Năm 2017 chứng kiến sự tăng giá chóng mặt của các đồng tiền ảo, tạo cơn sốt trên toàn cầu. Điều này cũng đã thúc đẩy hacker gia tăng mạng mẽ các hình thức tấn công nhằm biến máy tính người dùng thành công cụ đào tiền ảo. Hiện có 2 hình thức tấn công phổ biến nhất được hacker sử dụng là khai thác lỗ hổng website và lợi dụng mạng xã hội để phát tán virus.

Hacker thường chọn các website có nhiều người sử dụng để tấn công và cài mã độc có chức năng đào tiền ảo lên đó. Khi người dùng truy cập vào các website này, mã độc sẽ được kích hoạt. Với hơn 40% website tại Việt Nam tồn tại lỗ hổng có thể bị xâm nhập, khai thác, đây sẽ là đích nhắm của hacker trong việc phát tán mã độc đào tiền ảo.

Với hình thức thứ hai là hacker phát tán virus đào tiền ảo thông qua mạng xã hội. Sau khi lây nhiễm, mã độc sẽ âm thầm sử dụng tài nguyên của máy nạn nhân để chạy các chương trình đào tiền. Gần đây nhất, mã độc lây qua Facebook bùng phát từ ngày 19/12 và làm “náo loạn” Internet tại Việt Nam.

Ông Vũ Ngọc Sơn – Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav nhận định: “Động cơ của hacker rất rõ ràng: lây nhiễm virus vào các máy tính nhiều nhất có thể để phục vụ mục đích đào tiền ảo. Nguy hiểm hơn, mã độc còn cài sẵn chức năng lấy cắp mật khẩu Facebook”.

Ban đầu virus này phát tán qua Facebook Messenger, núp bóng dưới dạng một video giả mạo. Nếu mở file giả mạo, máy tính sẽ bị nhiễm mã độc, chiếm quyền điều khiển và bị lợi dụng để đào tiền ảo, máy tính của nạn nhân luôn trong tình trạng giật lag và gần như không thể sử dụng.

Không dừng lại đó, hacker đã thêm vào biến thể mới nhất của mã độc khả năng đăng bài lên các Nhóm (Group). Virus sử dụng tài khoản của nạn nhân để đăng video giả mạo chứa mã độc kèm theo nội dung mời gọi như “woow hot video”. Tập tin kèm theo có định dạng tiêu đề sex_video_xxxx.zip, với xxxx là 4 số ngẫu nhiên. Điều này khiến số lượng nạn nhân tăng lên nhanh chóng theo cấp số nhân.

Thống kê từ hệ thống giám sát virus của Bkav cho thấy, cứ 10 phút, hacker lại tung lên mạng một biến thể virus mới nhằm tránh bị phát hiện bởi các phần mềm an ninh. Theo chuyên gia của Bkav, đã có hơn 41.000 máy tính tại Việt Nam nhiễm loại mã độc này và đang còn tiếp tục gia tăng mạnh. Trong thời gian tới, hình thức đào tiền ảo bằng cách phát tán virus có xu hướng tiếp tục bùng nổ thông qua Facebook, email, qua lỗ hổng hệ điều hành, USB.

Người dùng được khuyến cáo nên ngay lập tức diệt virus và đổi mật khẩu tài khoản Facebook. Cảnh giác khi nhận được file gửi qua Facebook Messenger, file chia sẻ trên Group, tốt nhất nên mở file trong môi trường cách ly an toàn (Safe Run) để tránh bị nhiễm mã độc.

Khi được phát hành lần đầu tiên, mã nguồn mở cho phép bất cứ ai, kể cả các nhà phát triển không có kinh nghiệm, quấy rối nạn nhân với ransomware. Các biến thể dựa trên Hidden Tear đầu tiên, và thậm chí cả các ransomware nguồn mở tương tự như EDA2, không khác xa bản gốc. Tuy nhiên, không có gì ngạc nhiên khi các tác giả ransomware tiếp tục xây dựng mã nguồn đã được phát hành và tạo ra các biến thể cải tiến.

Một ví dụ là ransomware May (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARMAY.A), một phiên bản Hidden Tear gần đây sử dụng mã hóa AES256 và RSA4096. Việc mã hóa thực sự dựa trên mã nguồn Hidden Tear, nhưng thế hệ khóa lại khác. Chỉ cần bạn chọn một tệp tin ngẫu nhiên trong C: \ Program Files \ Internet Explorer thì ransomware May sẽ tự chạy và xáo trộn 128 byte đầu tiên của tệp đó, sau đó sử dụng các byte đã được xáo trộn làm mật khẩu khóa AES.

Để giữ cho hệ thống của nạn nhân chạy trơn tru và ép họ trả tiền chuộc dễ dàng hơn, May tránh mã hóa các tập tin trong các thư mục chứa các chuỗi sau:

• Program Files
• Windows
• Program Data

Ransomware Mooware (được phát hiện dưới dạng RANSOM_HIDDEMEARMOWARE) là một biến thể Hidden Tear khác với mã nguồn gốc. Để khởi động, nó có một thuật toán mã hóa khác nhau từ Hidden Tear, sử dụng mã hóa XOR thay vì AES. Các ransomware mã hóa tập tin trong các thư mục Desktop, Personal, MyMusic, MyPictures và Cookies. Nó cũng kiểm tra kết nối mạng và vô hiệu hóa các công cụ Registry, Task Manager và CMD.

Cách đòi tiền chuộc cũng khá tinh vi, thậm chí “giúp đỡ” các nạn nhân với một loạt các câu hỏi thường gặp đính kèm.

Hình 1. Cách đòi tiền chuộc của Mooware.

Một phiên bản Hidden Tear khác được gọi là ransomware Franzi (được phát hiện bởi Trend Micro dưới dạng RANSOM_HIDDENTEARFRANZI.A) quét phần mềm gỡ lỗi của Microsoft. Cụ thể, nó kiểm tra: Crypto Obfuscator, OLLYDBG, IsDebuggerPresent, và CheckRemoteDebuggerPresent.

Ransomware mới tập trung vào đồ họa và kế hoạch thanh toán

Trend Micro lưu ý rằng TeslaCrypt đã bị xóa sổ vào tháng 5 năm 2016 nhưng sự biến mất đó lại mở ra một kỷ nguyên ransomware mới: Tesla (Trend Micro phát hiện dưới dạng RANSOM_CRYPTEAR.SM). Mặc dù có cùng tên Tesla, Tesla có một số khác biệt rõ rệt với TeslaCrypt cũ, bao gồm một giao diện phức tạp hơn. Nó cũng được viết bằng Microsoft Intermediate Language (MSIL), trong khi TeslaCrypt sử dụng C++.

Hình 2. Biểu tượng ransomware Tesla.

Hình 3. Cách đòi tiền chuộc của Tesla.

Widia (được phát hiện bởi Trend Micro dưới dạng RANSOM_WIDIALOCKER.A) là một ransomware khóa màn hình đang được phát triển, có thể có nguồn gốc từ Romania. Một tính năng của Widia là yêu cầu người sử dụng thanh toán tiền chuộc qua thẻ tín dụng, thay vì thanh toán Bitcoin. Phương thức thanh toán này là một lựa chọn thú vị cho các nhà phát triển bởi vì thẻ tín dụng vốn được sử dụng nhiều hơn và sẽ làm cho nạn nhân trả tiền chuộc dễ dàng hơn. Thẻ tín dụng giao dịch cũng dễ dàng truy vấn chứ không rắc rối như Bitcoin.

Trong khi đó, BlueHowl (được phát hiện bởi Trend Micro dưới dạng RANSOM_BLUEHOWL) là một ransomware khóa màn hình mới có âm thanh đính kèm và video nhúng của The Final Countdown nhằm đe doạ nạn nhân. Đối với thanh toán, nó có tùy chọn Bitcoin thông thường nhưng lại có thêm mã QR để tạo thuận lợi cho việc thanh toán.

Hình 4. BlueHowl sử dụng mã QR để thanh toán.

Bọn hacker sáng tạo ransomware đang tìm kiếm những cách mới để thu tiền chuộc từ nạn nhân bằng cách tạo ra các giao diện tốt hơn hoặc cung cấp các lựa chọn thanh toán được sử dụng rộng rãi. Khi ransomware tiếp tục lan rộng và phát triển, người dùng phải luôn cảnh giác và đảm bảo an toàn được ưu tiên.

Như Quỳnh (Theo Trend Micro)