Phía sau 'ngành công nghiệp' mã độc tống tiền trị giá tỷ đô
Điều này không bất ngờ nếu nhìn vào thực trạng của cuộc chiến chống ransomware (mã độc tống tiền). Theo TechCrunch, năm ngoái, tin tặc liên tục thay đổi chiến thuật, khéo léo và quyết liệt hơn trong việc buộc nạn nhân phải trả khoản tiền chuộc ngày càng cao ngất ngưởng.
Sự gia tăng của chiến thuật này, cùng với việc các chính phủ vẫn chưa đưa ra lệnh cấm trả tiền chuộc, đã biến 2023 thành năm béo bở nhất từ trước đến nay của giới tống tiền mạng.
Theo dữ liệu mới từ công ty khởi nghiệp chuyên phân tích blockchain Chainalysis, số tiền chuộc ransomware được biết đến đã tăng gần gấp đôi trong năm 2023, vượt qua mốc 1 tỷ USD, đánh dấu sự "trở lại mạnh mẽ" của ransomware.
Đây là con số cao nhất từng được ghi nhận, gần gấp đôi số tiền chuộc được theo dõi trong năm 2022. Tuy nhiên, Chainalysis cho biết con số thực tế có thể cao hơn nhiều so với 1,1 tỷ USD tiền chuộc mà họ đã chứng kiến cho đến nay.
Năm 2023 bội thu của đội tống tiền bằng mã độc. (Đồ hoạ: TechCruch).
Mặc dù 2023 là một năm "nở rộ" đối với các nhóm tống tiền mạng, nhưng có một tia sáng hy vọng: Các chuyên gia theo dõi hoạt động tấn công mạng đã ghi nhận sự sụt giảm trong việc trả tiền chuộc vào cuối năm.
Sự sụt giảm là kết quả của việc cải thiện phòng thủ mạng và khả năng khôi phục dữ liệu, đi kèm với nhận thức ngày càng tăng khi hầu hết các nạn nhân không tin tin tặc sẽ giữ lời hứa hoặc xóa dữ liệu bị đánh cắp như chúng tuyên bố.
Mặc dù ngày càng nhiều nạn nhân từ chối móc hầu bao cho tin tặc, các băng nhóm ransomware tìm cách khắc phục việc sụt giảm nguồn thu bằng cách gia tăng số lượng nạn nhân bị tấn công.
Ví dụ điển hình là chiến dịch MOVEit. Vụ tấn công khổng lồ này chứng kiến nhóm ransomware Clop nổi tiếng có liên hệ với Nga khai thác hàng loạt lỗ hổng chưa từng thấy trong phần mềm chuyển dữ liệu MOVEit Transfer được sử dụng rộng rãi để đánh cắp dữ liệu từ hệ thống của hơn 2.700 tổ chức nạn nhân. Nhiều nạn nhân được biết đã trả tiền cho nhóm tấn công để ngăn chặn việc công khai dữ liệu nhạy cảm.
Mặc dù không thể biết chính xác số tiền chiến dịch tấn công hàng loạt này mang lại cho nhóm ransomware, Chainalysis cho biết trong báo cáo của mình rằng chiến dịch MOVEit của Clop đã thu về hơn 100 triệu USD tiền chuộc, chiếm gần một nửa tổng giá trị ransomware nhận được vào tháng 6 và tháng 7/2023 - thời kỳ đỉnh cao của chiến dịch tấn công này.
MOVEit không phải là chiến dịch kiếm tiền duy nhất của năm 2023.
Vào tháng 9, gã khổng lồ sòng bạc và giải trí Caesars đã trả khoảng 15 triệu USD cho tin tặc để ngăn chặn việc tiết lộ dữ liệu khách hàng bị đánh cắp trong một cuộc tấn công mạng vào tháng 8.
Khoản thanh toán trị giá hàng triệu đô la này có lẽ cho thấy lý do tại sao các ransomware tiếp tục kiếm được nhiều tiền như vậy: Vụ tấn công Caesars gần như không được lên báo, trong khi vụ tấn công tiếp theo vào gã khổng lồ khách sạn MGM Resorts khiến công ty này thiệt hại 100 triệu USD để phục hồi, đã được nhắc tên trên truyền thông trong nhiều tuần.
Việc MGM từ chối trả tiền chuộc đã dẫn đến việc tin tặc công bố dữ liệu nhạy cảm của khách hàng MGM, bao gồm tên, số an sinh xã hội và chi tiết hộ chiếu. Caesars dường như không bị ảnh hưởng nhiều, ngay cả khi chính công ty thừa nhận không thể đảm bảo rằng nhóm ransomware sẽ xóa dữ liệu bị đánh cắp.
Đối với nhiều tổ chức, như Caesars, việc trả tiền chuộc dường như là lựa chọn dễ dàng nhất để tránh khủng hoảng quan hệ công chúng. Tuy nhiên, khi nguồn thu từ tiền chuộc giảm sút, các băng nhóm tống tiền mạng đang nâng cao mức độ đe dọa và sử dụng các chiến thuật leo thang nguy hiểm.
Ví dụ, vào tháng 12, tin tặc được cho là đã cố gắng ép một bệnh viện ung thư trả tiền chuộc bằng cách đe dọa "swat" (gọi điện báo giả về các tình huống khẩn cấp để huy động lực lượng an ninh đến địa điểm bịa đặt) các bệnh nhân của bệnh viện.
Các vụ swat thường dựa vào những kẻ gọi điện ác ý, báo cáo sai sự thật về mối đe dọa có nguy cơ đến tính mạng trong thế giới thực, dẫn đến việc cảnh sát phải phản ứng.
Chúng ta cũng thấy băng nhóm ransomware khét tiếng Alphv (còn được gọi là BlackCat) dùng quy định tiết lộ vi phạm dữ liệu mới của chính phủ Mỹ để o ép MeridianLink, một trong nhiều nạn nhân của chúng. Alphv cáo buộc MeridianLink không công khai "một vụ vi phạm nghiêm trọng ảnh hưởng đến dữ liệu khách hàng và thông tin hoạt động", mà băng nhóm này nhận trách nhiệm.
Những hành động này cho thấy các băng nhóm tống tiền mạng đang ngày càng trở nên liều lĩnh. Chúng sẽ không ngại nhắm vào các mục tiêu dễ bị tổn thương, chẳng hạn như bệnh viện, và sử dụng các chiến thuật gây sốc để đạt được mục đích.
Một lý do khác khiến tống tiền mạng vẫn béo bở là vì ngoài khuyến cáo không nên trả, thực tế không có gì ngăn cản các tổ chức chi tiền, trừ khi tin tặc bị trừng phạt.
Trả hay không trả tiền chuộc là một chủ đề gây tranh cãi.
Công ty xử lý ransomware Coveware cho rằng nếu Mỹ hoặc bất kỳ quốc gia nào bị tấn công nhiều áp dụng lệnh cấm thanh toán tiền chuộc, các công ty có thể sẽ ngừng báo cáo các sự cố này với chính quyền, phá vỡ sự hợp tác trước đó giữa nạn nhân và cơ quan thực thi pháp luật. Công ty này cũng dự đoán rằng lệnh cấm thanh toán tiền chuộc sẽ dẫn đến việc thành lập một thị trường bất hợp pháp lớn để thúc đẩy thanh toán ransomware.
Tuy nhiên, một số người khác lại tin rằng lệnh cấm toàn diện là cách duy nhất để đảm bảo tin tặc ransomware không thể tiếp tục làm giàu, ít nhất là trong ngắn hạn.
Allan Liska, nhà phân tích tình báo mối đe dọa tại Recorded Future, từ lâu đã phản đối việc cấm thanh toán tiền chuộc. Nhưng giờ đây ông tin rằng miễn là việc thanh toán tiền chuộc vẫn hợp pháp, tội phạm mạng sẽ làm mọi cách để thu tiền.
"Tôi đã chống lại ý tưởng cấm hoàn toàn việc thanh toán tiền chuộc trong nhiều năm, nhưng tôi nghĩ điều đó phải thay đổi," Liska nói với TechCrunch. "Ransomware đang trở nên tồi tệ hơn, không chỉ về số lượng tấn công mà còn về tính chất hung hãn của các cuộc tấn công và các nhóm đứng sau chúng."
"Việc cấm thanh toán tiền chuộc sẽ rất đau đớn và, nếu lịch sử là kim chỉ nam, có thể sẽ dẫn đến sự gia tăng ngắn hạn các cuộc tấn công ransomware, nhưng có vẻ như đây là giải pháp duy nhất có cơ hội thành công lâu dài tại thời điểm này," Liska nói.
Mặc dù nhiều nạn nhân đang nhận ra rằng việc trả tiền cho tin tặc không thể đảm bảo an toàn cho dữ liệu của họ, nhưng rõ ràng là những tội phạm mạng vì mục đích tài chính này sẽ không sớm từ bỏ lối sống xa hoa của họ. Cho đến lúc đó, các cuộc tấn công ransomware sẽ vẫn là một hoạt động kiếm tiền lớn cho những kẻ tấn công.
