Được hỗ trợ bởi tiền kỹ thuật số như Monero, tội phạm ransomware đang gia tăng trên toàn cầu. Người dùng Android đặc biệt dễ bị tấn công.

Ransomware là một loại phần mềm độc hại chặn người dùng hoặc công ty truy cập vào dữ liệu cá nhân hoặc ứng dụng của họ trên máy tính, thiết bị hoặc máy chủ bị nhiễm. Sau đó, việc khai thác yêu cầu tiền kỹ thuật số làm thanh toán để mở khóa dữ liệu và ứng dụng bị khóa hoặc mã hóa. Hình thức tống tiền mạng này ngày càng có tần suất và mức độ dữ dội trong vài năm trở lại đây. Có vẻ như, một tuần không trôi qua mà không có thông tin về vụ khai thác ransomware mới nhất tấn công các cơ quan chính phủ,  nhà cung cấp dịch vụ chăm sóc sức khỏe (bao gồm các nhà nghiên cứu Covid-19), trường học và trường đại học, cơ sở hạ tầng quan trọng và chuỗi cung ứng sản phẩm tiêu dùng.

Theo Báo cáo tiêu điểm về chỉ số Ransomware quý 3 năm 2021 của Cyber ​​Security Works và Cyware, các nhóm ransomware đang tiếp tục phát triển về mức độ tinh vi, táo bạo và số lượng, với số lượng tăng trên diện rộng kể từ quý 2 năm 2021. Quý cuối cùng này chứng kiến ​​mức tăng 4,5% trong các lỗ hổng phổ biến và sự phơi nhiễm (CVE) liên quan đến ransomware, tăng 4,5% trong các lỗ hổng được khai thác tích cực và thịnh hành, tăng 3,4% trong các họ ransomware và tăng 1,2% trong các lỗ hổng cũ hơn gắn với ransomware, so với quý 2 năm 2021.

Các cơ chế phân phối phổ biến nhất là email và tin nhắn văn bản có chứa liên kết lừa đảo đến một trang web độc hại. Bằng cách nhấn vào liên kết, người dùng được chuyển hướng đến một trang web bị nhiễm virus, nơi họ vô tình tải phần mềm độc hại theo ổ đĩa vào thiết bị của mình. Phần mềm độc hại có thể chứa bộ công cụ khai thác tự động thực thi mã lập trình độc hại thực hiện chuyển đặc quyền lên cấp thiết bị gốc của hệ thống, nơi nó sẽ lấy thông tin đăng nhập và cố gắng phát hiện các nút mạng không được bảo vệ để lây nhiễm qua chuyển động ngang.

Một cơ chế phân phối phổ biến khác là các tệp đính kèm email cũng có thể chứa các bộ công cụ khai thác phần mềm độc hại tự liên kết với các ứng dụng, hệ thống máy tính hoặc mạng dễ bị tấn công để nâng cao đặc quyền của chúng khi tìm kiếm dữ liệu quan trọng cần chặn.

Có bốn loại ransomware chính. Đầu tiên là phần mềm ransomware khóa, nơi mà hình thức sớm nhất trên thiết bị di động được tìm thấy trên Android. Nó được phát hiện vào cuối năm 2013 và được gọi là LockDroid. Nó đã bí mật thay đổi mã PIN hoặc mật khẩu vào màn hình khóa của người dùng, ngăn quyền truy cập vào màn hình chính cũng như dữ liệu và ứng dụng của họ.

Loại thứ hai là ransomware mã hóa sử dụng mã hóa các ứng dụng và tệp, khiến chúng không thể truy cập được nếu không có khóa giải mã. Lần khai thác đầu tiên sử dụng loại ransomware này được tìm thấy vào năm 2014 và được gọi là SimpLocker. Nó đã mã hóa dữ liệu cá nhân có trong bộ nhớ kỹ thuật số (SD) an toàn bên trong của thiết bị Android. Sau đó, một thông báo trông chính thức hiển thị các vi phạm hình sự dựa trên các tệp được quét tìm thấy trong thiết bị được hiển thị cho nạn nhân. Tiếp theo là yêu cầu về tin nhắn thanh toán cho phép nạn nhân giải quyết các vi phạm giả mạo và nhận khóa giải mã để mở khóa dữ liệu và ứng dụng bị chặn của họ.

Các khoản thanh toán tống tiền thường được thực hiện bằng tiền kỹ thuật số Monero vì nó là kỹ thuật số và thường không thể truy xuất được, đảm bảo tính ẩn danh đối với tội phạm mạng. Bitcoin đôi khi vẫn được sử dụng, nhưng gần đây các công ty như CipherBlade  đã có thể theo dõi các băng nhóm ransomware sử dụng Bitcoin và trả lại tiền cho nạn nhân. Hiếm khi các phương thức thanh toán di động như Apple Pay, Google Pay hay Samsung Pay cũng được sử dụng, nhưng tiền kỹ thuật số vẫn là phương thức thanh toán ưu tiên cho ransomware.

Trong vài năm qua, các băng nhóm tội phạm mạng đã bổ sung thêm các loại khai thác ransomware khác bao gồm Doxware, đây là những mối đe dọa tiết lộ và xuất bản thông tin cá nhân hoặc thông tin bí mật của công ty lên internet công cộng trừ khi tiền chuộc được trả. Một loại khác là ransomware-as-a-service (RaaS). Tội phạm mạng tận dụng các công cụ ransomware đã được phát triển và rất thành công trong mô hình đăng ký RaaS, bán cho tội phạm mạng có kỹ năng thấp hơn để tống tiền các nạn nhân của chúng và sau đó chia sẻ tiền chuộc.

Khai thác Android: giải phẫu cuộc tấn công SimpLocker

Đây là một ví dụ về cách thức hoạt động của một cuộc tấn công ransomware.

Cài đặt: Nạn nhân vô tình truy cập vào một máy chủ web được lưu trữ bởi phần mềm độc hại hoặc bị xâm nhập bởi phần mềm độc hại và muốn phát video hoặc chạy một ứng dụng. Video hoặc ứng dụng yêu cầu cập nhật codec hoặc Adobe Flash Player mới. Nạn nhân tải xuống phần mềm cập nhật độc hại và cài đặt nó, yêu cầu quyền quản trị viên thiết bị được kích hoạt. Thiết bị di động bị nhiễm và phần mềm tống tiền ransomware tự cài đặt vào thiết bị.

Truyền thông: Phần mềm độc hại quét nội dung của thẻ SD. Sau đó, nó thiết lập một kênh liên lạc an toàn với máy chủ lệnh và điều khiển (C2) bằng cách sử dụng mạng proxy Tor hoặc I2P ẩn danh trong darknet. Các mạng này thường trốn tránh các nhà nghiên cứu bảo mật, thực thi pháp luật và các cơ quan chính phủ, khiến việc đóng cửa chúng trở nên vô cùng khó khăn.

Mã hóa dữ liệu: Khóa đối xứng được sử dụng để mã hóa dữ liệu cá nhân trên thẻ SD đi kèm được giữ ẩn trong hệ thống tệp của thiết bị di động bị nhiễm, do đó, mã hóa có thể tồn tại sau khi khởi động lại.

Tống tiền: Một thông báo có vẻ rất chính thức từ một cơ quan chính phủ được hiển thị, thông báo cho nạn nhân rằng họ đang vi phạm luật liên bang dựa trên dữ liệu được tìm thấy trên thiết bị sau khi quét các tệp cá nhân của họ.

Nhu cầu thanh toán: Màn hình yêu cầu thanh toán với hướng dẫn về phương thức thanh toán sẽ hiển thị. Mức phạt thường là 300 đến 500 đô la Mỹ và thường được trả bằng tiền kỹ thuật số.

Nếu việc thanh toán tiền chuộc được thực hiện, khóa đối xứng sẽ được cung cấp và sử dụng để giải mã dữ liệu cá nhân. Nếu nạn nhân may mắn, họ có thể lấy lại nguyên vẹn tất cả các tệp cá nhân của mình, mặc dù đã có báo cáo rằng một số nếu không phải tất cả dữ liệu đã bị hỏng và không còn sử dụng được sau khi chúng được giải mã.

Các thiết bị Android đặc biệt dễ bị ransomware vì một số yếu tố. Đầu tiên là sự áp dụng toàn cầu của nó với 71% thị phần trên toàn thế giới và hơn 3 tỷ thiết bị trên toàn thế giới. Tiếp theo là hơn 1.300 nhà sản xuất thiết bị gốc (OEM) cùng với sự phân mảnh của hệ điều hành Android. Các thiết bị chạy phiên bản từ 2.2 đến 11.0 có nghĩa là một số lượng rất lớn trong số chúng không nhận được bản cập nhật bảo mật quan trọng, khiến chúng dễ bị nhiễm phần mềm độc hại.

Yếu tố cuối cùng là người dùng Android thường xuyên root thiết bị của họ và cài đặt các ứng dụng chưa được Google xác minh. Hiện có hơn 3 triệu ứng dụng có sẵn để tải xuống từ Cửa hàng Google Play, có khả năng là một triệu ứng dụng khác có thể được tải xuống từ các nguồn không xác định và có thể độc hại. Bất kỳ ứng dụng nào trong số này đều có thể được sử dụng để lưu trữ phần mềm độc hại có thể dẫn đến việc khai thác phần mềm tống tiền.