Hoạt động mã độc tống tiền tăng kỷ lục khiến các doanh nghiệp tê liệt, đe doạ an ninh quốc gia
Hồi tháng 10 năm ngoái, tội phạm mạng đã tấn công Thư viện Anh, một đơn vị lâu đời ở trung tâm London. Theo tờ The Economist, nhóm tấn công đã mã hóa dữ liệu của thư viện và yêu cầu tiền để đổi lấy khóa giải mã. Nhiều tháng sau, thư viện cùng danh mục 14 triệu cuốn sách vẫn mất kết nối và không biết đến bao giờ hoạt động trở lại.
Các cuộc tấn công ransomware (mã độc tống tiền) như vậy không chỉ làm suy yếu hoạt động kinh doanh mà còn làm gây rắc rối trên khắp Bắc Mỹ và châu Âu. Các cuộc tấn công nhắm cơ sở hạ tầng, chẳng hạn như trường học, bệnh viện và tiện ích điện lực, cũng đặt ra mối đe dọa ngày càng gia tăng đối với an ninh quốc gia.
Thật khó để đo lường quy mô của hiểm hoạ và các công ty thường miễn cưỡng thừa nhận họ bị tống tiền. Số lượng vụ tấn công gia tăng có thể phản ánh việc phát hiện tốt hơn chứ không phải nhiều cuộc tấn công hơn. Tuy nhiên, điều dễ nhận thấy nhất là sau thời kỳ lắng dịu vào năm 2022, các cuộc tấn công ransomware đã quay trở lại.
Theo công ty an ninh mạng Secureworks, trong 4 tháng tính đến tháng 10/2023, số nạn nhân được liệt kê trên các "leak sites" - nơi kẻ tấn công nêu tên các nạn nhân từ chối trả tiền, là cao nhất từng được ghi nhận.
Một công ty an ninh mạng khác là Sophos, ước tính rằng trung bình các khoản thanh toán tiền chuộc tăng gấp đôi từ khoảng 800.000 USD vào năm 2022 lên hơn 1,5 triệu USD trong ba tháng đầu năm 2023.
Công ty dữ liệu Chainalysis ước tính rằng các khoản thanh toán tiền chuộc trong 6 tháng đầu năm 2023 lên tới 449 triệu USD, so với khoảng 559 triệu USD cho toàn bộ năm 2022. Những con số này có thể chỉ phản ánh một phần nhỏ của vấn đề.
Mối đe dọa ngày càng tăng từ ransomware đang diễn ra trong khi bản chất của hoạt động này cũng đang có sự chuyển dịch.
Trong quá khứ, hoạt động tấn công mạng do một vài nhóm tội phạm lớn thống trị nhưng ở hiện tại, nó đang dần mở rộng khi có nhiều nhóm nhỏ hơn tham gia.
Dù các quốc gia đang phản công lại bằng các lệnh trừng phạt và các cuộc tấn công mạng của riêng họ. Tuy nhiên, điều này dường như không ngăn chặn được việc phải thanh toán tiền chuộc, vốn đang làm giàu cho các nhóm tội phạm. Và điều đó có khả năng làm trầm trọng thêm vấn đề trong nhiều năm tới.
Theo The Economist, ransomware từng chỉ là vấn đề của phương Tây nhưng nó đang lan rộng trên toàn cầu. Mỹ, Australia, Anh, Canada và Đức là những quốc gia bị ảnh hưởng nặng nề nhất, nhưng Brazil và Ấn Độ cũng không kém cạnh.
Nạn nhân trải rộng trên các lĩnh vực công và tư trong thời gian qua. Một cuộc tấn công vào đêm Giáng sinh năm ngoái đã gây rối loạn bộ phận chăm sóc khẩn cấp tại một mạng lưới bệnh viện ở Đức, và các cuộc tấn công vào lĩnh vực giáo dục đang gia tăng.
Giám đốc Cơ quan Tội phạm Quốc gia Anh (NCA), ông Graeme Biggar, lên tiếng cảnh báo: "Đây là tội phạm có tổ chức nguy hiểm, có thể khiến đất nước đình trệ".
Will Lyne, Giám đốc tình báo mạng của NCA cho biết, ransomware từng là vấn đề tội phạm mạng ngách, ít được chính phủ quan tâm. Điều đó bắt đầu thay đổi cách đây 5 đến 10 năm với sự trỗi dậy của tiền điện tử, chẳng hạn như bitcoin.
Bởi lẽ, phần khó nhất của một cuộc tấn công ransomware trước đây là rút và rửa tiền. Kẻ tấn công sẽ phải mua hàng cao cấp bằng thông tin tài khoản ngân hàng bị đánh cắp và bán chúng trên chợ đen, điều này có thể ngốn tới 60-70% lợi nhuận trên đường tẩu tán. Song, tiền điện tử cho phép chúng rút tiền ngay lập tức với ít rủi ro.
Nhưng sự thay đổi lớn hơn là sự phát triển của ransomware-as-a-service (RaaS) - một mô hình kinh doanh trong đó ransomware trở thành một dịch vụ có thể thuê bởi affiliates (tiếp thị liên kết).
Các nhóm tội phạm có tổ chức lớn, chẳng hạn như Evil Corp ở Nga, từng phát triển các công cụ và cơ sở hạ tầng riêng của họ, chẳng hạn như phần mềm độc hại và máy chủ. Sự phát triển này biến họ gần giống với một tập đoàn tích hợp theo chiều dọc.
Một "gã khổng lồ trong ngành" vẫn hoạt động là LockBit - nhóm hàng đầu có thể có trụ sở tại Nga, đã tham gia vào hơn một phần tư các cuộc tấn công ransomware và tống tiền liên quan từ tháng 1/2022 tới tháng 9/2023, theo báo cáo của công ty an ninh mạng ZeroFox.
Giờ đây các "chi nhánh" tội phạm nhỏ hơn có thể mua các dịch vụ cao cấp từ các nhà cung cấp chuyên biệt, như các phần mềm độc hại đến dịch vụ copywriting chuyên nghiệp cho các email lừa đảo giúp tin tặc có thể xâm nhập vào một doanh nghiệp.
Hoạt động mua bán được hỗ trợ bởi các chợ trực tuyến, vốn chưa từng tồn tại cách đây 5 năm. Một trong số đó là Genesis Market - địa điểm giao dịch đã bị đóng cửa từ tháng 4/2023, đã chào bán bất hợp pháp 80 triệu thông tin đăng nhập, đánh cắp từ 2 triệu người.
Ngoài ra, chi phí để mua một thông tin đăng nhập, chẳng hạn như đăng nhập của nhân viên vào hệ thống của công ty, thường dưới 100 USD, thậm chí là vài đô la. Như vậy, việc thực hiện một cuộc tấn công ransomware chưa bao giờ trở nên dễ dàng và rẻ đến thế.
Và các mối đe dọa liên tục thay đổi. Ông Lyne nói: "Khi chúng tôi bắt đầu nghiên cứu vấn đề ransomware, chúng tôi chỉ theo dõi khoảng một tá biến thể ransomware khác nhau tại một thời điểm". Tuy vậy, hiện nay con số theo dõi đã gần 100.
Hơn nữa, "thời gian lưu trú" trung bình - khoảng thời gian mà kẻ tấn công truy cập vào mạng và thực hiện ransomware, đã giảm từ 5,5 ngày vào năm 2021 xuống 4,5 ngày vào năm 2022 và xuống dưới 24 giờ vào năm 2023, theo Secureworks.
Trong nhiều trường hợp, ransomware đã được triển khai trong vòng 5 giờ kể từ lần xâm nhập ban đầu. Hầu hết các cuộc tấn công không tinh vi.
"Tôi đã không thấy một cuộc tấn công ransomware thú vị nào trong nhiều năm", một quan chức cho biết song cảnh báo chúng diễn ra nhanh chóng. Điều đó khiến những người bảo vệ có ít thời gian hơn để phát hiện các cuộc tấn công đang diễn ra.
Mô hình kiếm tiền của các nhóm phát tán ransomware cũng đang thay đổi. Trước đây, tin tặc yêu cầu tiền chuộc để đổi lấy việc giải mã dữ liệu của nạn nhân. Nhưng việc mã hóa dữ liệu thường là phần đòi hỏi kỹ thuật cao nhất của một cuộc tấn công và là phần dễ cảnh báo cho nạn nhân nhất.
Giờ đây, kẻ tấn công gần như luôn luôn đánh cắp dữ liệu và đe dọa công bố trực tuyến, thậm chí tội phạm mạng giờ không còn bận tâm mã hóa dữ liệu. Ở một số trường hợp, tội phạm nhắm tới các cá nhân nổi bật trong công ty, chẳng hạn như giám đốc điều hành (CEO), để tống tiền.
Ngăn chặn tất cả những điều này cực kỳ khó khăn. Hầu hết các cuộc tấn công không nhắm vào một doanh nghiệp cụ thể.
Thời gian gần đây ghi nhận xu hướng gửi email lừa đảo hàng loạt đến nhiều tổ chức trong một lĩnh vực cụ thể hoặc săn lùng các lỗ hổng an ninh mạng trong các sản phẩm doanh nghiệp, chẳng hạn như mạng VPN, cho phép nhân viên truy cập từ xa vào nơi làm việc của họ.
Các hoạt động nâng cao bảo mật như sao lưu dữ liệu, thay đổi mật khẩu và vá lỗi phần mềm, có thể khắc phục được phần lớn vấn đề. Tuy nhiên, kể cả lớp phòng thủ nghiêm ngặt nhất cũng sẽ luôn có lỗ hổng.