Tiếp nối phần 1, trong phần 2 này mời độc giả cùng TechInsight tìm hiểu các bước của kế hoạch sử dụng mã độc ransomeware từ dark web trong một cuộc tống tiền giả định. 

Bước 1: Lừa đảo diện rộng (spear phishing)

Vào cuối năm 1989, rất nhiều nhà nghiên cứu y học và người yêu thích máy tính, đã mở một lá thư (không phải email trên máy tính) và tìm thấy chiếc đĩa mềm chứa phần mềm tương tác có thể đánh giá khả năng nhiễm AIDS của người dùng (AIDS lúc này là một đại dịch chưa được hiểu rõ). Tổng cộng đã có 20.000 đĩa mềm như vậy được gửi từ “Tập đoàn PC Cyborg” tại London tới nhiều người trên khắp Châu Âu và Châu Phi. Tuy nhiên, bên trong đĩa mềm này lại chứa một tệp khác, tệp này khi được ổ đĩa tiếp nhận sẽ giấu thư mục, mã hóa trên chúng, rồi hiển thị thư yêu người dùng phải trả một khoản phí là 189 USD để “gia hạn phần mềm”. Để trả khoản phí này, người dùng sẽ phải gửi phiếu chi, hoặc yêu cầu chuyển tiền quốc tế tới một hộp thư tại Panama – đây là AIDS Trojan – vụ tấn công ransomware đầu tiên được biết đến trên thế giới.

Chỉ vài tuần sau đó, một người Mỹ tên Joseph Popp đã bị bắt khi từ hội thảo AIDS tại Kenya trở về. Các cán bộ an ninh tại sân bay Schiphol, Amsterdam, đã để ý nhà sinh học chuyên về khỉ đầu chó này vì đã có những hành động bất thường. Cụ thể, ông đã liên tục nói rằng mình bị chuốc thuốc bởi Interpol, viết bảng ghi “Tiến sỹ Popp đã bị đầu độc” lên túi của người khác, rồi vác túi này lên đầu để thu hút sự chú ý của mọi người. Khi hành lý của ông bị lục soát, các nhà chức trách đã tìm thấy dấu của “Tập đoàn PC Cyborg” ngày nào, và Popp đã bị dẫn độ từ Ohio tới London, trước khi bị cho là không đủ khả năng tham gia phiên tòa: ông ta đã đeo lô uốn tóc cho râu để “tránh bị phóng xạ”, sau đó trở về nhà, bắt đầu tuyên truyền rằng mọi người nên đẻ nhiều hơn, rồi thành lập một trại nuôi bướm tại Oneonta, và qua đời tại đây vào năm 2006.

Vẫn có rất nhiều tranh cãi xoay quanh mục tiêu của Popp cũng như trạng thái tinh thần của ông. Đa số người nhận đĩa thậm chí còn không chạy tệp tin độc trên máy tính của họ, và những người có chạy thì lại chẳng mấy ai trả số tiền được yêu cầu. Bởi lẽ, việc ra ngân hàng và bưu điện để gửi tiền là quá phức tạp, mà cũng chẳng cần thiết. Cụ thể, Eddy Willems, một nạn nhân người Bỉ của vụ tấn công, lúc đó là một chuyên viên phân tích hệ thống máy tính cho một hãng bảo hiểm đa quốc gia, đã chia sẻ: “Tôi không phải một nhà mật mã học, song vẫn có thể hiểu được ransomware đã làm gì. Và tôi chỉ mất có 10 tới 15 phút để hóa giải nó.” Sau đó, Willems cùng một số nhà nghiên cứu bảo mật khác đã nhanh chóng lan truyền cách giải mã AIDS Trojan.

Có lẽ, riêng việc Popp dám thực hiện điều này với những thứ mà ông có đã nói lên nhiều điều về trí tưởng tượng và sức khỏe tinh thần của ông. Vốn dĩ, ý tưởng về việc bán dữ liệu cho người đặt giá cao nhất là không hề mới, nhưng theo Mikko Hypponen, Giám đốc nghiên cứu tại hãng an ninh mạng F-Secure (Phần Lan) thứ mới của vụ tấn công của Popp là “ông đã nhận ra rằng trong nhiều trường hợp, thì chính chủ nhân dữ liệu mới là người đặt giá cao nhất.”

Và 15 năm sau, tư tưởng của Popp đã dần trở nên phổ biến trong giới công nghệ, mà trước tiên, là trên Internet. Vào năm 2005, các nhà nghiên cứu bảo mật đã bắt gặp ransomware mang tên Gpcode – một phần mềm ngụy trang thành các email tưởng chừng như vô hại, và thông qua hình thức phishing (lừa đảo qua email), hoặc spear phishing (phishing trên quy mô lớn) để xâm nhập vào máy tính. Các phiên bản sau của Gpcode cũng dần thực hiện các biện pháp mã hóa mạnh hơn, nhưng vấn đề lại nằm ở khâu thanh toán: thường người dùng sẽ trả qua tín dụng hoặc thẻ quà tặng, tức việc trả tiền chuộc phải được thực hiện thông qua hệ thống tài chính toàn cầu. Trong khi đó, hệ thống này, với sự hỗ trợ của cơ quan hành pháp, xử lý giao dịch ngày một tốt hơn, thông qua đó dễ phát hiện các giao dịch do ransomware hơn, để bảo vệ hầu hết các khoản tiền này.

Tuy nhiên, sự xuất hiện của Bitcoin đã làm việc tống tiền trở nền dễ dàng hơn bao giờ hết. Tới năm 2013, tiền ảo đã trở nên phổ biến, và một nhóm hacker đã quyết định sử dụng nó, thông qua một ransomware được biết đến với cái tên CryptoLocker. Tất nhiên, Bitcoin không hoàn toàn là không để lại dấu vết, đặc biệt là khi người dùng chuyển nó thành tiền USD, EUR, hay các đồng tiền mạnh khác. Tuy nhiên, theo dấu nó lại rất khó khăn và tốt nhiều thời gian, phức tạp bởi các “tumbler” và các phương thức ẩn danh giao dịch thông qua blockchain công khai. Điều này đã khiến tiền ảo trở thành công cụ tối ưu cho ransomware – chỉ trừ một điểm yếu duy nhất: đa số người dùng vẫn chưa rõ về các mua và gửi tiền ảo – và những kẻ tống tiền đôi lúc sẽ trực tiếp liên lạc để “hỗ trợ” nạn nhân làm điều này.

CryptoLocker đã là một thành công lớn. Theo 3 nhà nghiên cứu về khoa học máy tính của Ý, đã có tới 771 giao dịch Bitcoin được thực hiện do ransomware này, với tổng giá trị là 1226 Bitcoin (tương đương với 1,1 triệu USD lúc bấy giờ) – một con số rất lớn. Và kể từ đó, công thức phishing, mã hóa mạnh, và Bitcoin, đã trở thành hình mẫu phổ biến cho các vụ tất công ransomware cho tới bây giờ. Tất nhiên, cũng còn nhiều hình thức khác, ví dụ như: một số vụ tấn công thì giả làm đơn vị thi hành luật, khẳng định rằng máy tính bị khóa do chứa các dữ liệu bất hợp pháp. (Một số cho rằng, ransomware này chỉ bắt đầu khi người dùng thực sự cố tải nội dung khiêu dâm trẻ em.) Còn một số kẻ tấn công khác lại dụ người dùng vào trang web độc, từ đó gài phần mềm vào máy tính thông qua các lỗ hổng trình duyệt. Hay thậm chí, có những vụ tấn công mã hóa không còn là ransomware như NotPetya – hoàn toàn không có khả năng giải mã, chỉ đơn giản là phá hủy dữ liệu, gây ra hàng tỷ USD thiệt hại trên toàn cầu vào năm 2017, mà theo đa số, là một vũ khí công nghệ bắt nguồn từ Nga.

“Chúng tôi đã tìm thấy rất nhiều tổ chức tội phạm công nghệ tinh vi, mà ransomware, đối với chúng, chỉ là một trong số rất nhiều công nghệ để kiếm tiền,” Stapleton, nhân viên FBI chia sẻ. Về vấn đề này, Phó chủ tịch của hãng an ninh mạng Palo Alto Networks, ông Ryan Olson cũng kể lại một lần theo dõi máy tính của khách hàng, sau khi người này đã bị hacker tấn công. Cụ thể, theo ông, chúng đầu tiên sẽ tìm thông tin tín dụng của người dùng, sau đó tìm mật khẩu và các mã đăng nhập khác để chiếm đoạt mạng kết nối. “Và cuối cùng, chúng mới tìm cách tải về ransomware, và mã hóa mọi tệp tin,” ông nói.

Step 2: Xâm nhập

Vào tháng 10, thời điểm tôi bắt đầu tìm kiếm dịch vụ ransomware, thì thế giới vẫn đang nuối tiếc sự biến mất của GandCrab. GandCrab là một dịch vụ ra mắt đầu năm 2018, và tuy không phải RaaS đầu tiên, xong lại là một trong số thành công nhất – theo hãng an ninh Bitdefender, tại thời điểm phổ biến nhất, có tới ½ số vụ tấn công ransomware trên toàn cầu bắt nguồn từ dịch vụ này – một minh chứng rõ ràng cho khả năng thương mại của nó. Sau đó, đội ngũ tạo ra GandCrab đã cấp quyền sử dụng cho “những bên liên quan”, tức các hacker có quyền truy cập vào một số máy tính và tài khoản email, và lấy phí là phần trăm tài sản lấy được sau mỗi vụ tấn công. GandCrab cũng liên tục vượt mặt các nhà lập trình chương trình chống virus, với 5 cập nhật lớn, theo nhà nghiên cứu khoa học máy tính Brian Krebs.

Tuy nhiên, tới ngày 31 tháng 5 năm 2019 lại xuất hiện một bài post trên diễn đàn tiếng Nga Exploit, trên đó công bố rằng GandCrab “sẽ tận hưởng kỳ nghỉ hưu xứng đáng.” Theo tác giả của bài post, trong vòng 15 tháng, ransomware này đã chiếm được 2 tỷ USD, trong đó 150 triệu USD là khoản phí mà chủ nhân của nó được trả. Cứ như vậy, dịch vụ này biến mất, để “những bên liên quan” lại tiếp tục thảo luận xem, “GandCrab” tiếp theo sẽ là gì.

Bài viết này sẽ không nêu tên forum chia sẻ RaaS được sử dụng, không phải vì độc giả ở đây có thể là khách hàng tiềm năng của dịch vụ ransomware, mà bởi vì nếu được công khai, RaaS sẽ dễ được tìm thấy hơn bởi các khách hàng tiềm năng thực sự. Và cũng như rất nhiều trang khác, forum này nằm trên darkweb, một vùng mạng đã được cấu hình để chặn truy cập từ các trình duyệt thông thường.

Logo của forum này là một đầu lâu màu xanh lá, với các bài post được viết bằng Tiếng Anh. Nhưng một điều rõ ràng là, đây không phải là ngôn ngữ bản địa của đa số người dùng tại đây. Tuy nhiên, thứ làm tôi thật sự bất ngờ, là cách mọi người luôn sẵn sàng trả lời chi tiết cho từng vấn đề, cũng như cổ vũ những người lạ ẩn danh về các chủ đề có hơi bất hợp pháp. Ví dụ như một bài post vào hồi tháng 10 có viết: “Dưới đây là một danh sách tài nguyên tuyệt vời, với những cuốn sách tốt nhất, một vài trang web với đối tượng hack để luyện tập, và một danh sách các mạng miễn phí…”

Tôi cũng không phải là người duy nhất không hiểu gì. Có rất nhiều bài post với tiêu đề như “Cần tìm ransomware dễ sử dụng”, hay “Tôi đang tìm tài nguyên để mua ransomware và mấy thứ kiểu như vậy. Phải học sử dụng chúng ở đâu?” Trước những bài viết này, một số người dùng forum có thái độ chỉ trích, song một số lại xem họ như cơ hội. Thông thường, trong “hệ sinh thái hacker”, các tay mơ sẽ bị săn bởi bọn lừa đảo – những người sẽ bán phần mềm giả hay không hiệu quả, lấy Bitcoin của người mua, rồi sau đó biến mất. Còn trên forum, thứ được thảo luận sôi nổi nhất là ai đang bán gì, và dịch vụ hay phần mềm nào là đáng tin nhất.

Tất nhiên, tôi là một tay mơ toàn tập, với lớp bảo hộ duy nhất là khả năng nhận thức được rằng, thứ tôi biết là quá ít, và tham vọng của tôi thì quá nhỏ. Theo kế hoạch được thống nhất với biên tập viên của mình, Max Chafkin, tôi sẽ thử tống tiền 1 mục tiêu duy nhất: chính anh ấy. Tất nhiên, cũng như nhiều người khác, Max không muốn gây rủi ro cho thông tin cá nhân của bản thân cũng như công ty của chúng tôi – một công ty xử lý dữ liệu cho các đơn vị tài chính lớn. Chính vì vậy, cả hai đã mua lại các laptop giá rẻ, và đảm bảo chắc chắn là không kết nối chúng tới mạng internet của công ty. Trên máy tính của mình, Max lưu trữ một loạt các file như tài liệu lấy từ WikiLeaks, bản pdf của Báo cáo Mueller, một vài bức ảnh ngẫu nhiên về mèo, tàu thuyền, và khỉ, cùng với một số tài liệu học thuật bằng tiếng Romania. Sau đó, anh chuẩn bị sẵn sàng cho vụ tấn công được báo trước của tôi – một kế hoạch hơi phi thực tế nhưng an toàn, và (chắc là) sẽ không khiến chúng tôi bị đuổi việc hoặc bị bắt. Luật một số bang có điều khoản phạt rất nặng với hành vi tấn công ransomware, và Maryland thì mới đề xuất một dự thảo luật mà trong đó, chỉ sở hữu ransomware cũng bị coi là tội. Ngoài ra, cũng có những điều luật thành văn rộng hơn về lừa đảo qua máy tính ở cấp liên bang, đã được sử dụng trong án phạt 2 hacker người Iran, được cho là đứng sau các vụ tấn công vào Atlanta, Newark, cùng một số hệ thống bệnh viện lớn. Tính tới nay, có rất ít vụ án về ransomware được đưa ra xét xử, song, không như đa số các kẻ tấn công khác, tôi sống tại Mỹ.

Tuy nhiên, đa số các điều luật đều chỉ cấu thành án khi kẻ tấn công có ý định tấn công vào nạn nhân, người không hề biết gì về vụ tấn công, và cũng không cộng tác với kẻ tấn công mình. Cụ thể, luật bang Michigan nếu: “Cá nhân không được phép sở hữu ransomware với chủ ý sử dụng hoặc tận dụng ransomware đó, khi không có sự cho phép từ bên còn lại.” Trong khi đó, “nạn nhân” của tôi lại biết rõ về vụ tấn công – và chúng tôi chỉ đơn thuần là hai người lớn, tự nguyện chịu rủi ro trên Internet. (Tất nhiên, để đề phòng Max nói ngược lại khi điều tra, thì tôi có giữ email về vấn đề này.) Luật sư mà chúng tôi tham vấn cũng đồng tình với ý kiến trên, với lưu ý rằng, nếu tôi có dấu hiệu đang giao dịch với chính phủ Triều Tiên hay pháp nhân đáng nghi tương tự, thì tôi nên liên lạc lại với anh.

Còn tiếp

FPT TechInsight
Theo Bloomberg

Tin liên quan: