Thuật ngữ ransomware nắm bắt hoàn hảo ý tưởng đằng sau nó, tức là giữ một hệ thống máy tính hoặc phần mềm bị giam cầm cho đến khi trả tiền chuộc. Theo truyền thống, những kẻ tấn công sử dụng ransomware để nhắm mục tiêu vào các cá nhân nhưng giờ mọi thứ đã khác.

Trong bài blog này, chúng ta sẽ cùng điểm qua một số cuộc tấn công ransomware lớn nhất và tham vọng nhất trong hơn ba thập kỷ. Chúng ta sẽ thảo luận về nguồn gốc, mục tiêu và tác động của chúng.

2. Top 10 cuộc tấn công ransomware lớn nhất

1. WannaCry (2017)

Thiệt hại ước tính: 4 tỷ USD

Tình trạng hiện tại: Vẫn hoạt động, nhưng đã có key giải mã

WannaCry lây lan như một đại dịch kỹ thuật số vào tháng 5 năm 2017 và giữ các tập tin của 250.000 người dùng Microsoft Windows trên 150 quốc gia. Một nhóm tin tặc có tên Shadow Brokers đã sử dụng một bản hack được cho là do Cơ quan An ninh Quốc gia Hoa Kỳ phát triển có tên là EternalBlue để khai thác lỗ hổng trong PC Microsoft Windows.

Các tin tặc đã mã hóa các tệp trên máy tính và yêu cầu khoản tiền chuộc trị giá 300 – 600 đô la để được thanh toán bằng tiền điện tử, Bitcoin. Nhà nghiên cứu bảo mật người Anh Marcus Hutchins đã ngăn chặn WannaCry bằng cách đăng ký tên miền web trong mã của phần mềm độc hại.

2. TeslaCrypt (2015)

Thiệt hại ước tính: $500/cá nhân

Tình trạng hiện tại: Không hoạt động từ năm 2016

TeslaCrypt là một Trojan Horse Cryptovirus nhắm mục tiêu vào 185 tệp trò chơi của 40 trò chơi phổ biến như sê-ri Call of Duty, World of Warcraft, Minecraft, World of Tanks, v.v. Phần mềm tống tiền nhắm mục tiêu lưu dữ liệu, hồ sơ người chơi, bản đồ tùy chỉnh và sửa đổi trò chơi được lưu trữ trên ổ cứng của mục tiêu. Các phiên bản sau của TeslaCrypt cũng đã mã hóa Word, PDF, JPEG và các loại tệp khác. Nó khiến các nạn nhân phải trả khoản tiền chuộc 500 đô la để lấy khóa giải mã.

Phần mềm tống tiền TeslaCrypt ngày càng tốt hơn qua 4 phiên bản và phiên bản cuối cùng có thể mã hóa các tệp có kích thước lên tới 4GB. Các tác giả của ransomware đã tắt nó vào tháng 5 năm 2016.

3. NotPetya (2017)

Thiệt hại ước tính: 10 tỷ USD

Tình trạng hiện tại: Giải mã có sẵn

Petya là một loại virus ransomware xuất hiện vào tháng 3 năm 2016. Nó đã lây nhiễm bản ghi khởi động chính của máy tính Windows để chiếm quyền kiểm soát hệ thống. NotPetya là một biến thể của Petya được phát hành vào tháng 6 năm 2017. Nó khác với Petya ở hai điểm. Thứ nhất, nó đã sử dụng bản hack EternalBlue để lây nhiễm vào hệ thống và thứ hai, nó đã được sửa đổi theo cách mà hiệu ứng của nó không thể rollback.

Nó được đặt tên là NotPetya và cáo buộc rằng cuộc tấn công này có động cơ chính trị và được Cơ quan quân sự Nga nhắm mục tiêu chống lại Ukraine. 80% các công ty bị ảnh hưởng là người Ukraine. Người ta phát hiện ra rằng một backdoor được tạo trong quá trình cập nhật của công ty M.E. Doc của Ucraina đã được sử dụng để phát tán phần mềm độc hại này. NotPetya là cuộc tấn công ransomware có ảnh hưởng lớn nhất cho đến nay đã gây ra thiệt hại tài chính trị giá 10 tỷ đô la.

4. Sodinokibi (2019)

Thiệt hại ước tính: 200 triệu USD

Tình trạng hiện tại: Giải mã có sẵn

Sodinokibi là tên của một loạt các cuộc tấn công ransomware có tổ chức, chủ yếu nhắm vào ngành vận tải và lĩnh vực tài chính. Phần mềm độc hại mã hóa các tệp có các phần mở rộng sau  .jpg, .jpeg, .raw, .tif, .png, .bmp, .3dm, .max, .accdb, .db, .mdb, .dwg, .dxf, .cpp , .cs, .h, .php, .asp, .rb, .java, .aaf, .aep, .aepx, .plb, .prel, .aet, .ppj, .gif và .psd. Nó mã hóa các tệp trên hệ thống và hiển thị ghi chú đòi tiền chuộc trên màn hình.

Phần mềm tống tiền này có lẽ nó đã sử dụng bố cục bàn phím để xác định các hệ thống được miễn trừ. Chẳng hạn, nó sẽ không lây nhiễm cho các hệ thống sử dụng tiếng Ukraina, tiếng Rumani, tiếng Gruzia, tiếng Turkmen, tiếng Syriac và tiếng Ả Rập. Năm 2021 Sodinokibi tập trung vào các công ty Hoa Kỳ. Các cuộc tấn công của nó vào JBS và Kaseya đã kích hoạt cuộc đàn áp an ninh mạng và phần mềm tống tiền rất có thể không hoạt động.

5.SamSam (2018)

Thiệt hại ước tính: 6 triệu USD

Tình trạng hiện tại: Đang hoạt động

Những kẻ tấn công đằng sau cuộc tấn công ransomware SamSam đã khai thác các lỗ hổng trong máy chủ Windows để thiết lập quyền truy cập liên tục vào tài sản mạng. Chúng lây nhiễm toàn bộ mạng và mã hóa tất cả các máy chủ được kết nối với nó thay vì tấn công các hệ thống riêng lẻ. Trọng tâm chính của các cuộc tấn công là vào các công ty Mỹ. FBI, NCCIC và CISA đã đưa ra một tuyên bố chung về phần mềm tống tiền này vào năm 2018.

6. Tấn công Colonial Pipeline (2021)

Thiệt hại ước tính: 4,4 triệu USD

Tình trạng hiện tại: Giảm nhẹ bằng cách trả tiền chuộc

Công ty Colonial Pipeline chịu trách nhiệm vận chuyển xăng và Nhiên liệu phản lực đến Đông Nam Hoa Kỳ. Nó mang xăng từ Texas đến tận New York. Vào ngày 7 tháng 5 năm 2021, một cuộc tấn công bằng mã độc tống tiền đã buộc công ty phải ngừng hoạt động và vào ngày 9 tháng 5, tình trạng khẩn cấp đã được ban bố ở 17 tiểu bang. Khoản tiền chuộc 75 Bitcoin trị giá 4,4 triệu đô la vào thời điểm đó đã được trả cho DarkSide dưới sự giám sát của FBI. Không có cách nào khác để giải mã các tệp bị nhiễm. Khoảng 2,3 triệu đô la từ số tiền chuộc đã được Bộ Tư pháp thu hồi sau đó.

7. Tấn công Kronos (2021)

Tổn thất ước tính: Không xác định

Tình trạng hiện tại: Không rõ

Kronos là một giải pháp quản lý lực lượng lao động rất phổ biến với hơn 40 triệu người dùng trên 100 quốc gia. Các công ty như Tesla và PepsiCo sử dụng nền tảng Kronos để theo dõi dữ liệu của nhân viên – điểm danh, thanh toán, làm thêm giờ, v.v. Vào năm 2021, Kronos là nạn nhân của một cuộc tấn công ransomware đã lây nhiễm Private Cloud của Kronos.

Cuộc tấn công chỉ ảnh hưởng đến những khách hàng đã sử dụng Private Cloud của Kronos để lưu trữ dữ liệu của họ. Rất nhiều công ty bị mất dữ liệu việc làm quan trọng. Mặc dù UKG đã trả tiền chuộc nhưng họ vẫn chưa khắc phục được tình hình và hiện đang phải đối mặt với các vụ kiện mà khách hàng và nhân viên của họ đã đệ trình.

9. Tấn công Chính phủ Costa Rica (2022)

Thiệt hại ước tính: 30 triệu đô la mỗi ngày của cuộc tấn công

Tình trạng hiện tại: Đang hoạt động

Cuộc tấn công ransomware vào chính phủ Costa Rica đã được xác định là một hành động chiến tranh của nhóm Conti thân Nga. Cuộc tấn công nhằm vào 30 văn phòng công cộng của Costarican bao gồm Bộ Tài chính, Bộ Khoa học, Đổi mới, Công nghệ và Viễn thông, và nhà cung cấp internet nhà nước RACSA.

Thiệt hại do vụ hack gây ra lên tới 30 triệu đô la mỗi ngày, chính phủ phải đóng cửa các hoạt động do vụ hack. Cả nước vẫn đang đối phó với tình trạng hack.

10. Tấn công Swissport (2022)

Tổn thất ước tính: Không xác định

Tình trạng hiện tại: Đã xóa phần mềm tống tiền. 1,6 TB dữ liệu bị đánh cắp.

“Công ty có doanh thu 3 tỷ euro, Swissport, hiện có mặt tại 310 sân bay ở 50 quốc gia và cung cấp dịch vụ xử lý hàng hóa, bảo trì, vệ sinh và khách sạn tại phòng chờ.” Cuộc tấn công ransomware vào Swissport không gây ra nhiều thiệt hại ngay lập tức ngoài một vài chuyến bay bị hoãn.

Tuy nhiên, thủ phạm, BlackCat đã tiết lộ một mẫu dữ liệu nhận dạng cá nhân mà chúng đã đánh cắp trong cuộc tấn công. Những kẻ tấn công tuyên bố có 1,6 TB dữ liệu nhạy cảm và chúng sẵn sàng bán nó cho người trả giá cao nhất.

Ransomware là một dạng phần mềm độc hại được các tác nhân đe dọa sử dụng để xâm nhập vào mạng. Quá trình này bao gồm mã hóa dữ liệu được tìm thấy và giữ lại khóa giải mã cho đến khi một khoản tiền chuộc nhất định được trả cho tin tặc. Thời đại kỹ thuật số đã tạo điều kiện thuận lợi hơn nhiều cho các nhóm ransomware hoạt động dưới hình thức ẩn danh trên internet và đưa ra hầu hết các yêu cầu đòi tiền chuộc dưới dạng bitcoin để tránh bị lần ra.

2. Top các cuộc tấn công ransomware hàng đầu năm 2022

1.Cuộc tấn công ransomware Nvidia

Nvidia, công ty chip bán dẫn lớn nhất. Công ty có trụ sở tại California đã xác nhận rằng một kẻ đe dọa đã làm rò rỉ thông tin đăng nhập của nhân viên và thông tin độc quyền trực tuyến. Sau khi phát hiện ra sự xâm nhập, tổ chức đã tham gia vào khuôn khổ an ninh mạng của mình, tuy nhiên sau đó, người ta phát hiện ra rằng các nhân viên đã sử dụng mật khẩu yếu có chứa tên công ty.

Một nhóm hack có tên Lapsus$ đã nhận trách nhiệm về vụ tấn công và yêu cầu 1 triệu đô la tiền chuộc và một tỷ lệ phần trăm phí không xác định từ Nvidia để truy cập vào 1TB dữ liệu quan trọng của công ty. Nhóm này cũng có lịch sử sử dụng ransomware trên các công ty lớn khác – chẳng hạn như Impresa, Samsung, Microsoft và T-Mobile.

2. Cuộc tấn công ransomware Costa Rica

Trong khi hầu hết các cuộc tấn công ransomware có xu hướng về lợi ích tài chính, đã có những trường hợp chính trị xuất hiện. Đó là cuộc tấn công ransomware vào đất nước Costa Rica. Cuộc tấn công Conti Ransomware đã đẩy quốc gia Trung Mỹ nhỏ bé này vào tình trạng tê liệt vào tháng 4 năm 2022 khi nhiều cuộc tấn công mạng làm đóng cửa nền kinh tế của quốc gia này – ảnh hưởng đến một số cơ quan chính phủ và công chúng nói chung.

Sau vài ngày, nhóm hack khét tiếng Conti đã nhận trách nhiệm về vụ tấn công ransomware. Nhóm này bị cáo buộc có quan hệ với Điện Kremlin và đã tham gia rất nhiều vào cuộc xung đột đang diễn ra ở Ukraine. Costa Rica vẫn chưa phục hồi sau các cuộc tấn công ransomware và vẫn bị gián đoạn dịch vụ lớn và đang phải vật lộn để ngăn chặn cuộc khủng hoảng quốc gia này.

3. CHI Ransomware Attack

CHI Health là công ty con thuộc tập đoàn chăm sóc sức khỏe của CommonSpirit Health – chuỗi bệnh viện phi lợi nhuận lớn thứ hai tại Hoa Kỳ. Vào tháng 10 năm 2022, chuỗi bệnh viện đã hứng chịu một cuộc tấn công bằng mã độc tống tiền làm tổn hại dữ liệu bệnh nhân và ảnh hưởng đến hoạt động hàng ngày. Tập đoàn đã hành động ngay lập tức để đảm bảo cơ sở hạ tầng của mình và cố gắng hết sức có thể để đảm bảo tính liên tục của dịch vụ chăm sóc.

Một số nhân viên và y tá của CHI Health đã nói với 6 News rằng họ “buộc phải quay lại làm mọi thứ bằng tay, bao gồm cả việc lập biểu đồ thông tin bệnh nhân, việc này mất nhiều thời gian hơn.” Theo JournalStar, Edward Porter – một bệnh nhân tiểu đường sống ở Omaha – đã không thể sắp xếp lại các cảm biến cho máy theo dõi đường huyết liên tục của mình do hệ thống của CHI Health đang ngoại tuyến. Tác động của một cuộc tấn công mạng vào một tổ chức chăm sóc sức khỏe có thể gây chết người trong hầu hết các trường hợp và gây ra sự khó chịu nghiêm trọng và không cần thiết cho những bệnh nhân vô tội.

4. Cuộc tấn công ransomware LAUSD

Tin tặc đã tìm ra cách xâm nhập LAUSD – khu giáo dục lớn thứ hai tại Hoa Kỳ với hơn 1.000 trường học và 600.000 học sinh. Học khu Thống nhất Los Angeles – hay LAUSD – đã hứng chịu một cuộc tấn công ransomware vào tháng 9 năm ngoái, dẫn đến việc tiết lộ dữ liệu trong vụ vi phạm giáo dục lớn nhất trong những năm gần đây.

Một nhóm hack có tên Vice Society đã tuyên bố vụ tấn công là của riêng họ và yêu cầu bộ giáo dục một khoản tiền chuộc không xác định cho dữ liệu bị đánh cắp. Cuộc tấn công đã làm gián đoạn các hệ thống và ứng dụng máy tính và cuối cùng kết thúc bằng việc nhóm xuất bản dữ liệu bị đánh cắp lên một trang web rò rỉ dark web. Dữ liệu được tiết lộ chứa tài liệu bí mật, chi tiết tài khoản ngân hàng và thông tin sức khỏe của học sinh – bao gồm dữ liệu xét nghiệm COVID-19, báo cáo tiền án và đánh giá tâm lý.

Trong một email gửi tới TechCrunch, nhóm hack khẳng định rằng CISA đã đình trệ việc phát hành dữ liệu và đã “sai” khi khuyên LAUSD không trả yêu cầu tiền chuộc, nói rằng họ “luôn xóa tài liệu” và “không nói về các công ty mà đã trả tiền cho chúng tôi…hiện tại LAUSD đã mất 500GB tệp.”

Hệ thống giáo dục vốn đã căng thẳng dưới sức nặng của việc thiếu kinh phí và thiếu nguồn lực. Các cuộc tấn công ransomware trong các ngành này có hiệu ứng lan tỏa đáng báo động trên toàn bộ hệ thống trường học và đặt ra câu hỏi về khả năng bảo vệ thông tin của học sinh của các tổ chức.

5. Các cuộc tấn công ransomware vào bệnh viện

Như đã đề cập trước đây, các cuộc tấn công ransomware vào bệnh viện có hậu quả đe dọa đến tính mạng. Tuy nhiên, thực tế này không cản trở các cuộc tấn công mạng được thực hiện trên các cơ sở này – hầu hết các cuộc tấn công mạng nhằm vào ngành chăm sóc sức khỏe đều thực sự ở dạng các mối đe dọa ransomware.

4.1 Bệnh viện McKinney Methodist Texas

Vào tháng 7 năm 2022, Bệnh viện Methodist McKinney ở Texas đã báo cáo một lỗ hổng trong hệ thống của họ vào tháng 7 năm nay. Một nhóm tin tặc người Nga có tên Karakurt đã nhận trách nhiệm về vụ tấn công khi họ đăng tải về việc thu được 367 gigabyte dữ liệu từ nhóm bệnh viện trên dark web.

4.2 Hệ thống Y tế St. Charles

Sau đó, vào tháng 8, Hệ thống Y tế St. Charles đã trả thừa 2 triệu đô la cho 2.358 nhân viên sau khi bệnh viện bị ngăn truy cập dữ liệu thẻ chấm công trong nhiều tháng do một cuộc tấn công mạng vào tháng 12 vào Tập đoàn Ultimate Kronos – một công ty chịu trách nhiệm lên lịch, dữ liệu về chấm công, tính lương và nguồn nhân lực.