Sophos cảnh báo về ‘hố đen’ mã độc tống tiền

[Romano]

Mới đây, Sophos đã công bố “Báo cáo về các mối đe dọa bảo mật năm 2022”, phân tích chuyên sâu các xu hướng mã độc tống tiền, phần mềm độc hại, công cụ tấn công, ứng dụng đào tiền ảo và những rủi ro bảo mật khác.

Ransomware-as-a-Service: Tống tiền trở thành dịch vụ

Ransomware (mã độc tống tiền) đã trở thành loại hình tội phạm mạng có tốc độ phát triển mạnh nhất trong thời gian qua, mang lại cho tin tặc nguồn thu hiệu quả và nhanh chóng nhất, trong khi để lại những hậu quả mà đa số nạn nhân không thể cứu vãn.

Chính vì vậy, không ngạc nhiên khi ransomware sẽ còn được lan rộng. Tuy nhiên, theo ghi nhận bởi Sophos, tin tặc đang có sự thay đổi về chiến thuật trong thời gian gần đây. Thay vì đặt mục tiêu là các cá nhân và đơn vị nhỏ lẻ, các cuộc tấn công có quy mô ngày một lớn hơn, được tập trung vào các tổ chức tầm cỡ và có tính chất được ứng biến dựa trên mô hình hoạt động của mỗi tổ chức.

2022 là năm mà mô hình Ransomware-as-a-Service (RaaS), hay “tống tiền dưới dạng dịch vụ”, trở nên nở rộ. Các nhóm tin tặc sẽ chào mời dịch vụ tấn công, cũng như cung cấp hướng dẫn và công cụ cho các nhóm tin tặc khác thực hiện hành vi xấu. Khi đã nắm trong tay vũ khí độc hại, các “khách hàng” của RaaS có thể tìm tới “chợ đen” lỗ hổng bảo mật, hay nền tảng phát tán mã độc để xác định nạn nhân tiềm năng.Vụ tấn công Colonial Pipelines, nhà vận hành đường ống dẫn dầu hàng đầu nước Mỹ, là một ví dụ điển hình của RaaS. Mã độc được phát triển bởi nhóm DarkSide đã gây tê liệt hệ thống xăng dầu của 17 tiểu bang thuộc vùng Đông Nam nước Mỹ, ảnh hưởng tới cuộc sống của hàng chục triệu người dân. Colonial Pipelines đã buộc phải bỏ ra gần 5 triệu USD để giành lại quyền kiểm soát từ tay hacker.

Sophos tin rằng RaaS sẽ trở thành mô hình chủ lực bởi nó cho phép mỗi nhóm tin tặc tập trung vào thế mạnh của mình. Những nhà phát triển ransomware sẽ có thể tạo ra những mã độc phức tạp và nguy hiểm hơn, trong khi những kẻ đột nhập hệ thống sẽ truy tìm những phương thức, cũng như mục tiêu mới để triển khai mã độc. Khi kết hợp lại, các vụ tấn công tới người dùng và doanh nghiệp sẽ để lại hậu quả nghiêm trọng và khó truy vết hơn rất nhiều.

Đa dạng các mã độc phân tán tống tiền

Nguồn lợi nhuận béo bở thu về từ hành vi tống tiền là động lực để tin tặc lợi dụng ngày một nhiều thủ đoạn tinh vi hơn. Bên cạnh những mối nguy quen thuộc, hàng loạt các mối đe doạ bảo mật khác như những kẻ đột nhập hệ thống hay các phần mềm độc hại như loader hay dropper nay cũng được sử dụng để phát tán mã độc, từ đó tạo nên một mạng lưới phân phối ransomware khổng lồ.

Gootloader là một mã độc dạng loader với cơ chế tuyển chọn mục tiêu phức tạp. Ẩn mình dưới dạng kết quả tìm kiếm trên Google, Gootloader sử dụng nhiều phương thức khác nhau để chỉ tấn công một tập người dùng nhất định. Trong khi đó, mã độc BazarLoader còn vận hành cả một hệ thống tổng đài điện thoại với những con người thật để lừa nạn nhân khởi chạy mã độc.

Nhờ sự chọn lọc, Gootloader và BazerLoader sẽ có thể kìm hãm tốc độ lây nhiễm, từ đó giúp lọt khỏi tầm ngắm của các hãng bảo mật và chuyên gia IT.

Phương thức đe dọa mới

Sự bùng nổ của ransomware trong những năm trở lại đây đã nâng cao sự cảnh giác của nhiều người dùng và doanh nghiệp, khiến cho họ có sự đầu tư bài bản về hệ thống sao lưu (back-up) để luôn sẵn sàng cho các tình huống xấu. Nhận thấy điều này, ransomware đã ứng biến với những cách thức tống tiền mới.

Trong đó, phổ biến nhất là những lời đe dọa sẽ công bố dữ liệu tuyệt mật nếu nạn nhân không trả tiền. Đây là một điều đáng sợ đối với doanh nghiệp, bởi nó không chỉ gây ảnh hưởng nghiêm trọng tới uy tín, mà còn có thể để lộ bí mật kinh doanh, giá cổ phiếu lao dốc, thậm chí đối mặt với những án phạt từ chính quyền nếu thông tin cá nhân của người dùng bị rò rỉ. Một số phương thức tống tiền khác còn có thể kể đến cuộc gọi đe dọa hay tấn công từ chối dịch vụ (DDoS).

Tiền điện tử được vận dụng

Với tính chất phi tập trung và khó kiểm soát, các loại tiền điện tử sẽ tiếp tục được tin tặc vận dụng làm phương thức thanh toán cho các hoạt động phạm pháp. Chưa hết, 2022 sẽ chứng kiến thêm nhiều loại mã độc lợi dụng những hệ thống đã bị tấn công để cài đặt phần mềm đào tiền điện tử.

Một số mã độc như MrbMiner hay LemonDuck tập trung vào các máy chủ (server), vốn thường có năng lực xử lý mạnh hơn đáng kể so với PC thông thường và đạt hiệu quả đào tiền điện tử cao hơn. Tin tặc chiếm quyền kiểm soát vào hệ thống cơ sở dữ liệu Microsoft MySQL để đào Monero, một loại tiền điện tử với tính ẩn danh cao và khó truy xuất nguồn gốc. Sophos dự đoán xu hướng này sẽ tiếp diễn cho đến khi thị trường tiền điện tử toàn cầu được quản lý tốt hơn.