Bước cuối cùng trong kế hoạch sử dụng mã độc tống tiền ransomware là gì và kết quả của cuộc tấn công giả định này sẽ ra sao? Mời độc giả cùng TechInsight tìm hiểu trong bài viết dưới đây. 

Bước 3: Trả tiền chuộc

Trước hết, tôi xin gửi lời cảm ơn tới Joe Stewart, bởi lẽ bước này sẽ không thể được thực hiện nếu không có anh. Stewart hiện sống ở Myrtle Beach, S.C., và đang điều hành một công ty phát triển blockchain và nghiên cứu bảo mật. Anh cũng là một trong những chuyên viên phân tích đầu tiên đã định nghĩa các hành vi tội phạm sử dụng botnet. Ngoài ra, anh cũng đã code một bộ giải mã theo kỹ thuật đảo ngược để giúp các nạn nhân của ransomware tự giải mã dữ liệu bị mã hóa của mình. Vài năm trước, anh đã giúp đỡ đồng nghiệp của tôi xác định một hacker làm việc cho Quân đội Nhân dân Trung Quốc.

Khi trò chuyện, Stewart khá trầm lặng, và thường giữ biểu cảm khá cứng nhắc. Tuy nhiên, khi dần quen anh, tôi mới biết anh thường như vậy khi tập trung, chứ không hề khó chịu gì. Sau một vài tháng trò chuyện, tôi chia sẻ rằng mình muốn thử tự sử dụng ransomware, và nhận được câu trả lời là, khi mua được dịch vụ này, thì hãy tới Myrtle Beach và dùng thử nó trên phòng máy tính của anh.

Dịch vụ ransomware tôi quyết định sử dụng là dịch vụ đầu tiên tôi tìm thấy, chỉ một vài phút sau khi vào phòng chat cho hacker đầu tiên. Và kể cả lúc này, thì nó vẫn khá là đáng ngờ. Một người dùng viết: “Gã này spam cái này tới vài ngày rồi, và làm bộ như chưa ai từng làm thế trước đấy, thậm chí còn chẳng đưa ra lý do nào đáng mua.” Phản hồi lại với kẻ phê bình này, chủ dịch vụ đã bảo gã “câm miêng”, nói móc nhau bằng ngôn ngữ lập trình C#, rồi lại lặp lại “câm miệng” thêm một lần nữa. Tuy nhiên, một số người bán khác lại phản hồi khi tôi hỏi, còn một số thì lại rõ ràng là giả. Ngoài ra, trong khi RaaS nổi tiếng là Ranion yêu cầu tới 900 USD phí sử dụng hằng năm, thì dịch vụ này lại chỉ tốn có 150 USD. Vì thế, tôi đã quyết định sử dụng nó: vào sáng ngày 23 tháng 10, tôi chuyển đi 0.020135666 Bitcoin, rồi gửi tin nhắn thông qua dịch vụ email mã hóa Protonmail, tới địa chỉ trên trang giao dịch. Và chỉ nửa tiếng sau, tôi nhận được phản hồi rằng: “Xin chào, tài khoản của bạn đã được kích hoạt!!! xin lỗi vì sự chậm trễ!”

Trang web mà tôi được cấp quyền truy cập có màu trắng, với các tab và dưới chúng là bản đồ thế giới màu đen. Khi nhấn vào “Bảng điều khiển”, một bảng trống với tiêu đề “Nạn nhân” sẽ hiện ra. Dự kiến, phần trống này sẽ hiển thị tên của các vụ tấn công mà tôi thực hiện, cùng với khóa giải mã cho từng nạn nhân. Ở tab thứ 2 là mục “Người xây dựng”, gồm một đường link dẫn tới trang web của người xây dựng phần mềm độc này. Quay lại với việc sử dụng, tôi gõ vào một địa chỉ Protonmail để nạn nhân liên lạc, sau đó nêu cụ thể hệ điều hành của mục tiêu tấn công. (Đa số phần mềm này được viết nằm vào Microsoft Windows; còn tôi thì đang sử dụng Linux theo gợi ý của Stewart – điều này đã giúp tôi giảm được nguy cơ trở thành mục tiêu tấn công.) Sau đó, tôi nhấn vào nút “Xây dựng”, và trên màn hình hiển thị cửa sổ hỏi tôi có muốn tải về một tệp tin hay không. Sau một chút chần chừ, tôi đã chọn có, và giờ trong máy tính của tôi đang chứa một phần mềm độc. Tiếp theo, tôi đính kèm phần mềm độc này vào email và gửi nó, có đánh dấu rõ ràng, tới Stewart.

Khi tới Myrtle Beach vào ngày 11 tháng 11, Stewart đã chạy phần mềm này trên một máy tính độc lập đặc biệt mà anh thường dùng để gỡ và phân tích các phần mềm độc. Thông thường, các phần mềm cao cấp sẽ không chạy nếu phát hiện mình đang được cài trong máy tính độc lập như của Stewart, hoặc sẽ ủ lâu cho tới khi các nhà nghiên cứu không còn tập trung tới nó. Phần mềm của tôi thì lại không có chất lượng tốt như vậy, và cũng không được dựng trên những máy chủ web ở nước ngoài để phù hợp hơn cho nhu cầu nhận tiền ảo và tránh đơn vị thi hành luật, mà thay vào đó, lại ở ngay trên dịch vụ cloud của Amazon Web Services. Và theo Steward, thì chỉ cần một trát hầu tòa là đã có thể biết được tên trên tài khoản Amazon, từ đó định danh được nhà cung cấp phần mềm này.

Tuy nhiên, thứ đáng ngạc nhiên nhất là bộ giải mã mà tôi lấy được từ trang web. Cụ thể, sau khi nhận được tiền chuộc, tôi sẽ phải gửi tệp tin lại cho nạn nhân, cùng với một mật khẩu. Tuy nhiên, mật khẩu này lại không tương thích khi tôi và Steward dùng thử – các tệp tin trên máy của Steward vẫn bị khóa. Về ngắn hạn, đây sẽ không phải vấn đề của tôi: tôi đã nhận được tiền chuộc trước khi Max phát hiện ra mật khẩu không phù hợp. Tuy nhiên, thông thường khi bắt cóc tống tiền, thì tội phạm sẽ chỉ thành công nếu chúng làm cho nạn nhân tin rằng, họ sẽ lấy lại được dữ liệu sau khi trả tiền. Vì thế, các tội phạm tống tiền thường sẽ cố chứng minh rằng chúng đáng tin, bằng các giải mã một số tệp hoàn toàn miễn phí. Thậm chí, một số dashboard RaaS còn gọi nạn nhân là “khách hàng”, cụ thể như Ranion, theo như các chuyên viên phân tích đến từ Armor. Thậm chí, theo một tin nhắn từ Elisan tại Flashpoint, một đội ngũ ransomware còn gửi tới cho nạn nhân của họ các biện pháp bảo mật có thể sử dụng để tránh bị tấn công trong tương lai.

Stewart rất dễ dàng tìm được cách giải mã, anh viết trong email: “Tôi đoán rằng kẻ cung cấp chưa bao giờ thử code này trên thực tế.”  Và thay vì gửi Max một mật khẩu để anh tự nhập hay sao chép lại, thì tôi lại phải gửi một vài dòng code, cũng hướng dẫn cụ thể về code này cần cho vào đâu. Khá là rắc rối, nhưng điều này thì tôi có thể làm được.

Nhưng đáng tiếc thay, không phải kế hoạch nào cũng trôi chảy. Vào một buổi sáng khi đang ngồi trong phòng máy tính của Stewart, tôi đã đăng nhập vào laptop được mua cho riêng thí nghiệm này, mở trình duyệt ẩn danh Tor, và truy cập lại vào đường link dark web để vào bộ điều khiển RaaS của tôi. Tuy nhiên, thay vì thấy bản đồ thế giới và các tab như thường lệ, thì tôi lại chỉ thấy một dòng tin nhắn ngắn ngủi: “CHÚNG TÔI SẼ ĐÓNG CỬA WEBSITE TRÊN TOÀN BỘ MẠNG NGƯỜI DÙNG.”

Xin chào, tôi thấy là các bạn đã đóng cửa website”, tôi gửi email tới một địa chỉ mã hóa. “Làm thế nào để tôi tiếp tục truy cập?” Một tiếng sau, tôi nhận được câu trả lời rằng: “Để tiếp tục dùng thì bạn phải mua bản pro.” Sau khi hỏi, tôi biết được rằng, phiên bản này sẽ yêu cầu tôi phải trả thêm 500 USD, cộng thêm vào 150 USD đã trả trước đó. Tuy nhiên, khi đăng ký vào 2 tuần trước, thì nó lại chỉ tốn có 300 USD. “Nhà cung cấp” của tôi lại biện giải rằng, bây giờ bản pro đã hỗ trợ thêm các phần mềm độc tương thích với hệ điều hành Android, nhưng chẳng có gì có thể thay đổi được là, RaaS của tôi đã ngừng cung cấp dịch vụ. Cụ thể, máy chủ và website đều đã đóng cửa, nhưng, đây lại có thể là một cơ hội: tôi có thể tự host phần mềm ransomware này. Stewart lại bảo tôi thử hỏi xem có cách nào để lấy mật khẩu mã hóa sau khi trang web đóng cửa hay không, song chúng tôi lại chỉ nhận được lời xin lỗi rằng, họ đã quên không lưu trữ lại dữ liệu.

Vậy có phải là mọi thứ chỉ là lừa đảo hay không? Nếu vậy, thì tại sao họ lại cần phải dựng một dịch vụ giả, và một phần mềm giả, với chất lượng kém làm gì? Khi nghĩ lại, có vẻ như là nhà cung cấp của tôi thấy được rằng, sản phẩm của họ không bán được, và quyết định đóng cửa khi có đủ người mua – mà có khi tôi là người duy nhất – và cố bán luôn tất cả cho tôi.

Nhưng vấn đề lại không nằm ở mật khẩu mã hóa. Bởi lẽ, nếu không có máy chủ, thì các ransomware như của tôi sẽ chẳng làm được gì. Theo lời giải thích của Steward, trước khi mã hóa, phần mềm sẽ tổng hợp ra mật khẩu giải mã, rồi gửi nó lại máy chủ RaaS, từ đó hiển thị lên dashboard của tôi. Và nếu máy chủ không phản hồi, thì chương trình cũng sẽ không tiếp tục chạy. Chán nản, tôi gửi thư yêu cầu hoàn lại tiền, và bị từ chối.

“Tôi nghĩ là có cách để xử lý điều này,” Stewart nói, bắt đầu sử dụng laptop của anh. Và chỉ vài phút sau, anh gửi lại cho tôi một dòng code cùng hướng dẫn sử dụng cho Max – hiện đang ở New York, trước chiếc Dell rởm của mình. Dòng code của Stewart đã thay thế một số code trong hệ điều hành trên máy tính của Max, khiến cho phần mềm độc, thay vì liên hệ tới máy chủ trên Amazon, thì sẽ liên hệ tới một trong các máy chủ của Stewart – từ đó nhận mật khẩu, và cho phép giải mã. Về cơ bản, điều này có nghĩa là, nhà cung cấp ransomware của tôi đã trở thành Stewart.

Nắm được điều này, tôi bắt đầu chạy thử “con rối” ransomware này. Và chỉ một lát sau, Max đã nhận được một email từ một đồng nghiệp tin cậy rằng: “Này Max, xin lỗi vì chậm trễ và vì kích thước khổng lồ của cái file này, nhưng tôi đã đính kèm bản nháp. Hãy xem qua rồi cho tôi ý kiến nhé!” Max sau đó đã nhấp vào “bản nháp” được nêu ở trên, và nhận được cảnh báo từ phần mềm chống virus của mình, rằng anh không nên mở tệp này. (Thông thường, các virus được thiết kế tốt sẽ được ngụy trang bởi rất nhiều lớp code, còn virus của tôi thì chẳng khác này một tay buôn thuốc đi qua cổng hải quan mà không thèm giấu đồ vậy.) Max lựa chọn tiếp tục mở file.

Ban đầu thì không có gì xảy ra. Tuy nhiên, vài phút sau, khi chúng tôi đang bắt đầu cân nhắc việc thử lại, thì Max nói: “Tôi vừa nhìn đi có 1 giây, thì đột nhiên xuất hiện tin nhắn điên rồ này.” Có vẻ như trái với các ransomware khác, với các thiết kế đơn giản, chỉ nhằm mục đích thông báo, thì phần mềm của chúng tôi lại cho thấy hình ảnh khói, cùng một bàn tay vươn ra từ phía nó, cùng dòng chữ rằng: “Dữ liệu của bạn đã bị Mã hóa.” Sau khi kiểm tra, thì tất cả các tệp tin của Max, chỉ trừ Báo cáo Mueller, đều đã không mở được.

Sau đó, Max giả bộ gửi cho tôi một tin nhắn giận dữ, còn tôi thì giả bộ viết lại cho anh một cách đầy chuyên nghiệp và nghiêm túc, nói rằng anh cần trả tiền chuộc là 100 USD, đồng thời cung cấp một địa chỉ ví bitcoin. Ngoài ra, để Max không trì hoãn, tôi còn đưa ra deadline kèm cảnh báo rằng, tiền chuộc sẽ tăng lên hoặc tôi sẽ xóa mật khẩu giải mã. Sau đó, khi nhận được thông báo từ ứng dụng tiền ảo rằng có tiền đang được xử lý, tôi đã gửi mật khẩu của Stewart lại cho Max. Sau đó, Max chạy nó theo đúng hướng dẫn, và lần lượt từng file của anh lại trở lại như ban đầu. Như vậy, anh có lại dữ liệu, còn tôi thì có lại tiền. (Dù rằng sau đó phải trả lại.) Nhưng hình bàn tay thì lại không bao giờ biến mất.

Cuối cùng thì không thể kết luận được rằng, ransomware của tôi đã qua được kiểm chứng. Bởi lẽ thông thường, thì các vụ tấn công sẽ diễn ra hoàn toàn khác. Khi trở về từ Myrtle Beach, tôi đã thử liên lạc với một người viết có vẻ đáng tin và có ích hơn trên một diễn đàn darkweb, và đã nhận được phản hồi của họ sau khi thống nhất điều luật và xác minh danh tính cá nhân. Người viết này nói: “Khi nói về các loại phần mềm độc, tôi đã code và sử dụng hầu như tất cả mọi thứ mà bạn từng nghe tới: backdoor, rat, cryptor, dropper, data destroyer, CSSRF, ransomware, trang phishing…” Anh không mấy tin tưởng vào đa số các dịch vụ có thể mua được, đồng thời cũng nói rằng, sự gia tăng trong các vụ tấn công ransomware rồi cũng sẽ vỡ như bong bóng: “Đa số các ransomware đó chỉ là thứ đồ bỏ, là mấy phần mềm được viết bởi mất tay mơ, lấy từ GitHub, thay đổi một chút, rồi nói là đó là phần mềm của họ. Về cơ bản thì, RaaS đúng là sẽ làm cho nhiều người thiếu kinh nghiệm sử dụng được ransomware hơn, nhưng những vụ tấn công hiệu quả nhất sẽ vẫn bắt nguồn từ một số người với những code riêng của họ.”

Tất nhiên, các vụ tấn công ransomware đến từ những tay mơ cũng gây ra không ít thiệt hại, và kể cả những kẻ lão luyện nhất cũng đã từng là tay mơ. Khi liên lạc với nhà cung cấp RaaS của tôi để phỏng vấn họ cho bài viết này, họ rất sẵn sàng chia sẻ, nhưng vẫn rất cẩn trọng. “Chúng tôi là một nhóm người từ 18 tới 26 tuổi,” họ nói, đồng thời khẳng định rằng, họ đã phát hành một sản phẩm mới, với chất lượng chắc chắn là “tốt hơn nhiều” so với RaaS được tôi sử dụng.

FPT TechInsight
Theo Bloomberg

Tin liên quan: