kỹ thuật khác, những kẻ tấn công sẽ xâm nhập mạng cho đến khi chúng xâm nhập được mọi thứ có thể. Và rồi ransomware và hạ gục mọi thứ – thường bao gồm máy chủ và cả các bản sao lưu. Điều này đã khiến ransomware trở thành một ngành kinh doanh cực kỳ sinh lợi, với những kẻ tấn công thường xuyên yêu cầu số tiền sáu con số cho khóa giải mã. Nhiều tổ chức lựa chọn trả tiền chuộc vì việc khôi phục mạng từ đầu có thể mất hàng tuần và và tốn kém. Thực tế là các tin tặc phát tán ransomware hiếm khi bị đưa ra công lý. Ransomware đã trở nên vấn đề hơn bao giờ hết và vấn đề này sẽ tiếp tục nhiều năm nữa.
Nhưng bằng cách làm một điều đơn giản, các tổ chức thuộc mọi quy mô có thể chống lại mối đe dọa do các cuộc tấn công ransomware gây ra: đảm bảo rằng họ có các bản sao lưu ngoại tuyến (offline backup) của hệ thống và đảm bảo rằng các bản sao lưu đó được kiểm tra thường xuyên.
Đôi khi mọi người không muốn trả tiền cho IT nói chung, họ không muốn trả tiền cho một hệ thống lưu trữ an toàn mà họ có thể không bao giờ sử dụng. Nếu các tổ chức bảo vệ mạng của họ trước các cuộc tấn công và đảm bảo có sẵn các bản sao lưu nếu điều tồi tệ nhất xảy ra, họ không phải trả tiền chuộc. Và nếu mọi người không trả tiền chuộc, bọn tội phạm mạng sẽ không còn coi ransomware là món lợi. Có thể nếu những bài học này được rút ra ngay bây giờ, ransomware sẽ không gây hại cho các doanh nghiệp trong vòng 30 năm tới – nhưng thật không may, nó có thể sẽ trở nên tồi tệ hơn trước khi nó trở nên tốt hơn. Cuộc chiến với ransomware sẽ còn dài.
Theo zdnet.com
