Trước đó vào năm 2006, Archiveus là ransomware đầu tiên dùng thuật toán RSA, ảnh hưởng các file trong thư mục “My Documents”. Nếu nạn nhân trả tiền, kẻ xấu sẽ cung cấp mật khẩu dài 30 ký tự để giải mã.
Dù thuật toán bảo mật phức tạp, mật khẩu của Archiveus được tìm thấy trong mã nguồn vào tháng 5/2006.
Tương tự, trước khi GPcode chuyển sang thuật toán RSA, các file có thể khôi phục mà không cần mật khẩu. Do đó, hacker giai đoạn này thường dùng thủ đoạn tấn công khác.
Năm 2009, virus Vundo xuất hiện, khai thác lỗ hổng plug-in trình duyệt viết bằng Java, hoặc tự tải xuống nếu người dùng nhấn vào file độc hại trong email. Sau khi cài đặt, Vundo tấn công, ngăn chặn các phần mềm bảo mật như Windows Defender, Malwarebytes...
Ít lâu sau, trojan WinLock xuất hiện vào năm 2010. 10 tội phạm mạng tại Moscow (Nga) sử dụng phần mềm này để khóa máy tính, hiển thị nội dung khiêu dâm đến khi nạn nhân trả số tiền tương đương 10 USD. Nhóm tin tặc này bị bắt vào tháng 8 cùng năm, sau khi thu về khoảng 16 triệu USD.
Hình ảnh khiêu dâm kèm thông báo mã hóa dữ liệu bởi virus WinLock. Ảnh: KnowBe4
Năm 2012, một ransomware xuất hiện có tên Reveton. Sau khi lây nhiễm, phần mềm hiện thông báo mạo danh Cục Điều tra Liên bang Mỹ (FBI) phát hiện nạn nhân xem phim khiêu dâm, đe dọa truy tố nếu không trả tiền.
Một biến thể của Reveton cũng xuất hiện trên máy tính Mac dù không mã hóa file. Thay vào đó, trojan chuyển hướng tất cả website đến trang giả danh FBI, yêu cầu nạn nhân trả tiền để duyệt web như bình thường.
Khi nhiều biến thể ransomware xuất hiện, số vụ tấn công tống tiền ghi nhận trong năm 2012 tăng gần 4 lần so với 2011.
Bắt đầu bùng nổ
Tháng 9/2013, xuất hiện ransomware có tên CryptoLocker. Đây là mã độc tống tiền đầu tiên có thể phát tán qua botnet Gameover Zeus, bên cạnh các thủ đoạn truyền thống như email lừa đảo.
Sau khi kết nối máy chủ, phần mềm tải một gói file nhỏ để tạo mã khóa công khai, từ đó mã hóa tài liệu, hình ảnh và các file khác trên máy tính trước khi hiện thông báo đòi tiền.
Tin tặc yêu cầu nạn nhân trả 400 USD qua thẻ tín dụng hoặc Bitcoin. Trong nghiên cứu của Đại học Kent, 41% nạn nhân đồng ý trả tiền. Theo dõi 4 địa chỉ ví Bitcoin được nạn nhân cung cấp, giá trị các giao dịch lên đến 27 triệu USD.
Do sử dụng thuật toán mã hóa RSA 2048-bit, CryptoLocker rất khó bẻ khóa. Phải đến khi botnet Gameover Zeus bị triệt phá vào 2014, ransomware này mới ngừng lây lan.
Thông báo đòi tiền chuộc của CryptoLocker. Ảnh: Varonis.
Thành công của CryptoLocker khiến ransomware phát triển mạnh. Ra đời vào năm 2014, CryptoWall được mệnh danh là bản kế thừa của CryptoLocker.
Mã độc phần lớn lây lan qua email lừa đảo, trở thành mối nguy lớn suốt nhiều năm. Một số báo cáo cho biết CryptoWall đã gây thiệt hại 325 triệu USD vào năm 2018.
Năm 2014 chứng kiến Oleg Pliss, chiến dịch tống tiền nhắm đến người dùng thiết bị Apple. Tin tặc sử dụng tài khoản Apple bị đánh cắp để khóa iPhone từ xa bằng tính năng Find my iPhone. Để mở khóa, nạn nhân phải chuyển tiền vào tài khoản được chỉ định.
Android cũng hứng chịu đợt tấn công ransomware đầu tiên vào năm 2014 với tên Spyeng. Không chỉ lây nhiễm một thiết bị, phần mềm còn gửi tin nhắn kèm link lây lan đến toàn bộ danh bạ.
Chiến dịch tấn công Oleg Pliss nhắm vào người dùng thiết bị Apple để đòi tiền chuộc. Ảnh: Victorville Daily Press.
Chiến dịch tấn công ransomware đầu tiên trên máy Mac được ghi nhận năm 2016 với tên KeRanger. Đính kèm trong ứng dụng torrent Transmission 2.90, ransomware khóa máy tính của nạn nhân cho đến khi trả 1 Bitcoin (khoảng 400 USD).
Một ransomware khác trên Mac OS có tên Patcher xuất hiện vào tháng 2/2017. Mã độc cũng lây lan qua trình tải file torrent, giả dạng công cụ bẻ khóa phần mềm Office 2016, Adobe CC 2017...
Dù vậy do sai sót trong khâu lập trình, Patcher không thể giải mã dù nạn nhân trả tiền chuộc.
Hình thức tấn công mới
Đến 2016, những biến thể ransomware ngày càng phổ biến, với sự xuất hiện lần đầu của thể loại RaaS (Ransomware-as-a-Service). Trong đó, nhóm viết mã độc bán phần mềm cho hacker dưới dạng dịch vụ để tự phát tán.
Một số RaaS nổi tiếng trong giai đoạn này gồm Ransom32 (ransomware đầu tiên viết bằng JavaScript), shark và Stampado, được bán trên chợ đen với giá 39 USD.
Năm 2016 cũng ghi nhận sự nổi lên của Petya. Ban đầu, ransomware này không thành công như CryptoWall, nhưng một biến thể xuất hiện vào 2017, được Kaspersky đặt tên notPetya lại gây thiệt hại lớn.
Cuộc tấn công bắt đầu từ Ukraine, nhanh chóng lan rộng trên toàn cầu thông qua lỗ hổng EternalBlue trên Windows. Theo Nhà Trắng, notPetya gây thiệt hại khoảng 10 tỷ USD.
Thông báo đòi tiền chuộc của WannaCry. Ảnh: The Guardian.
WannaCry, một trong những ransomware khét tiếng nhất, xuất hiện vào năm 2017. Tương tự notPetya, WannaCry lây lan thông qua lỗ hổng EternalBlue.
Sau khi bùng phát, WannaCry đã lây nhiễm hơn 230.000 máy tính tại 150 quốc gia, gây thiệt hại 4 tỷ USD. Dù Microsoft đã vá lỗ hổng 2 tháng trước khi mã độc lây lan, nhiều người chưa cập nhật hệ thống nên vẫn nhiễm WannaCry.
Thiệt hại bởi WannaCry có thể nghiêm trọng hơn nếu không có sự đóng góp của nhà khoa học máy tính Marcus Hutchin. Dù vậy, anh bị FBI bắt giữ do liên quan đến việc phát tán mã độc khác. Tháng 7/2019, Hutchin được trả tự do.
Những đợt tấn công lớn
Tháng 1/2018 đánh dấu bước ngoặt của ransomware với GandCrab. Ban đầu không có gì đặc biệt, song nhà phát triển liên tục cải tiến mã độc, tích hợp phần mềm đánh cắp thông tin Vidar để tạo ra ransomware vừa đánh cắp, vừa mã hóa dữ liệu.
GandCrab nhanh chóng trở thành RaaS phổ biến, chủng ransomware hoạt động tích cực giai đoạn 2018-2019.
Team Snatch, nhóm tin tặc hợp tác với GandCrab, mở ra xu hướng công bố dữ liệu bị đánh cắp. Một trong những nạn nhân là công ty phần cứng Citycomp, bị công khai dữ liệu trên diễn đàn tội phạm mạng Exploit do không trả tiền.
Dù vậy, GandCrab không còn tiếng tăm khi nhóm phát triển tuyên bố dừng hoạt động vào ngày 1/6/2019. Đến tháng 7 cùng năm, FBI phát hành công cụ giải mã ransomware này.
Thông báo đe dọa công khai dữ liệu của một doanh nghiệp bị tấn công ransomware. Ảnh: Heimdal Security.
Tuy Team Snatch biến mất từ năm 2019, hành động tung dữ liệu lên mạng tạo tiền đề cho ransomware Maze, và các diễn đàn chuyên rò rỉ dữ liệu.
Thủ đoạn này khiến sao lưu dữ liệu không còn quan trọng, bởi ransomware có thể đánh cắp và gửi bản sao file cho tin tặc, nạn nhân không chỉ đơn thuần trả tiền giải mã như trước. Họ có thể trả nhiều tiền hơn để chuộc dữ liệu, đặc biệt nếu chúng nhạy cảm và quan trọng.
Năm 2021, Colonial Pipeline, công ty vận hành đường ống dẫn nhiên liệu tinh luyện lớn nhất Mỹ, bị tấn công ransomware. Sự cố khiến một số đường ống phải ngừng hoạt động.
Joseph Blount, CEO Colonial Pipeline, thừa nhận đã trả nhóm tin tặc 4,4 triệu USD để chuộc dữ liệu.
Tuy Team Snatch biến mất từ năm 2019, hành động tung dữ liệu lên mạng tạo tiền đề cho ransomware Maze, và các diễn đàn chuyên rò rỉ dữ liệu.
Thủ đoạn này khiến sao lưu dữ liệu không còn quan trọng, bởi ransomware có thể đánh cắp và gửi bản sao file cho tin tặc, nạn nhân không chỉ đơn thuần trả tiền giải mã như trước. Họ có thể trả nhiều tiền hơn để chuộc dữ liệu, đặc biệt nếu chúng nhạy cảm và quan trọng.
Năm 2021, Colonial Pipeline, công ty vận hành đường ống dẫn nhiên liệu tinh luyện lớn nhất Mỹ, bị tấn công ransomware. Sự cố khiến một số đường ống phải ngừng hoạt động.
Joseph Blount, CEO Colonial Pipeline, thừa nhận đã trả nhóm tin tặc 4,4 triệu USD để chuộc dữ liệu.
Hiện tại, ransomware tiếp tục đe dọa các tổ chức trên toàn cầu, gây thiệt hại hàng chục triệu USD mỗi năm.
Sự nổi lên của ransomware cũng gắn với sự phát triển của công nghệ, chẳng hạn như thuật toán mã hóa, Bitcoin hay Tor, có thể vận hành bởi một tổ chức, thay vì chỉ cá nhân hay một nhóm nhỏ hacker như trước.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.