Ransomware là một loại phần mềm độc hại có mục đích tống tiền người dùng bằng cách xâm nhập vào máy tính và thao túng dữ liệu của nạn nhân. Ransomware ban đầu chỉ bị tấn công trên hệ điều hành Windows sau đó mở rộng ra Mac, thiết bị di động và đến đầu năm 2017 là TV thông minh, thiết bị IoT.
Ransomware là gì ?
Ransomware là dạng phần mềm độc hại, phần mềm tống tiền được dùng nhằm mục đích chính là ngăn chặn người dùng truy cập và sử dụng máy tính cá nhân.
Mức tiền chuộc thông thường rơi vào khoảng $150 – $500 cho máy tính cá nhân. Vào cuối năm 2016 thì ransomware crypto đã khiến nạn nhân phải trả lên tới hơn 1000$.
Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng bitcoin vì tính bảo mật cao và khó để truy lùng dấu vết.
Phân biệt Virus và Ransomware
Virus máy tính là một khái niệm quen thuộc với người Việt. Cũng chính vì lẽ đó, mà nhiều người gọi chung tất cả các phần mềm độc hại là virus, bao gồm cả ransomware. Thực tế, chúng là 2 khái niệm hoàn toàn khác nhau.
Virus và Ransomware đều là phần mềm độc hại (hay còn gọi là mã độc, tiếng Anh là ‘malware’). Virus là thuật ngữ chỉ những malware có khả năng phát tán và lây lan cực kỳ nhanh, tới mức không thể kiểm soát nổi.
Trong khi đó, Ransomware là những phần mềm được thiết kế với mục đích “tống tiền nạn nhân”. Thông thường, để phát tán ransomware, kẻ xấu cần sử dụng các phương thức lừa đảo phishing để dụ người dùng “cắn câu”.
Do 2 đặc tính khác nhau kể trên, chỉ một số rất ít phần mềm độc hại được xét vào loại Virus Ransomware. Thuật ngữ Virus Ransomware được sử dụng để chỉ những phần mềm tống tiền có tốc độ lây lan “đặc biệt khủng khiếp”. Nổi bật trong đó là virus ransomware có tên WannaCry.
Nguồn gốc của Ransomware
Cũng như các phần mềm độc hại khác, phần mềm độc hại Ransomware có thể ẩn nấp trong các phần mềm, link, file khi bạn thực hiện các thao tác:
- Click vào quảng cáo.
- Truy cập vào những trang web giả mạo hoặc web đen.
- Download và cài đặt những phần mềm lạ, không rõ xuất xứ nguồn gốc.
- Khi bạn click vào file đính kèm có trong email.
- Khi bạn mở file trong các phần mềm đã crack.
- Hoặc máy tính bị cài tự động Ransomware thông qua USB hoặc các lỗ hổng của hệ thống.
Cách thức Ransomware hoạt động
Sau khi đã thâm nhập vào PC cá nhân của người dùng, Ransomware sẽ rà soát máy tính và có thể làm một số tác vụ như:
- In một thông báo “tống tiền” ra ngoài màn hình chính hoặc để lại file có nội dung “tống tiền”..
- Mã hóa toàn bộ file tài liệu có thể như đạng đuôi .doc, .xls, .pdf, file email.
Phân loại Ransomware
Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakware.
Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.
Ransomware mã hóa (Encrypting)
Encrypting Ransomware là loại phần mềm tống tiền phổ biến nhất, chúng mã hóa dữ liệu (tệp tin và thư mục) của người dùng. Tên khác của Encrypting Ransomware là Crypto Ransomware.
Khi những kẻ tấn công có quyền truy cập vào hệ thống, phần mềm độc hại sẽ khóa quyền truy cập vào hệ thống và bắt đầu mã hóa các tệp. Sau khi mã hóa file, crypto ransomware sẽ hiển thị một thông báo trên máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả tiền chuộc cho chúng.
Một khi điều này xảy ra, không có phần mềm bảo mật hoặc khôi phục hệ thống nào có thể trả lại chúng, trừ khi nạn nhân trả tiền chuộc để đổi lấy khóa giải mã. Ngay cả khi nạn nhân trả tiền, không có gì đảm bảo rằng tội phạm mạng sẽ trả lại các tệp đó.
Ransomware không mã hóa (Non-encrypting)
Non-encrypting ransomware (hay còn gọi là Locker) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình).
Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể truy cập lại và sử dụng thiết bị của mình.
Leakware (Doxware)
Một số loại ransomware đe dọa công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Nhiều người có thói quen lưu trữ các file nhạy cảm hoặc ảnh cá nhân ở máy tính nên sẽ không tránh khỏi việc hoảng loạn, cố gắng trả tiền chuộc cho hacker. Loại ransonware này thường được gọi là leakware hoặc doxware.
Vấn đề đối với các nạn nhân là, ngay cả khi họ trả tiền chuộc, không có gì đảm bảo dữ liệu bị rò rỉ sẽ bị xóa – chỉ là lời hứa của bọn tội phạm. Dữ liệu bị rò rỉ có thể được bán trong nền kinh tế ngầm, được sử dụng trong các cuộc tấn công trong tương lai và thậm chí được sử dụng để tống tiền cùng một nạn nhân với cùng một dữ liệu vào thời điểm sau đó.
Mobile ransomware
Thông thường, Mobile Ransomware xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (online sync).
Mobile ransomware thường nhắm vào nền tảng Android, vì hệ điều hành này cấp quyền “Cài đặt ứng dụng” cho bên thứ ba.
Khi người dùng cài đặt file .APK chứa mobile ransomware, sẽ có 2 kịch bản có thể xảy ra:
- Chúng sẽ hiển thị pop-up (tin thông báo) chặn không cho người dùng truy cập vào tất cả các ứng dụng khác.
- Sử dụng hình thức “bắt buộc nhấp chuột” (clickjacking) để khiến người dùng vô tình cấp quyền quản trị thiết bị. Khi đó, mobile ransomware sẽ truy cập sâu hơn vào hệ thống và thực hiện các hình thức vi phạm khác.
Đối với hệ điều hành iOS, kẻ tấn công cần áp dụng những chiến thuật phức tạp hơn, chẳng hạn như khai thác tài khoản iCloud và sử dụng tính năng “Find my iPhone” để khóa quyền truy cập vào thiết bị.
IoT và máy ảnh DSLR
Gần đây, các chuyên gia an ninh mạng đã chứng minh rằng ransomware cũng có thể nhắm mục tiêu các kiến trúc ARM. Cũng như có thể được tìm thấy trong các thiết bị Internet-of-Things (IoT) khác nhau, chẳng hạn như các thiết bị IoT công nghiệp.
Vào tháng 8 năm 2019, các nhà nghiên cứu đã chứng minh rằng có thể lây nhiễm máy ảnh DSLR bằng ransomware. Các máy ảnh kỹ thuật số thường sử dụng Giao thức truyền hình ảnh PTP (Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh).
Các nhà nghiên cứu nhận thấy rằng có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh mục tiêu bằng ransomware (hoặc thực thi bất kỳ mã tùy ý nào).
Trong khi phần mềm độc hại truyền thống, chỉ đơn thuần là ăn cắp thông tin và mật khẩu người dùng, ransomware ảnh hưởng trực tiếp đến bản thân người dùng và làm xáo trộn môi trường máy tính ngay lập tức. Ngoài ra, hậu quả của nó rất dễ nhận thấy.
Rõ ràng, từ khi mới xuất hiện cho đến nay ransomware đã khẳng định mình là anh lớn trong làn phần mềm “tống tiền”, tấn công ransomware ảnh hưởng trực tiếp đến bản thân người dùng và làm xáo trộn môi trường máy tính ngay lập tức. Vì vậy, bảo vệ máy tính, phòng chống ransomware hiệu quả khỏi những cuộc tấn công ransomware là ưu tiên hàng đầu.
Source: Cystack
Fanpage: Trí Việt JSC