Bắt cóc, tống tiền trên Internet

Không phải bắt cóc con người, mà là “bắt cóc” dữ liệu rồi buộc đơn vị quản lý dữ liệu đó phải trả tiền chuộc thì mới trả lại dữ liệu để hệ thống thông tin hoạt động bình thường. Đây chính là sự cố vừa xảy ra trên toàn thế giới trong tuần qua bởi một phần mềm độc hại, mang cái tên quá ấn tượng: WannaCry (Muốn Khóc)!

Ransomware và cách thức hoạt động

Lâu nay người sử dụng máy tính và smartphone đã rất mệt mỏi với virus máy tính xâm nhập thiết bị của mình, phá hỏng chương trình và dữ liệu. Rồi lại xuất hiện phần mềm gián điệp lén xâm nhập thiết bị để đánh cắp dữ liệu gửi cho bọn tội phạm. Nay lại thêm một dạng tin tặc mới: phần mềm tống tiền (ransomware).

Giống như bọn bắt cóc con tin để đòi tiền chuộc, ransomware là phần mềm lén lút xâm nhập thiết bị của bạn (máy tính, máy bảng, điện thoại), mã hóa tất cả các dữ liệu quan trọng trên thiết bị (hình ảnh, tư liệu, bảng tính…) khiến cho bạn không thể truy cập được, đồng thời hiện lên thông báo yêu cầu khổ chủ phải nộp một số tiền cho bọn tội phạm trong thời hạn nhất định nào đó để chúng trả lại dữ liệu, nếu không toàn bộ dữ liệu đó sẽ bị phá hủy!

Ransomware được đặt theo từ tiếng Anh ransom nghĩa là tống tiền, đòi tiền chuộc. Ransomware đầu tiên trên thế giới xuất hiện đã khá lâu, khoảng năm 2005, nhưng sau đó chúng vắng đi trong một thời gian dài. Vài năm gần đây ransomware đang trở lại với những hình thức tinh vi hơn rất nhiều.

Kiểu tấn công điển hình của các ransomware: các phần mềm hiểm độc được cài vào máy, mã hoá file và sau đó hiển thị một tin nhắn đòi tiền để giải mã dữ liệu.

Ransomware xâm nhập vào máy tính người dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là từ các website mà người dùng đã duyệt qua. Nó sẽ tiến hành mã hóa các dữ liệu trên thiết bị của khổ chủ khiến họ không thể sử dụng được nữa và sau đó sẽ hiện lên một thông báo đòi tiền. Điều ghê gớm là giải thuật mã hóa của nó vô cùng phức tạp, khiến cho việc giải mã để cứu dữ liệu hầu như bất khả thi, buộc khổ chủ phải chi tiền ra để đổi lấy chìa khóa giải mã.

Thí dụ, đây là câu thông báo của ransomware có tên là GpCode - trojan: “Xin chào, file của bạn đã bị mã hoá bằng thuật giải RSA-4096. Ít nhất bạn cũng phải mất tới vài năm mới có thể giải mã dữ liệu của mình nếu như không có phần mềm của chúng tôi. Tất cả các dữ liệu cá nhân của bạn trong vòng 3 tháng qua đã bị thu thập và gửi tới cho chúng tôi. Để giải mã các file này, bạn cần phải mua phần mềm của chúng tôi. Giá là 300 USD”.

Mã độc WannaCry

Một cuộc tấn công mạng quy mô cực lớn bắt đầu từ Vương quốc Anh và Tây Ban Nha với hơn 250.000 máy tính bị lây nhiễm trên 99 quốc gia, trong đó có cả Việt Nam, đã diễn ra ngày 12-5-2017 bởi một loại ransomware tên là WannaCry (đây là tên do kẻ tấn công tự đặt, còn gọi là WannaCrypto2, WCry 2, WannaCry 2…). Tội phạm tin học đã phát yêu cầu đòi tiền chuộc bằng 28 ngôn ngữ và buộc nạn nhân trong vòng 3 ngày phải trả bằng đồng tiền ảo bitcoin với mức 300 USD cho một ổ cứng bị mã hóa. Ngày 14-5, giám đốc Europol (cơ quan hành pháp và tình báo của châu Âu) cho rằng số quốc gia bị lây nhiễm WannaCry đã lên tới 150.

Các dữ liệu WannaCrypt được sử dụng trong cuộc tấn công này oái oăm thay lại là những nghiên cứu do Cơ quan An ninh Quốc gia (NSA) Hoa Kỳ phát triển đã bị nhóm hacker The Shadow Brokers đánh cắp. Vụ này được công bố trong những tháng đầu năm 2017. Ngày 14-3-2017, Microsoft đã phát hành một phiên bản cập nhật bảo mật để vá lỗ hổng và bảo vệ khách hàng của họ. Mặc dù các hệ thống máy tính Windows 10 đã cho phép Windows Update áp dụng cập nhật mới nhất này, nhưng trong thực tế nhiều máy tính trên toàn cầu chạy các phiên bản Windows khác vẫn chưa được cập nhật và bảo vệ. Kết quả là hàng loạt bệnh viện, doanh nghiệp, cơ quan chính phủ và máy tính tại nhà đã bị ảnh hưởng trong cuộc tấn công WannaCry.

Có một quy ước bất thành văn, tạm hiểu là quy ước đạo đức, rằng các cuộc tấn công mạng, tống tiền sẽ không xảy ra đối với các hệ thống y tế hay các hệ thống có ảnh hưởng trực tiếp đến sức khỏe và tính mệnh con người. Thế nhưng, với WannaCry quy ước này không được tuân thủ.

Ngay ngày đầu tiên WannaCry làm ảnh hưởng đến nhà sản xuất xe hơi Pháp, ngân hàng trung ương Nga, nhà mạng viễn thông Tây Ban Nha, nhiều người ở Trung quốc không rút tiền ATM được vì dữ liệu ngân hàng bị mất. Nhưng “ác nhân thất đức” là WannaCry khiến cho dịch vụ y tế công cộng (NHS) của Anh rơi vào hỗn loạn. Ít nhất 48 tổ chức của NHS bị ảnh hưởng, trong đó có bệnh viện St. Bartholomew's Hospital và East and North Hertfordshire Trust. Nhân viên đã phải chuyển sang làm việc bằng giấy bút khi máy tính của họ bị vô hiệu hóa và bệnh viện phải hủy các lịch hẹn. May mà chưa có người chết vì sự cố này!

Phản ứng của Microsoft

Hàng loạt các đơn vị phòng chống tội phạm, bảo mật thông tin trên toàn thế giới và Việt Nam đã vào cuộc để cứu vãn tình thế và ngăn ngừa sự phát triển tác hại của WannaCry. Việc này đã có tác dụng.

Bên cạnh đó, Microsoft nhận thức rõ trách nhiệm của mình. Bởi vì các máy bị tấn công dùng hệ điều hành Windows của Microsoft, và chính lỗ hổng của Windows đã tạo điều kiện cho hung thủ tạo nên ransomware này. Nếu Windows hoàn chỉnh, không có lỗ hổng thì làm sao ransomware xâm nhập được?

Như nêu trên, ngày 14-3-2017, Microsoft đã phát hành một phiên bản cập nhật bảo mật để vá lỗ hổng và bảo vệ khách hàng của họ. Tuy nhiên, với những khách hàng dùng những version cũ hơn thì không có bản vá lỗi.

Vì thế, ngày 13-5-2017, chỉ một ngày sau cuộc tấn công WannaCry, Microsoft đã có một động thái khác thường là cung cấp một bản cập nhật an ninh (security update) mới cho các hệ điều hành Windows XP, Windows 8, và Windows Server 2003, cho dù các hệ điều hành này từ năm 2014 đã hết thời hạn được hỗ trợ kỹ thuật. Riêng các hệ điều hành Windows Vista, Windows 7 và Windows 8.1 đã được Microsoft cập nhật vá lỗ hổng EternalBlue hồi tháng 3-2017.

Ông Brad Smith

Ông Brad Smith, người đứng đầu về lĩnh vực luật pháp của Microsoft nói rằng: “Từ cuộc tấn công này, chúng ta nên có một quyết tâm cấp thiết để có một hành động chung của tất cả mọi người. Chúng ta cần đội ngũ kỹ thuật, khách hàng và chính phủ cùng làm việc để bảo vệ chống lại các cuộc tấn công không gian mạng. Chúng ta cần có nhiều hành động hơn và cần hành động ngay. Cuộc tấn công WannaCrypt vừa qua là một lời cảnh báo giúp thức tỉnh tất cả chúng ta. Chúng tôi nhận ra trách nhiệm của mình và Microsoft cam kết sẽ là một phần giúp chống lại các cuộc tấn công mạng trong tương lai.”

Phạm Hoài Nhân 

LĐĐN - 22/05/2017