Tiết lộ sốc về mã độc Petya và thế lực đứng sau

Cảnh báo xuất hiện trên máy tính nạn nhân nhiễm mã độc Petya

Khi chính phủ và các tổ chức khắp thế giới đang vật lộn với các hậu quả từ cuộc tấn công đóng băng máy tính bằng mã độc vừa xảy ra, nạn nhân của Petya lại nhận được cảnh báo rõ ràng từ các chuyên gia an ninh rằng không nên trả tiền chuộc với hi vọng lấy lại được dữ liệu.

Địa chỉ email của hacker đã bị đóng và chúng mất khả năng liên lạc với nạn nhân, do đó về logic không thể phục hồi máy tính cho họ. Nếu hacker muốn thu thập tiền chuộc, cuộc tấn công của chúng là thất bại thảm hại. Dù vậy, đây có phải mục đích chính của hacker?

Những cuộc tấn công ngày một tinh vi khiến các chuyên gia đặt ra câu hỏi về động cơ thực sự của hacker? Tiền, phá hoại hay truyền đạt thông điệp chính trị?

Trong vụ diễn ra ngày 27/6 ảnh hưởng đến máy tính từ Ukraine cho đến Mỹ, động cơ tài chính dường như là kém khả thi nhất. Ransomware là một trong những hình thức tấn công mạng lâu đời nhất và tinh vi nhất dựa trên hành vi mã hóa tập tin của nạn nhân, về cơ bản không cho họ tiếp cận máy tính của mình cho đến khi trả tiền chuộc. Năm 2016, các chuyên gia bảo mật ước tính tội phạm đã kiếm hơn 1 tỷ USD từ mansomware, nạn nhân trải dài từ CEO các công ty Fortune 500 cho đến cá nhân đơn lẻ.

Petya cũng như WannaCry đều phát tán rộng hơn và nhanh hơn các ransomware trước đây. Tuy nhiên hợp lại, chúng mới kiếm hơn 100.000 USD. WannaCry phát tán bằng cách kết hợp ransomware truyền thống với một con bọ để từ đó cuộc tấn công phát triển nhanh chóng. Theo các chuyên gia, đây là mã độc đầu tiên có mục đích dường như là càng phát tán nhanh càng tốt hơn là lấy tiền chuộc từ nạn nhân.

Vụ tấn công hôm 27/6 được gọi bằng những cái tên khác nhau như Petya, NotPetya và GoldenEye. Cũng như WannaCry, nó được sinh ra để lan truyền chóng mặt, chỉ cần khai thác một máy tính chưa được bảo vệ để lây lan cho toàn mạng lưới.

WannaCry bị chặn đứng bởi một chuyên gia bảo mật độc lập. Tuy Petya chưa dừng lại, có vẻ kẻ đứng sau không thể thu về số tiền chuộc đáng kể do nhà cung cấp dịch vụ email Đức đã chặn mọi truy cập đến tài khoản mà hacker sử dụng.

Justin Harvey, Giám đốc phản ứng sự cố toàn cầu tại Accenture Security nhận định chúng không còn thu thập tiền chuộc nữa mà chỉ đang phá hoại. Khi tội phạm dùng ransomware để kiếm tiền, chúng sẽ tạo nhiều tài khoản, nhưng trường hợp này, chúng lại dùng phương pháp “trẻ con”, chỉ dùng một địa chỉ email và một ví Bitcoin. Dù vậy, cuộc tấn công lại đòi hỏi nỗ lực đáng kể.