Không phải bắt cóc con người, mà là “bắt cóc” dữ liệu rồi buộc đơn vị
quản lý dữ liệu đó phải trả tiền chuộc thì mới trả lại dữ liệu để hệ thống
thông tin hoạt động bình thường. Đây chính là sự cố vừa xảy ra trên toàn thế giới
trong tuần qua bởi một phần mềm độc hại, mang cái tên quá ấn tượng: WannaCry
(Muốn Khóc)!
Ransomware và cách
thức hoạt động
Lâu nay người sử dụng máy tính và smartphone đã rất mệt mỏi
với virus máy tính xâm nhập thiết bị của mình, phá hỏng chương trình và dữ
liệu. Rồi lại xuất hiện phần mềm gián điệp lén xâm nhập thiết bị để đánh cắp dữ
liệu gửi cho bọn tội phạm. Nay lại thêm một dạng tin tặc mới: phần mềm tống
tiền (ransomware).
Giống như bọn bắt cóc con tin để đòi tiền chuộc, ransomware
là phần mềm lén lút xâm nhập thiết bị của bạn (máy tính, máy bảng, điện thoại),
mã hóa tất cả các dữ liệu quan trọng trên thiết bị (hình ảnh, tư liệu, bảng
tính…) khiến cho bạn không thể truy cập được, đồng thời hiện lên thông báo yêu
cầu khổ chủ phải nộp một số tiền cho bọn tội phạm trong thời hạn nhất định nào
đó để chúng trả lại dữ liệu, nếu không toàn bộ dữ liệu đó sẽ bị phá hủy!
Ransomware được đặt theo từ tiếng Anh ransom nghĩa là tống
tiền, đòi tiền chuộc. Ransomware đầu tiên trên thế giới xuất hiện đã khá lâu, khoảng
năm 2005, nhưng sau đó chúng vắng đi trong một thời gian dài. Vài năm gần đây
ransomware đang trở lại với những hình thức tinh vi hơn rất nhiều.
Kiểu tấn công điển hình của các ransomware: các phần mềm
hiểm độc được cài vào máy, mã hoá file và sau đó hiển thị một tin nhắn đòi tiền
để giải mã dữ liệu.
Ransomware xâm nhập vào máy tính người dùng thông qua các dữ
liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là từ các
website mà người dùng đã duyệt qua. Nó sẽ tiến hành mã hóa các dữ liệu trên
thiết bị của khổ chủ khiến họ không thể sử dụng được nữa và sau đó sẽ hiện lên
một thông báo đòi tiền. Điều ghê gớm là giải thuật mã hóa của nó vô cùng phức
tạp, khiến cho việc giải mã để cứu dữ liệu hầu như bất khả thi, buộc khổ chủ
phải chi tiền ra để đổi lấy chìa khóa giải mã.
Thí dụ, đây là câu thông báo của ransomware có tên là GpCode
- trojan: “Xin chào, file của bạn đã bị
mã hoá bằng thuật giải RSA-4096. Ít nhất bạn cũng phải mất tới vài năm mới có
thể giải mã dữ liệu của mình nếu như không có phần mềm của chúng tôi. Tất cả
các dữ liệu cá nhân của bạn trong vòng 3 tháng qua đã bị thu thập và gửi tới
cho chúng tôi. Để giải mã các file này, bạn cần phải mua phần mềm của chúng
tôi. Giá là 300 USD”.
Mã độc WannaCry
Một cuộc tấn công mạng quy mô cực lớn bắt đầu từ Vương quốc
Anh và Tây Ban Nha với hơn 250.000 máy tính bị lây nhiễm trên 99 quốc gia,
trong đó có cả Việt Nam, đã diễn ra ngày 12-5-2017 bởi một loại ransomware tên
là WannaCry (đây là tên do kẻ tấn công tự đặt, còn gọi là WannaCrypto2, WCry 2,
WannaCry 2…). Tội phạm tin học đã phát yêu cầu đòi tiền chuộc bằng 28 ngôn ngữ
và buộc nạn nhân trong vòng 3 ngày phải trả bằng đồng tiền ảo bitcoin với mức
300 USD cho một ổ cứng bị mã hóa. Ngày 14-5, giám đốc Europol (cơ quan hành
pháp và tình báo của châu Âu) cho rằng số quốc gia bị lây nhiễm WannaCry đã lên
tới 150.
Các dữ liệu WannaCrypt được sử dụng trong cuộc tấn công này
oái oăm thay lại là những nghiên cứu do Cơ quan An ninh Quốc gia (NSA) Hoa Kỳ
phát triển đã bị nhóm hacker The Shadow Brokers đánh cắp. Vụ này được công bố
trong những tháng đầu năm 2017. Ngày 14-3-2017, Microsoft đã phát hành một
phiên bản cập nhật bảo mật để vá lỗ hổng và bảo vệ khách hàng của họ. Mặc dù
các hệ thống máy tính Windows 10 đã cho phép Windows Update áp dụng cập nhật
mới nhất này, nhưng trong thực tế nhiều máy tính trên toàn cầu chạy các phiên
bản Windows khác vẫn chưa được cập nhật và bảo vệ. Kết quả là hàng loạt bệnh
viện, doanh nghiệp, cơ quan chính phủ và máy tính tại nhà đã bị ảnh hưởng trong
cuộc tấn công WannaCry.
Có một quy ước bất thành văn, tạm hiểu là quy ước đạo đức,
rằng các cuộc tấn công mạng, tống tiền sẽ không xảy ra đối với các hệ thống y
tế hay các hệ thống có ảnh hưởng trực tiếp đến sức khỏe và tính mệnh con người.
Thế nhưng, với WannaCry quy ước này không được tuân thủ.
Ngay ngày đầu tiên WannaCry làm ảnh hưởng đến nhà sản xuất
xe hơi Pháp, ngân hàng trung ương Nga, nhà mạng viễn thông Tây Ban Nha, nhiều
người ở Trung quốc không rút tiền ATM được vì dữ liệu ngân hàng bị mất. Nhưng
“ác nhân thất đức” là WannaCry khiến cho dịch vụ y tế công cộng (NHS) của Anh
rơi vào hỗn loạn. Ít nhất 48 tổ chức của NHS bị ảnh hưởng, trong đó có bệnh
viện St. Bartholomew's Hospital và East and North Hertfordshire Trust. Nhân
viên đã phải chuyển sang làm việc bằng giấy bút khi máy tính của họ bị vô hiệu
hóa và bệnh viện phải hủy các lịch hẹn. May mà chưa có người chết vì sự cố này!
Phản ứng của
Microsoft
Hàng loạt các đơn vị phòng chống tội phạm, bảo mật thông tin
trên toàn thế giới và Việt Nam đã vào cuộc để cứu vãn tình thế và ngăn ngừa sự
phát triển tác hại của WannaCry. Việc này đã có tác dụng.
Bên cạnh đó, Microsoft nhận thức rõ trách nhiệm của mình.
Bởi vì các máy bị tấn công dùng hệ điều hành Windows của Microsoft, và chính lỗ
hổng của Windows đã tạo điều kiện cho hung thủ tạo nên ransomware này. Nếu
Windows hoàn chỉnh, không có lỗ hổng thì làm sao ransomware xâm nhập được?
Như nêu trên, ngày 14-3-2017, Microsoft đã phát hành một
phiên bản cập nhật bảo mật để vá lỗ hổng và bảo vệ khách hàng của họ. Tuy
nhiên, với những khách hàng dùng những version cũ hơn thì không có bản vá lỗi.
Vì thế, ngày 13-5-2017, chỉ một ngày sau cuộc tấn công
WannaCry, Microsoft đã có một động thái khác thường là cung cấp một bản cập
nhật an ninh (security update) mới cho các hệ điều hành Windows XP, Windows 8,
và Windows Server 2003, cho dù các hệ điều hành này từ năm 2014 đã hết thời hạn
được hỗ trợ kỹ thuật. Riêng các hệ điều hành Windows Vista, Windows 7 và
Windows 8.1 đã được Microsoft cập nhật vá lỗ hổng EternalBlue hồi tháng 3-2017.
Ông Brad Smith
Ông Brad Smith, người đứng đầu về lĩnh vực luật pháp của Microsoft
nói rằng: “Từ cuộc tấn công này, chúng ta nên có một quyết tâm cấp thiết để có
một hành động chung của tất cả mọi người. Chúng ta cần đội ngũ kỹ thuật, khách
hàng và chính phủ cùng làm việc để bảo vệ chống lại các cuộc tấn công không
gian mạng. Chúng ta cần có nhiều hành động hơn và cần hành động ngay. Cuộc tấn
công WannaCrypt vừa qua là một lời cảnh báo giúp thức tỉnh tất cả chúng ta.
Chúng tôi nhận ra trách nhiệm của mình và Microsoft cam kết sẽ là một phần giúp
chống lại các cuộc tấn công mạng trong tương lai.”
Phạm Hoài Nhân
LĐĐN - 22/05/2017
Không có nhận xét nào:
Đăng nhận xét