Khám phá ‘chợ đen’ của tội phạm mã độc tống tiền

Ảnh minh họa

Mã độc tống tiền liên tục được nhắc đến trong vài năm gần đây nói về các đe dọa an ninh mạng đáng sợ nhất với các doanh nghiệp. Từ đó, một nhóm các nhà nghiên cứu bảo mật của Hãng Kaspersky đã thâm nhập sâu vào các diễn đàn của "thế giới ngầm" trên mạng và phát hiện nhiều điều thú vị về hệ sinh thái của tội phạm mạng chuyên tấn công bằng mã độc tống tiền.

Theo báo cáo bảo mật vừa công bố của Kaspersky, trái ngược với các quan điểm cho rằng các băng nhóm tống tiền bằng mã độc là các băng nhóm - thực sự gắn kết chặt chẽ với nhau - nhưng chúng lại là nhiều đối tượng khác nhau.

Mỗi đối tượng chuyên về một khâu khác nhau như: phát triển, quản trị bot, bán truy cập, khai thác ransomware… cùng gặp gỡ và "bắt tay" nhau thực hiện chiến dịch tấn công thông qua các web "chợ đen".

Những băng nhóm lớn, nổi tiếng hoạt động theo cách riêng không thường xuyên sử dụng các trang web như vậy. Tuy nhiên, một số nhóm nổi tiếng khác lại thường xuyên đăng tải những lời chào hàng và cập nhật tin tức của chúng ở "chợ đen" bằng cách sử dụng chương trình liên kết. Đây cũng là những nhóm đang gia tăng hoạt động tấn công nhằm vào các tổ chức trong thời gian qua.

Chương trình liên kết này là sự hợp tác giữa đối tượng điều hành nhóm tống tiền bằng mã độc và các đồng phạm để chia sẻ lợi nhuận. Trong đó đối tượng điều hành mã độc tống tiền nhận từ 20-40% lợi nhuận, các đối tượng còn lại nhận về 60-80% lợi nhuận.

Việc lựa chọn những đối tác này là một quá trình tinh vi với các quy tắc cơ bản do đối tượng điều hành mã độc tống tiền đặt ra ngay từ đầu, bao gồm các tiêu chí về vị trí địa lý và thậm chí cả quan điểm chính trị của đối tượng liên kết. Trong khi đó, nạn nhân bị tống tiền bằng mã độc được lựa chọn theo cơ hội.

Các đối tượng buôn bán quyền truy cập - thường là chủ sở hữu mạng botnet, điều hành các chiến dịch lớn và bán sỉ quyền truy cập vào máy của các nạn nhân - bằng hình thức đấu giá hoặc với giá cố định, khởi điểm từ 50 USD.

Một số đối tượng khai thác mã độc tống tiền bán các mẫu mã độc và công cụ phát triển mã với giá từ 300 đến 4.000 USD. Những đối tượng khác cung cấp Ransomware-as-a-Service (cung cấp mã độc tống tiền như một dịch vụ - trong đó mã độc tống tiền sẽ được bán như các gói dịch vụ) và sẽ được các đối tượng phát triển hỗ trợ liên tục, giá thành các gói có thể dao động từ 120 USD mỗi tháng đến 1.900 USD năm.

Craig Jones, giám đốc bộ phận tội phạm mạng - Interpol, nhận định: "Trong hai năm qua, chúng tôi thấy rằng tội phạm mạng đã sử dụng mã độc tống tiền ngày càng táo bạo. Các tổ chức bị tấn công không chỉ là doanh nghiệp và cơ quan chính phủ mà các đối tượng khai thác mã độc phần mềm sẵn sàng tấn công các doanh nghiệp thuộc bất cứ quy mô nào.

Rõ ràng là tống tiền bằng mã độc đã trở thành một ngành công nghiệp phức tạp liên quan đến nhiều đối tượng với nhiều vai trò khác nhau. Để chống lại các đối tượng này, chúng ta cần tìm hiểu về cách thức vận hành của chúng và cùng đoàn kết chống lại chúng".