Theo báo cáo của một nhóm các nhà nghiên cứu trực thuộc Google, hãng bảo mật Chainalysis, trường đại học San Diego và trường đại học kỹ thuật New York Tandon School, các nạn nhân của mã độc Ransomware đã phải trả hơn 25 triệu USD tiền chuộc trong vòng hai năm qua.
Bằng cách theo dõi các khoản thanh toán qua blockchain và so sánh chúng với các mẫu đã biết, các nhà nghiên cứu đã có thể xây dựng nên một bức tranh toàn diện về hệ sinh thái Ransomware.
Mã độc Ransomware đã trở thành một mối đe dọa gần như không thể tránh khỏi trong những năm gần đây. Khi một hệ thống nhiễm phải mã độc Ransomware, tất cả các tệp tin trên máy tính người dùng đều bị mã hóa.
Lúc này chủ nhân của mã độc sẽ đưa ra một thông điệp yêu cần nạn nhân phải nộp tiền cho chúng để có thể lấy lại những dữ liệu của mình. Đây là phong cách tấn công khá phổ biến của bọn tội phạm mạng.
Các nhà nghiên cứu đã theo dõi 34 chủng mã độc khác nhau của Ransomware. Trong số này có một vài chủng nổi bật với số tiền khổng lồ mà chúng kiếm được. Kết quả cho thấy chủng mã độc có tên gọi Locky chính là zero patient hay chủng nguyên thủy tạo nên loại mã độc này. Nó đã đem lại cho chủ nhân số tiền 7 triệu USD kể từ khi xuất hiện vào năm 2016.
Locky cũng chính là chủng mã độc Ransomware đầu tiên giữ được việc thanh toán và mã hóa cơ sở dữ liệu của nạn nhân một cách riêng rẽ. Chính điều đó đã giúp cho loại mã độc này có thể lan rộng và xa hơn so với các đối thủ cạnh tranh.
Giáo sư Damon McCoy của trường đại học New York, một trong những người có công phát triển dự án nói rằng: “Lợi thế của Locky là nó tách riêng được việc duy trì tiền chuộc với bộ phận đóng vai trò lây nhiễm vào trong hệ thống. Locky chỉ tập trung xây dựng cơ sở hạ tầng cho các malware và hỗ trợ chúng. Sau đó các botnet khác sẽ đảm nhận công việc lây lan của mã độc. Điều này giúp nó có nhiều lợi thế hơn trong việc kiếm tiền”.
Với các chủng khác như Cerber và CryptXXX, chúng kiếm được lần lượt 6,9 và 1,9 triệu USD tiền chuộc. Con số này phản ánh tổng số tiền mà các nạn nhân phải trả. Chúng chưa chắc là tổng số tiền nhận được của người đã tạo ra mã độc ban đầu.
Nghiên cứu cũng chỉ ra rằng người tạo ra đoạn mã ngày càng khôn khéo hơn trong việc tránh các phần mềm diệt virus. Khi mã độc đã bị nhận diện, các phần mềm diệt virus thường tìm chúng thông qua một tương hợp nhị phân (matching binaries).
Tuy nhiên loại mã độc Ransomware có thể tự động thay đổi hệ nhị phân của chúng để tạo ra một chủng mới khi mà chủng cũ đã bị phát hiệ và ngăn chặn. Chính vì điều này mà các nhà nghiên cứu đã tìm ra hàng nghìn mã độc mới mỗi tháng liên quan đến Cerber Ransomware.
Tuấn Nghĩa - Trần Duy Tiến - Trần Thanh Thủy (Theo The Verge)