Bùng nổ các cuộc tấn công ransomware mới nhất đang gây rúng động và tạo ra những đợt cảnh báo trầm trọng về mối đe dọa an ninh mạng. Ransomware – loại phần mềm độc hại , tấn công bằng cách mã hóa dữ liệu quan trọng của các tổ chức và cá nhân, sau đó đòi tiền chuộc đang ngày càng trở nên nguy hiểm và phổ biến hơn bao giờ hết. Trong bối cảnh các cuộc tấn công này đã gây thiệt hại kinh tế hàng tỷ đô la và làm mất đi dữ liệu quan trọng của hàng triệu người, càng ngày càng rõ ràng rằng chúng ta đang đối diện với một mối đe dọa đáng sợ trên không chỉ mạng lưới doanh nghiệp mà còn cả cuộc sống hàng ngày của chúng ta. Trong bài viết này, chúng ta sẽ đi sâu vào các cuộc tấn công ransomware gần đây và nhìn vào những hậu quả nghiêm trọng mà chúng đã gây ra, đồng thời tìm hiểu về các biện pháp bảo vệ và ứng phó hiệu quả để đối phó với tình trạng khẩn cấp này.

Mục lục :

I. Một số cuộc tấn công Ransomware các năm gần đây

II. Top Ransomware tiêu biểu qua từng năm

Nội dung bài viết :

I. Tình hình tổng quan các cuộc tấn công Ransomware các năm gần đây

Một trong những xu hướng đáng chú ý là sự gia tăng về sự chuyên nghiệp của các nhóm tấn công ransomware. Ngày nay, không chỉ có các hacker cá nhân hoạt động một mình mà còn có những nhóm tội phạm tổ chức với cơ cấu rõ ràng và mục tiêu chi tiết. Những nhóm này thường sử dụng các kỹ thuật tinh vi để xâm nhập vào hệ thống, khai thác các lỗ hổng không được vá và phân phối mã độc một cách rộng rãi.

1. Tấn công Ransomware vào năm 2021-2022

Theo nhiều tổ chức hoạt động trong lĩnh vực security đã công bố rằng số lượng tổ chức bị ảnh hưởng bởi ransomware trên toàn cầu đã tăng gấp đôi trong nửa đầu năm 2021 so với năm 2020. Đáng chú ý, các ngành y tế và tiện ích là những ngành bị nhắm đến nhiều nhất kể từ đầu tháng 4 năm 2021.

Sự thành công của hình thức tống tiền kép vào năm 2020 đã rõ ràng, đặc biệt từ khi bùng phát đại dịch Covid-19. Mặc dù không phải tất cả các trường hợp và kết quả đều được báo cáo và công bố, các thống kê thu thập từ năm 2020 đến 2021 minh họa tính quan trọng của phương thức tấn công này. Trong khoảng thời gian này, giá tiền chuộc trung bình đã tăng lên 171%, đạt mức gần 310.000 đô la Mỹ.

Các cuộc tấn công ransomware diễn ra vào cuối năm 2020 và đầu năm 2021 đã chỉ ra một chuỗi tấn công mới – một cách tiếp cận mở rộng đến hình thức tống tiền kép, bao gồm một mối đe dọa bổ sung và độc đáo trong quy trình – một cuộc tấn công tống tiền ba lần (Triple Extortion attack).

Năm 2021 đã chứng kiến một số cuộc tấn công ransomware nổi tiếng bao gồm tấn công vào Microsoft Exchange, mạng lưới của Colonial Pipeline, Thành phố Tulsa, Công ty thịt JBS Meat và Fujifilm.

Nhìn chung, sự phát triển và tăng cường của các cuộc tấn công ransomware trong năm 2020 và nửa đầu năm 2021 đã tạo ra một thách thức đáng kể trong việc bảo vệ an ninh mạng và đòi hỏi sự tập trung cao đối với việc nâng cao khả năng phòng ngừa và ứng phó của tổ chức và cá nhân trước mối đe dọa ngày càng phức tạp này.

2. Tấn công Ransomware vào năm 2020

Vào cuối năm 2019 và đầu năm 2020, đã xuất hiện một xu hướng mới trong các cuộc tấn công ransomware. Thay vì chỉ giới hạn việc mã hóa các tập tin của nạn nhân, các tác giả ransomware bắt đầu lấy cắp dữ liệu nhạy cảm từ các mục tiêu của họ. Các biến thể ransomware có tính năng lấy cắp dữ liệu người dùng bao gồm Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet và Snatch.

Điều này đã xuất hiện như một phản ứng khi các tổ chức từ chối thanh toán tiền chuộc sau khi bị nhiễm ransomware. Mặc dù chi phí khắc phục hậu quả của một cuộc tấn công ransomware thường cao hơn số tiền tiền chuộc được yêu cầu, nhưng thực tế tốt nhất là không nên trả tiền chuộc, vì điều này sẽ giúp cho các tội phạm mạng tiếp tục hoạt động và tiến hành thêm các cuộc tấn công.

Bằng cách lấy cắp dữ liệu từ các máy tính bị nhiễm trước khi mã hóa, các tác nhân ransomware có thể đe dọa tiết lộ dữ liệu này nếu nạn nhân không đồng ý trả tiền chuộc. Tùy thuộc vào loại dữ liệu được thu thập và tiết lộ, điều này có thể làm cho một tổ chức mất đi lợi thế cạnh tranh trên thị trường hoặc vi phạm các quy định về bảo vệ dữ liệu, chẳng hạn như Quy chế bảo vệ dữ liệu chung (GDPR).

3. Tấn công Ransomware vào năm 2019

Năm 2019 trở nên nổi tiếng với việc các tác nhân ransomware tập trung vào các tổ chức quan trọng. Trong ba quý đầu năm 2019, hơn 621 bệnh viện, trường học và thành phố tại Hoa Kỳ đã trở thành nạn nhân của các cuộc tấn công ransomware do Ryuk và các biến thể ransomware khác gây ra. Những cuộc tấn công này được ước tính có giá trị hàng trăm triệu đô la và dẫn đến tình trạng các thành phố không thể cung cấp dịch vụ cho cư dân, và các bệnh viện phải hủy bỏ các ca phẫu thuật không cần thiết để cung cấp chăm sóc cấp cứu cho bệnh nhân.

Phương pháp mới này của ransomware đã khai thác sự quan trọng của các dịch vụ mà những tổ chức này cung cấp. Khác với một số doanh nghiệp có thể chịu đựng hoạt động suy giảm trong quá trình phục hồi sau một cuộc tấn công, các thành phố, trường học và bệnh viện cần phục hồi hoạt động nhanh chóng và thường có truy cập vào quỹ khẩn cấp. Kết quả là, các cuộc tấn công ransomware nhắm vào những tổ chức này thường thành công và vẫn tiếp diễn cho đến ngày nay.

II. Top Ransomware tiêu biểu qua từng năm

1. GandCrab – năm 2018

Vào năm 2018, một trong những ransomware hoạt động mạnh nhất và tạo ra những cuộc tấn công rộng lớn là GandCrab. GandCrab xuất hiện vào đầu năm 2018 và nhanh chóng trở thành một trong những mối đe dọa chính trong cộng đồng an ninh mạng.

Phạm vi tấn công: GandCrab nhắm vào cả người dùng cá nhân và tổ chức doanh nghiệp. Nó lây nhiễm thông qua các tập tin đính kèm email, các trang web bị nhiễm mã độc hoặc các lỗ hổng bảo mật trên hệ thống.

Tiêu chuẩn chuộc tiền: GandCrab sử dụng mã hóa RSA và AES mạnh mẽ để mã hóa dữ liệu của nạn nhân. Sau khi mã hóa, nó đòi tiền chuộc theo định dạng tiền điện tử, chẳng hạn như Bitcoin, để cung cấp khóa giải mã.

Phiên bản và cập nhật: Các phiên bản và biến thể của GandCrab liên tục xuất hiện, cho thấy những nỗ lực không ngừng của tác giả để thay đổi và cải tiến mã độc này, từ đó làm cho việc phát hiện và chống lại nó trở nên khó khăn hơn.

Mô hình kinh doanh RaaS: GandCrab sử dụng mô hình kinh doanh Ransomware-as-a-Service (RaaS), cho phép các tên tội phạm mua mã độc và sử dụng nó trong các cuộc tấn công. Điều này đã giúp lan rộng phạm vi tấn công và làm tăng nguy cơ của nó.

2. Ryuk – năm 2019

Trái ngược với hầu hết các cuộc tấn công ransomware nhằm vào các cá nhân và doanh nghiệp ngẫu nhiên, ransomware Ryuk đã hướng tới các mục tiêu cao hơn và có mục đích cụ thể. Những kẻ tội phạm mạng đứng sau cuộc tấn công này đã nhắm đến các nạn nhân có hoạt động kinh doanh quan trọng, khi gặp ngay cả một thời gian gián đoạn nhỏ cũng có thể gây ảnh hưởng nghiêm trọng.

Ryuk được thiết kế để mã hóa máy chủ của các công ty và làm gián đoạn hoạt động kinh doanh cho đến khi tiền chuộc được thanh toán, thay vì đánh cắp hoặc phá hoại dữ liệu cá nhân của một cá nhân.

Các đối tượng bị nhắm đến bao gồm các tờ báo, trong đó có tất cả các tờ báo của hãng Tribune, và một công ty cung cấp dịch vụ nước ở Bắc Carolina. Các tờ báo bị ảnh hưởng đã phải giảm bản tin hàng ngày mà không bao gồm quảng cáo phân loại đã thanh toán.

Ryuk đã xâm nhập vào hệ thống thông qua phần mềm độc hại được gọi là TrickBot và phần mềm desktop từ xa. Sau khi chặn truy cập vào máy chủ, Ryuk yêu cầu một khoản tiền chuộc nhất định.

Ngoài việc vô hiệu hóa máy chủ, lây nhiễm các điểm cuối và mã hóa các bản sao lưu, Ryuk còn tắt tùy chọn khôi phục hệ thống Windows OS để ngăn nạn nhân phục hồi từ cuộc tấn công.

Mặc dù các bản vá đã được tạo ra để đối phó với cuộc tấn công khi malware này được phát hiện, chúng không hiệu quả. Ngay khi máy chủ trở lại hoạt động, Ryuk bắt đầu lây nhiễm lại toàn bộ mạng máy chủ.

Các hãng bảo mật hàng đầu như Sophos, Kaspersky, McAfee, AVG : Ryuk là một mã độc ransomware nổi tiếng và rất nguy hiểm. Nó đã gây ra nhiều cuộc tấn công chính vào các tổ chức và doanh nghiệp trên toàn thế giới.

3. REvil/ Sodinokibi – năm 2019

Ransomware REvil, cũng được biết đến với tên gọi Sodinokibi, là một loại mã độc ransomware nổi tiếng và nguy hiểm. Đây là một trong những ransomware hàng đầu được phát triển và sử dụng bởi các tên tội phạm mạng chuyên nghiệp để tấn công các tổ chức và doanh nghiệp trên toàn thế giới. Dưới đây là một số thông tin quan trọng về ransomware REvil:

Phương thức tấn công: REvil thường lây nhiễm thông qua các lỗ hổng bảo mật trong hệ thống, email lừa đảo, hoặc sử dụng các phương thức tấn công khác như phản hồi kiểu trò chuyện (chat-based exploitation). Một khi xâm nhập thành công vào hệ thống mục tiêu, REvil sẽ mã hóa các tập tin và dữ liệu quan trọng của nạn nhân.

Tiêu chuẩn chuộc tiền: Sau khi mã hóa dữ liệu, REvil sẽ yêu cầu một khoản tiền chuộc lớn để cung cấp chìa khóa giải mã. Số tiền chuộc thường được yêu cầu thông qua tiền điện tử như Bitcoin, Monero hoặc các hình thức thanh toán khó theo dõi.

Hậu quả của tấn công: REvil đã gây ra nhiều cuộc tấn công lớn và ảnh hưởng đến nhiều tổ chức và doanh nghiệp trên khắp thế giới. Một số cuộc tấn công nổi tiếng của REvil bao gồm việc tấn công các cơ quan chính phủ, các công ty lớn, trường học, và cả bệnh viện.

Xuất hiện trong các vụ tấn công nổi tiếng: REvil đã tham gia vào nhiều cuộc tấn công nổi tiếng và tạo ra những vụ việc lớn, gây tổn hại kinh tế và tạo ra rủi ro lớn đối với các doanh nghiệp và cá nhân.

Các cuộc tấn công của ransomware REvil đã đẩy các chuyên gia an ninh mạng và tổ chức bảo mật phải nỗ lực để ngăn chặn và chống lại mối đe dọa ngày càng phức tạp này. Việc tăng cường các biện pháp bảo mật, cập nhật thường xuyên và hệ thống sao lưu đều là cách để giảm thiểu nguy cơ bị tấn công bởi ransomware như REvil.

4. PureLocker – năm 2020

PureLocker là một loại mã độc ransomware được thiết kế để mã hóa toàn bộ máy chủ và yêu cầu tiền chuộc để khôi phục quyền truy cập. Mã độc này được tạo ra với mục tiêu đặc biệt là không bị phát hiện bằng cách che giấu hành vi phạm trong môi trường sandbox và giả vờ là các chức năng bình thường. Sau khi thực thi được mục đích, mã độc còn tự xóa chính nó.

PureLocker thường tấn công vào máy chủ của các tập đoàn lớn, với kỳ vọng rằng các tấn công này sẽ đem lại khoản tiền chuộc đáng kể.

Phân tích kỹ lưỡng đã giúp các nhà nghiên cứu về mật mã từ Intezer và IBM X-Force đặt tên cho loại mã độc này là PureLocker do nó được viết bằng ngôn ngữ lập trình PureBasic.

Việc sử dụng PureBasic để viết mã độc không phải là phổ biến, nhưng điều này mang lại lợi thế cho kẻ tấn công: việc phát hiện mã độc viết bằng PureBasic rất khó khăn. Các chương trình viết bằng PureBasic cũng có thể dễ dàng chạy trên nhiều nền tảng.

PureLocker vẫn đang được sử dụng bởi các tổ chức tội phạm mạng lớn. Chuyên gia tin rằng nó đang được bán dưới dạng dịch vụ cho các tổ chức tội phạm mạng có kiến thức và kỹ năng cần thiết để tấn công các công ty lớn. Đáng ngạc nhiên, hiện tượng ransomware-as-a-service (RaaS) đã trở nên phổ biến.

Các chuyên gia an ninh mạng không chắc chắn về cách mà PureLocker xâm nhập vào máy chủ; do đó, áp dụng phương pháp bảo mật mạng không tin tưởng (zero-trust) là cách tốt nhất để bảo vệ khỏi các mối đe dọa không rõ nguồn gốc.

Tất cả các tổ chức, doanh nghiệp bắt buộc phải có kế hoạch về cách ngăn chặn và ứng phó với các cuộc tấn công của mã độc tống tiền. Trong bài viết này chúng ta cùng tìm hiểu qua ransomware đã phát triển như thế nào để đạt đến trạng thái hiện tại.

1.Sự xuất hiện của ransomware (1989).

Cuộc tấn công ransomware đầu tiên thường được coi là “trojan AIDS”. Nó được đặt tên theo hội nghị AIDS của Tổ chức Y tế Thế giới (WHO) năm 1989, tại đó nhà sinh vật học Joseph Popp đã phát 20.000 đĩa mềm bị nhiễm virus cho những người tham gia sự kiện. Sau khi người dùng khởi động 90 lần, tên tệp của người dùng sẽ được mã hóa và thông báo bên dưới sẽ xuất hiện, yêu cầu nạn nhân gửi 189 đô la Mỹ đến hộp thư bưu điện ở Panama. Phần mềm tống tiền tương đối dễ loại bỏ bằng các công cụ giải mã trực tuyến.

2. Những năm đầu (2005–2009).

Sau sự kiện đầu tiên này, không có sự phát triển đáng chú ý nào trong lĩnh vực ransomware cho đến năm 2005, khi ransomware tái xuất hiện, lần này sử dụng mã hóa bất đối xứng an toàn. Trojan “Archiveus” và “GPcode” là những thứ đáng chú ý nhất trong số những ransomware đầu tiên này. GPcode đã tấn công các hệ điều hành Windows, lần đầu tiên sử dụng mã hóa đối xứng và sau đó, vào năm 2010, sử dụng RSA-1024 an toàn hơn để mã hóa tài liệu có phần mở rộng tệp cụ thể.

Trojan Archiveus, ransomware đầu tiên sử dụng RSA, đã mã hóa tất cả các tệp trong thư mục “My Documents”. Chúng có thể được giải mã bằng mật khẩu gồm ba mươi chữ số do hacker đe dọa cung cấp sau khi trả tiền chuộc.

Bất chấp tính hiệu quả của các thuật toán mã hóa này, các biến thể ransomware ban đầu có mã tương đối đơn giản, cho phép các công ty chống vi-rút xác định và phân tích chúng. Mật khẩu Archiveus đã bị bẻ khóa vào tháng 5 năm 2006, khi nó được tìm thấy trong mã nguồn của virus. Tương tự, cho đến khi GPcode chuyển sang RSA, việc khôi phục tệp thường có thể thực hiện được mà không cần mật khẩu, khiến tội phạm mạng thích hack, lừa đảo và các phương pháp đe dọa khác.

3. Ransomware bao gồm mật mã (2009–2013).

Năm 2009, virus “Vundo” xuất hiện, đã mã hóa máy tính và bán bộ giải mã. Vundo đã khai thác lỗ hổng trong plugin trình duyệt được viết bằng Java hoặc tự tải xuống khi người dùng nhấp vào tệp đính kèm email độc hại. Sau khi được cài đặt, Vundo đã tấn công hoặc ngăn chặn các chương trình chống phần mềm độc hại như Windows Defender và Malwarebytes.

Ngay sau đó, vào năm 2010, trojan “WinLock” đã xuất hiện. Mười tội phạm mạng ở Moscow đã sử dụng phần mềm này để khóa máy tính của nạn nhân và hiển thị nội dung khiêu dâm cho đến khi nạn nhân gửi cho họ khoảng 10 đô la rúp. Nhóm này đã bị bắt vào tháng 8 cùng năm, mặc dù kế hoạch này lần đầu tiên thu được 16 triệu đô la Mỹ.

Vào năm 2011, phần mềm này đã được nâng cấp để giả làm hệ thống Kích hoạt Sản phẩm Windows. Phần mềm độc hại dường như yêu cầu cài đặt lại phần mềm do sử dụng gian lận và cuối cùng là tống tiền dữ liệu từ nạn nhân.

Phần mềm tống tiền “Reveton”, xuất hiện vào năm 2012, là một loại phần mềm hù dọa hiển thị thông báo cho nạn nhân của nó tuyên bố rằng đó là cơ quan thực thi pháp luật Hoa Kỳ và người dùng đã bị phát hiện xem nội dung khiêu dâm bất hợp pháp. Trong một số trường hợp, nó kích hoạt máy ảnh của người dùng để ngụ ý rằng người dùng đã được ghi lại. Nó cũng yêu cầu nạn nhân phải trả tiền để tránh bị truy tố.

Một biến thể của ransomware này cũng xuất hiện cho Mac, mặc dù nó không phải là mã hóa. Nó được tạo thành từ 150 iframe giống hệt nhau, mỗi iframe phải được đóng lại, vì vậy trình duyệt dường như đã bị khóa.

4. Ransomware trở nên thống trị (2013–2016).

Vào nửa cuối năm 2013, “CryptoLocker” đã xuất hiện. CryptoLocker là công ty tiên phong theo nhiều cách: Nó là phần mềm tống tiền đầu tiên được phát tán bởi botnet, trong trường hợp này là botnet “Gameover Zeus”, mặc dù nó cũng sử dụng các chiến thuật truyền thống hơn, chẳng hạn như lừa đảo. Cũng đáng chú ý là CryptoLocker đã sử dụng mã hóa khóa công khai và khóa riêng RSA 2048-bit, khiến nó đặc biệt khó bị bẻ khóa. CryptoLocker đã không bị dừng lại cho đến khi mạng botnet liên quan của nó, “Gameover Zeus,” bị gỡ xuống vào năm 2014.

Phần mềm tống tiền thực sự đầu tiên dành cho Mac, “FileCoder”, cũng được phát hiện vào năm 2014, mặc dù sau đó nó được phát hiện có nguồn gốc từ đầu năm 2012. Phần mềm độc hại này chưa bao giờ kết thúc, vì mặc dù nó đã mã hóa các tệp và yêu cầu thanh toán nhưng các tệp duy nhất mà nó được mã hóa là của riêng nó.

Các cuộc tấn công phi mã hóa khác vào cơ sở hạ tầng Mac đã thành công hơn trong năm đó. Năm 2014 cũng chứng kiến ​​cuộc tấn công “Oleg Pliss”, trong đó một kẻ đe dọa đã sử dụng thông tin đăng nhập tài khoản Apple bị đánh cắp để đăng nhập vào các tài khoản và sau đó sử dụng các tài khoản đó để khóa iPhone từ xa, sử dụng tính năng “tìm iPhone của tôi”. Sau đó, họ yêu cầu một khoản tiền chuộc để mở khóa điện thoại.

Cũng giống như Oleg Pliss nhắm mục tiêu vào iPhone, năm 2014 cũng chứng kiến ​​cuộc tấn công mã hóa đầu tiên vào thiết bị di động, với “Spyeng” nhắm mục tiêu vào Android. Spyeng cũng gửi tin nhắn cho tất cả mọi người trong danh sách liên lạc của nạn nhân với một liên kết tải xuống ransomware.

Cuộc tấn công ransomware mã hóa thành công đầu tiên trên Mac là vào năm 2016 và được gọi là “KeRanger”. Bị ràng buộc với phiên bản 2.90 của Transmission client torrent, ransomware đã khóa máy tính của nạn nhân cho đến khi 1 bitcoin (400 đô la Mỹ vào thời điểm đó) được trả cho những kẻ đe dọa.

Một phần mềm tống tiền khác dành cho Mac, “Patcher”, hay còn gọi là “filezip”, xuất hiện vào tháng 2 năm 2017. Nó cũng lây nhiễm người dùng thông qua torrent, trong trường hợp này bằng cách giả vờ là một phần mềm bẻ khóa cho các chương trình phần mềm phổ biến như Office 2016 hoặc Adobe Premiere CC 2017. Đáng chú ý là, do sai sót trong thiết kế của nó, Patcher không thể được giải mã, cho dù tiền chuộc có được trả hay không.

Sự thành công của CryptoLocker dẫn đến sự gia tăng đáng kể các loại ransomware. CryptoWall nổi lên như một sản phẩm kế thừa của CryptoLocker, được biết đến vào năm 2014, mặc dù nó đã thực sự được lưu hành ít nhất là từ tháng 11 năm 2013. Phần lớn lan truyền qua email lừa đảo spam, đến tháng 3 năm 2014, CryptoWall đã trở thành mối đe dọa ransomware hàng đầu. CryptoWall tỏ ra đặc biệt ngoan cường và một số báo cáo cho rằng vào năm 2018, nó đã gây ra thiệt hại 325 triệu đô la Mỹ.

5. Sự xuất hiện của RaaS (2016–2018).

Đến năm 2016, các biến thể ransomware ngày càng trở nên phổ biến. Các biến thể ransomware-as-a-service (RaaS) đầu tiên xuất hiện, quan hệ đối tác trong đó một nhóm viết mã ransomware và hợp tác với tin tặc, những kẻ tìm ra lỗ hổng trong hệ thống. Một số phần mềm nổi tiếng hơn là “Ransom32” (phần mềm tống tiền đầu tiên được viết bằng  JavaScript), “shark” (được lưu trữ trên một trang web WordPress công cộng và được cung cấp trên cơ sở chia 80/20, có lợi cho nhà phân phối) và “Stampado” (có sẵn với giá chỉ $39).

Năm 2016 cũng chứng kiến ​​sự xuất hiện của ransomware “Petya” nổi tiếng. Ban đầu, phần mềm tống tiền này kém thành công hơn so với CryptoWall, nhưng vào ngày 17 tháng 6 năm 2017, một biến thể mới đã xuất hiện, được Kaspersky đặt tên là “notPetya” để phân biệt nó với phiên bản gốc. Nó bắt đầu ở Ukraine và nhanh chóng lan rộng ra toàn thế giới thông qua lỗ hổng Windows “EternalBlue” do NSA phát hiện. Theo Nhà Trắng, NotPetya chịu trách nhiệm về thiệt hại 10 tỷ USD. Chính phủ Hoa Kỳ, Vương quốc Anh và Úc đổ lỗi cho Nga về phần mềm độc hại.

“LeakerLocker”, một ransomware di động dành cho Android, cũng xuất hiện vào năm 2017. Không giống như các ransomware truyền thống khác, LeakerLocker không thực sự mã hóa bất kỳ tệp nào. Được nhúng trong các ứng dụng độc hại trên cửa hàng Play yêu cầu quyền cao hơn, LeakerLocker đã hiển thị dữ liệu mẫu từ điện thoại của người dùng và tuyên bố rằng nó sẽ gửi toàn bộ nội dung điện thoại của người dùng tới mọi người trong danh sách liên hệ của họ nếu không trả tiền chuộc.

Phần mềm tống tiền “WannaCry”, một trong những phần mềm tống tiền tiền điện tử nổi tiếng nhất, cũng xuất hiện vào năm 2017. Giống như notPetya, WannaCry lây lan qua khai thác EternalBlue. Sau khi xuất hiện vào tháng 5 năm 2017, nó đã lây nhiễm khoảng 230.000 máy tính ở 150 quốc gia, gây thiệt hại 4 tỷ USD. Mặc dù Microsoft đã phát hành bản vá cho lỗ hổng này hai tháng trước khi WannaCry xuất hiện, nhưng nhiều người dùng đã không cập nhật hệ thống của họ, vì vậy ransomware đã có thể lây lan.

6. Hợp nhất ransomware và phần mềm độc hại (2018-2019).

Tháng 1 năm 2018 là thời điểm bước ngoặt đối với ransomware, đánh dấu sự xuất hiện của “GandCrab”. Mặc dù bản thân GandCrab không có gì đặc biệt, nhưng các nhà phát triển vẫn tiếp tục phát hành các phiên bản ngày càng cao cấp hơn và cuối cùng tích hợp nó với phần mềm độc hại đánh cắp thông tin “Vidar”, tạo ra một ransomware vừa đánh cắp vừa khóa các tệp của nạn nhân. GandCrab nhanh chóng trở thành RaaS phổ biến nhất và là chủng ransomware hoạt động mạnh nhất từ ​​năm 2018 đến 2019.

“Team Snatch”, một nhóm các hacker nổi lên vào năm 2018, là đối tác của GandCrab và mở ra xu hướng mới là công bố dữ liệu nạn nhân để tống tiền. Nhóm Snatch bắt đầu công bố dữ liệu nạn nhân vào tháng 4 năm 2019. Snatch được thành lập bởi “Truniger”, người điều hành Exploit. Vào ngày 28 tháng 4 năm 2019, Truniger đã đăng trên Exploit rằng Citycomp, một trong những nạn nhân của họ, đã từ chối trả tiền chuộc và do đó dữ liệu của họ sẽ được đăng công khai.

Tuy nhiên, ransomware GandCrab hiện không còn được sử dụng sau khi các nhà phát triển tuyên bố họ sẽ ngừng hoạt động vào ngày 1 tháng 6 năm 2019 và FBI đã phát hành khóa giải mã cho ransomware vào tháng 7 năm 2019.

Mặc dù Team Snatch đã biến mất vào năm 2019 sau một tranh chấp trên diễn đàn Exploit, nhưng hành động của họ đã tạo tiền đề cho phần mềm tống tiền Maze và sự gia tăng của các trang web rò rỉ.

7. Sự gia tăng của các leak site(2019–2020).

Vào tháng 11 năm 2019, nhóm ransomware “Maze” đã rò rỉ tài liệu trị giá 700 MB bị đánh cắp từ Allied Universal nhằm gây áp lực buộc chúng và các nạn nhân trong tương lai phải trả tiền chuộc. Điều này tạo ra xu hướng các nhóm ransomware thiết lập các leak site để gây áp lực cho nạn nhân của chúng. Bằng cách xuất bản dữ liệu bị đánh cắp, những kẻ điều hành ransomware khiến nạn nhân phải chịu tổn thất tài chính bổ sung, chẳng hạn như dữ liệu tài chính nhạy cảm, thông tin nhận dạng cá nhân của khách hàng (PII) hoặc bí mật thương mại bị lộ.

Đòn bẩy bổ sung này có thể đặc biệt hiệu quả nếu nạn nhân đã sao lưu dữ liệu của họ và do đó không có động cơ trả tiền cho những kẻ tống tiền chỉ để lấy khóa giải mã. Cuối cùng, kỹ thuật mới có nghĩa là việc sao lưu dữ liệu không còn giảm thiểu nguy cơ bị tấn công bằng mã độc tống tiền.

Kỹ thuật mới này đã làm tăng đáng kể khả năng hiển thị của ransomware và dường như cũng đã tăng mức độ phổ biến của nó. Vào năm 2020, chỉ riêng nhóm NetWalker đã kiếm được hơn 25 triệu đô la.

Kể từ khi Maze ransomware bắt đầu đăng dữ liệu nạn nhân, các nhóm ransomware khác đã đăng các trang web của riêng họ. Một số họ ransomware này đã xuất hiện từ các mối quan hệ đối tác trước đó, với các “quảng cáo” tích lũy kinh nghiệm cộng tác với một nhóm ransomware trước khi thiết lập nhóm của riêng họ. Khả năng hiển thị ngày càng tăng cũng dẫn đến sự hợp tác giữa các nhóm ransomware, với việc Maze hình thành một “cartel” gồm các nhóm ransomware chia sẻ chiến thuật, kỹ thuật và quy trình (TTP) cũng như tài nguyên.

Gia đình ransomware “Sodinokibi” là một tác nhân đáng chú ý khác trong không gian này. Sodinokibi nổi lên để lấp đầy khoảng trống còn lại khi các tác nhân đe dọa GandCrab nghỉ hưu. Được điều hành bởi tập thể REvil, nó đã trở thành một trong những nhóm ransomware nguy hiểm nhất, với nhiều nạn nhân được đăng hơn bất kỳ nhà cung cấp nào khác ngoài Maze.

8. Ransomware ngày nay (2020–hiện tại).

Ngày nay, ransomware tiếp tục đe dọa các tổ chức và gây thiệt hại hơn 42,9 triệu USD vào năm 2021 theo Báo cáo Tội phạm Internet năm 2021 của FBI. Sự trỗi dậy của ransomware là một quá trình dần dần kéo dài hơn ba mươi năm. Mức độ phổ biến của nó bị ảnh hưởng bởi cả các công nghệ hỗ trợ nó, chẳng hạn như phương pháp mã hóa và tích hợp phần mềm độc hại, cũng như các công nghệ xung quanh nó, chẳng hạn như Bitcoin và mạng Tor ẩn danh, cho phép nó phát triển từ một công cụ được sử dụng bởi một tin tặc hoặc một nhóm thành một do một tập thể điều hành.

Mặc dù bản thân ransomware không thay thế được các dạng phần mềm độc hại khác, nhưng nó đã trở thành một lựa chọn ngày càng phổ biến đối với các hacker khi rào cản xâm nhập trở nên thấp hơn. Trong khi một cuộc tấn công bằng mã độc tống tiền thường yêu cầu nhiều năm phát triển, mã hóa và kinh nghiệm kiểm tra thâm nhập để thực hiện và chỉ mang lại lợi nhuận vừa phải, thì các chương trình RaaS hiện sinh sôi nảy nở trên các diễn đàn web ngầm và bất hợp pháp, cho phép các hacker hợp tác với các tác giả của mã độc tống tiền một cách dễ dàng và rẻ tiền. Hơn nữa, các chương trình RaaS này được phát triển cao, với bảng điều khiển người dùng, hướng dẫn và hỗ trợ kỹ thuật.

Cuối cùng, phần thưởng ngày càng lớn hơn. Khi các công cụ như Cobalt Strike và Metasploit tự động hóa thử nghiệm thâm nhập nâng cao và các cộng đồng bất hợp pháp như Genesis Market cung cấp quyền truy cập ngày càng nâng cao vào mạng công ty, quyền truy cập vào các tập đoàn ngày càng trở nên khả dụng hơn và đòi hỏi phần mềm tống tiền ngày càng lớn hơn và mang lại nhiều lợi nhuận hơn. Việc tích hợp mã độc tống tiền với khả năng đánh cắp dữ liệu cho phép đòi tiền chuộc cao hơn, bằng cách đe dọa hành động pháp lý đối với tập đoàn nạn nhân. Vì tất cả những lý do này, mã độc tống tiền tiếp tục phát triển cả về ảnh hưởng và khả năng phá hoại.