Phần mềm độc hại (malware) là một thuật ngữ không còn xa lạ trong thế giới hiện đại ngày nay, đây có thể được gọi là một công cụ kiếm tiền của các hacker. Vậy cơ chế kiềm tiền của loại phần mềm này là gì? Vì sao nó có thể đem số tiền lên tới hàng trăm triệu, hàng tỷ USD cho các tổ chức tội phạm công nghệ?
VnReview lược dịch bài viết của tác giả Gavin Phillips, trang Makeuseof về cách mà một phần mềm độc hại sinh ra lợi nhuận.
Bạn đã bao giờ tự đặt câu hỏi trong đầu mình rằng các phần mềm độc hại sinh lợi như thế nào không? Chắc hẳn nếu nó không mang lại một số tiền lớn thì đã không có nhiều tổ chức tin tặc, lừa đảo qua mạng ra đời. Nhưng đến nay, việc xác định được mức lợi nhuận của một cuộc tấn công sử dụng phần mềm độc hại vẫn là điều khó khăn đối với các nhà nghiên cứu bảo mật vì tổ chức tin tặc không chỉ thành thạo công nghệ cao, có nhiều thủ đoạn tinh vi mà còn giấu danh tính rất kỹ.;
Phần mềm độc hại kiếm tiền như thế nào?
Câu hỏi liên quan đến vấn đề sinh lợi của các phần mềm độc hại thường nằm trong những câu hỏi tìm kiếm phổ biến trong giới công nghệ. Nếu ai đó đang dành thời gian để phát triển và hoàn thiện một phần mềm độc lại, liệu người này sẽ kiếm được bao nhiêu tiền khi phát hành nó? Trên thực tế, chưa có một đáp án chính xác cho câu hỏi này.
Tuy nhiên, trong một báo cáo được công bố bởi công ty an ninh mạng Intezer đã cung cấp một cái nhìn chi tiết về hoạt động nội bộ, doanh thu cũng như lợi nhuận mà một chiến sử dụng dịch phần mềm độc hại có tên là cryptojacking tạo ra.
Chiến dịch cryptojacking có thể sinh lời?
Cụ thể, phần mềm độc hại cryptojacking được thiết kế để chiếm quyền điều khiển máy tính và kiếm tiền từ phần cứng của bạn. Khi bạn mở một trang web, cryptojacking có thể sử dụng CPU ở mức tối đa để đào tiền điện tử (cryptocurrency) và hiện nó đang ngày càng trở nên phổ biến.
Phần mềm độc hại cryptojacking là một chương trình chạy ngầm. Hầu hết các nạn nhân bị tấn công đều không nhận thấy bất cứ điều gì bất thường với máy tính của mình cho đến khi các quạt tản nhiệt của máy tính tăng công suất hoạt động liên tục và các thao tác xử lý trên máy tính của bạn bắt đầu trở nên chậm chạp lạ thường.
Trong báo cáo của Intezer đề cập đến một chiến dịch sử dụng cryptojacking để đào tiền điện tử với mục tiêu là các máy tính Linux. Chiến dịch này đã hoạt động trong khoảng một năm trước khi Intezer xuất bản báo cáo vào tháng 1/2021.
Khi thực hiện báo cáo, điều khiến nhiều người trông tổ nghiên cứu của Intezer cảm thấy ngạc nhiên chính là độ chỉnh chu và hoàn thiện của hệ thống phần mềm độc hại cấp sẵn cho người dùng. Có thể nói, nó đưa ra nhiều thông tin phân tích sâu rộng, thống kê đầy đủ các dữ liệu về chiến dịch tấn công tiền điện tử gồm số tiền thu nhập hàng ngày, tỷ lệ băm (Hashrate), chi tiết hoạt động khai thác… Tuy nhiên, giới chuyên gia nhận định rằng với trình độ của các nhóm tội phạm công nghệ hiện nay, chưa kể có nhiều thành phần cá biệt thì việc tạo ra các phần mềm độc hại như vậy không còn là chuyện không hiếm gặp.
Dùng cryptojacking để khai thác Monero
Trong báo cáo, chiến dịch cryptojacking đang chạy hai ví và cả hai đều đang tích lũy một số lượng đáng kể tiền điện tử, dấu hiệu cho thấy rằng phần mềm độc hại vẫn hoạt động. Tiền điện tử được đào là Monero (XMR), một loại tiền tệ mã hóa phân cấp tương tự như Bitcoin. Từ "monero" được lấy từ ngôn ngữ Esperanto và có nghĩa là "tiền tệ" hay "đồng xu".
Cụ thể, một ví đã tích lũy được khoảng 32 XMR, tương đương khoảng 5.200 USD tại thời điểm viết bài trong khi ví còn lại chứa khoảng 30 XMR, tương đương gần 4.800 USD. Vì vậy, trong khoảng 12 tháng hoạt động, bảng số liệu của phần mềm độc hại mà nhóm Intezer có quyền truy cập đã thống kê số tiền thu được cũng gần 10.000 USD.
Dĩ nhiên, đây không phải còn số hoàn toàn chính xác vì nó còn phụ thuộc vào một số yếu tố khác. Trong đó, điển hình phải kể đến đó là giá trị lên xuống không ổn định của tiền điện tử. Phần mềm độc hại Cryptojacking thường sử dụng Monero vì loại tiền này tập trung rất mạnh vào quyền riêng tư và người khác khó có thể truy cập được. Vào tháng 4/2020, 1 XMR có giá trị chỉ khoảng 40 đô la, thấp hơn rất nhiều so với giá trị hiện tại.
Ransomware có đem về lợi nhuận không?
Báo cáo chiến dịch tiền điện tử Intezer chỉ là một minh họa để mọi người có cái nhìn tổng quan về cách phần mềm độc hại hái ra tiền. Trên thực tế, có vô số hoạt động phần mềm độc hại đang diễn ra trên toàn thế giới, tất cả đều tìm cách thu lợi theo một số cách nhất định. Báo cáo về chiến dịch cryptojacking đã kích thích sự tò mò của nhiều người về phương thức thu lợi nhuận của nhiều phần độc hại nổi tiếng trong thế kỷ 21 và nổi bật trong số đó là ransomware.
Mã độc tống tiền hay ransomware bao gồm nhiều lớp phần mềm ác ý với chức năng hạn chế truy cập đến hệ thống máy tính mà nó đã lây nhiễm, và đòi hỏi một khoản tiền cho người đã tạo ra malware đó nhằm mục đích xóa bỏ việc hạn chế truy cập mà nó đã tạo ra trước đó. Theo EMSISOFT, số tiền chuộc trung bình mà mỗi nạn nhân bị tống tiền bởi tin tặc sử dụng ransomware rơi vào khoảng 84.000 USD. Chỉ khi nạn nhân nộp đủ số tiền yêu cầu thì họ mới được cung cấp khóa giải mã hay công cụ giải mã để mở khóa dữ liệu. Nếu không, họ sẽ mất quyền truy cập vào hệ thống máy tính vĩnh viễn.
Trang EMSISOFT còn tiết lộ rằng có khoảng 33% cá nhân và tổ chức chịu thực hiện chuyển tiền theo yêu cầu khi bị ransomware tấn công. Đối với họ, việc mất dữ liệu gây ra nhiều ảnh hưởng rất nghiêm trọng cho nên họ sẵn sàng chấp thuận trả tiền để lấy lại quyền truy cập. Theo thống kê hàng năm, các doanh nghiệp cùng nhiều tổ chức đã phải trả cho bọn tội phạm công nghệ số tiền lên đến hàng triệu USD để mở khóa dữ liệu. Đặc biệt, địa vị và sức ảnh hưởng của công ty đó trên thế giới cũng tạo ra sự khác biệt về số tiền chuộc. Một báo cáo chỉ ra rằng 66% các doanh nghiệp Ấn Độ phải trả tiền chuộc cho tội phạm ransomware hàng năm trong khi Mỹ chỉ ở mức 25%.
Phần mềm độc hại ăn cắp tiền điện tử
Bên cạnh phần mềm cryptojacking dùng để đánh cắp ví tiền điện tử mà chúng tôi đã đề cập thì còn một số phần mềm cũng có chức năng tương tự. Khi giá của đồng Bitcoin tăng mạnh, số lượng phần mềm độc hại đánh cắp tiền điện tử cũng tăng với tốc độ tương tự. Chỉ cần nhập dòng tìm kiếm "phần mềm độc hại ăn cắp tiền điện tử" thì bạn sẽ thấy một loạt cảnh báo cũng như tên phần mềm độc hại xuất hiện. Mục đích duy nhất của những loại phần mềm độc kiểu này là đánh cắp tiền điện tử và chúng thực hiện bằng cách đánh cắp khóa mã hóa riêng được sử dụng để bảo mật ví tiền điện tử.
Đến nay, chưa có một con số chính xác về lượng tiền điện tử bị các phần mềm độc hại đánh cắp mấy năm qua. Vào giữa năm 2019, báo cáo của CipherTrace ước tính rằng giá trị tiền điện tử bị đánh cắp từ tháng 1 đến tháng 8 rơi vào khoảng 4 tỷ USD. Trong đó, các sàn giao dịch tiền điện tử có giá trị cao luôn là mục tiêu hàng đầu của bọn tội phạm và đây cũng là nơi thường xuyên chịu nhiều tổn nhất. Chẳng hạn như Bitfinex, một sàn giao dịch lớn, chiếm tới 851 triệu USD tiền mã hóa bị đánh cắp trong tổng số 4 tỷ USD.
Hệ sinh thái phần mềm độc hại
Phần mềm độc hại là một cụm đại diện cho tất cả các thực thể tấn công máy tính. Hệ sinh thái phần mềm độc hại bao gồm nhiều loại và mỗi loại có một cơ chế xâm nhập vào hệ thống khác nhau. Dưới đây là danh sách các phần mềm độc hại đang phổ biến hiện nay:
Ransomware: Như đã nói, đây là phần mềm mà kẻ tấn công dùng để chiếm quyền truy cập máy tính của bạn và yêu cầu bạn nộp tiền chuộc nếu muốn mở khóa máy.
Đánh cắp dữ liệu: Kẻ tấn công đánh cắp được một lượng lớn dữ liệu từ một cá nhân hay tổ chức nào đó và bán quyền truy cập dữ liệu cho ai trả giá cao nhất hoặc sẽ chia theo một tỷ lệ cố định. Ngoài ra, bọn tội phạm còn dùng cách thức tống tiền nạn nhân bị đánh cắp dữ liệu để kiếm lợi nhuận.
Đánh cắp thông tin đăng nhập: Đây có thể gọi một nhánh mở rộng của các dữ liệu bị đánh cắp. Những kẻ tấn công thường bán thông tin đăng nhập của các loại tài khoản như PayPal, Smartbanking, Instagram…
Pay-per-Click: Hacker sẽ tấn công vào máy tính nạn nhân và bắt đầu điều khiển lưu lượng truy cập internet của người này. Hình thức quảng cáo pay-per-click chỉ tính tiền khi có người click vào quảng cáo. Do đó, hắn sẽ nhấp vào các quảng cáo độc hại từ chính trang web của máy nạn nhân và những quảng cáo này là do tổ chức của hacker này phát hành, mỗi cú click như vậy sẽ đem về lợi nhuận cho nhóm tội phạm.
Phần mềm giả mạo/ Quảng cáo pop-up: Phần mềm giả mạo, đặc biệt là các chương trình chống virus, là một nguồn thu nhập phổ biến của các nhóm hacker. Khi lướt web, nạn nhân thấy một pop-up hiện lên với nội dung nói rằng "Máy bạn đã bị nhiễm virus và cách duy nhất để xóa nó là mua phần mềm chống virus này". Đây là một trong những hình thức phổ biến của việc tấn công bằng quảng cáo pop-up và lừa đảo tải phần mềm giả mạo. Thực chất, khi nhấp vào các quảng cáo này, có vô số các vấn đề xảy ra với bạn như máy tính sẽ bị nhiễm virus, lừa tiền, mất thông tin cá nhân…
Chí Tôn