STOP – Ransomware hoạt động “tích cực” nhất thế giới Internet nhưng hiếm khi được nói tới
Bạn đã bao giờ nghe nói về một loại ransomware có tên STOP chưa? Có lẽ là chưa đâu bởi rất ít người viết về mã độc tống tiền này, hầu hết các nhà nghiên cứu đều “né tránh” nó trong các báo cáo, và đặc biệt STOP hầu như chỉ nhắm đến các nạn nhân thông qua các phần mềm bẻ khóa (crack), gói phần mềm quảng cáo và những trang web mờ ám.
Sở dĩ những chủng ransomware nổi tiếng như Ryuk, GandCrab hay Sodinkibi nhận được sự chú ý lớn của các tổ chức bảo mật – an ninh mạng vì chúng thường yêu cầu các khoản thanh toán tiền chuộc khổng lồ, có thể lên tới hàng triệu USD, khiến các cá nhân, doanh nghiệp và thậm chí cả các tổ chức, cơ quan nhà nước phải điêu đứng. Ngoài ra khi nói đến ransomware, người ta thường quan tâm nhiều đến yếu tố tiền chuộc, do đó việc đưa tin dày đặc về các loại ransomware nêu trên cũng sẽ giúp các tờ báo, trang tin công nghệ thu hút được lượng độc giả lớn hơn.
Tuy nhiên ít ai biết được rằng trong suốt năm 2018 và nửa đầu năm 2019, STOP chính là phần mềm mã hóa đòi tiền chuộc được phân phối tích cực nhất trong môi trường internet, kết quả này dựa trên báo cáo tổng hợp về các yêu cầu hỗ trợ gửi đến tổ chức ID Ransomware đã được chuyên gia bảo mật Michael Gillespie tại BleepingComputer thống kê và phân tích.
Trong thời gian qua, ransomware STOP đã không ngừng “tiến hóa” và trở thành một chủng mã độc phổ biến với số lượng đa dạng các biến thể.
Nếu bạn vẫn chưa tin đây là sự thật, hãy cùng điểm qua một vài số liệu thống kê đã được ghi nhận về ransomware STOP. Theo ghi nhận của dịch vụ nhận dạng mã độc tống tiền ID Ransomware, có tới gần 2500 báo cáo về ransomware được gửi đến trung tâm dịch vụ này mỗi ngày, trong đó có từ 60-70% trường hợp liên quan đến ransomware STOP, đa phần đều là các nạn nhân mới và đang tìm kiếm sự trợ giúp.
Con số trên áp đảo hoàn toàn mọi thống kê về các phần mềm ransomware khác, bất kể sự nổi tiếng hay số tiền chuộc khổng lồ.
Đang chú ý hơn, số trường hợp báo cáo lây nhiễm ransomware STOP đang có xu hướng gia tăng đều đặn, áp đảo hoàn toàn so với các chủng mã độc tống tiền phổ biến khác, như bạn có thể thấy ở biểu đồ thống kê phía trên.
Các bản crack ứng dụng, gói phần mềm quảng cáo và trang web mờ ám – những công cụ lây lan tuyệt vời của STOP
Như đã nói, phương thức phân phối của STOP có đôi chút khác biệt với nhiều loại ransomware khác. Những kẻ đứng sau mã độc tống tiền này đã chọn cách “hợp tác” với các trang web và nhà cung cấp gói phần mềm quảng cáo không rõ nguồn gốc.
Các trang web này có nhiệm vụ quảng bá những phần mềm giả mạo hoặc chương trình miễn phí, nhưng trên thực tế đây là các gói phần mềm quảng cáo có thể cài đặt phần mềm độc hại, lây nhiễm mã độc không mong muốn vào hệ thống máy tính của người dùng. Một trong những mã độc được cài đặt thông qua các gói này là chính STOP Ransomware.
Ngoài ra, một số bản crack ứng dụng cũng là nguồn lây lan hữu hiệu của mã độc tống tiền này, trong đó bổ biến nhất là bản crack của KMSPico, Cubase, Photoshop và một vài công cụ chống virus phổ biến khác.
Tuy nhiên không chỉ có các bản crack, nhiều trang web mờ ám còn cung cấp dịch vụ download phần mềm miễn phí, và trên thực tế, đây chính là các gói phần mềm quảng cáo có khả năng cài đặt ransomware trên hệ thống của nạn nhân.
Chưa dừng lại ở đó, một vài biến thể trong số này còn âm thầm cài đặt một Trojan đánh cắp mật khẩu có tên Azorult trên máy tính của nạn nhân để đánh cắp những thông tin về tài khoản, ví tiền điện tử, tệp máy tính để bàn… Trojan Azorult là một loại mã độc mà khi lây lan vào máy tính của nạn nhân, nó sẽ cố gắng đánh cắp các thông tin về tên người dùng và mật khẩu được lưu trong trình duyệt, cũng như các tệp trên hệ thống của nạn nhân… sau đó tải những dữ liệu thu được lên một máy chủ từ xa nằm dưới sự kiểm soát của kẻ tấn công.
Có thể nói yếu tố khiến STOP trở nên nguy hiểm và là ransomware hoạt động mạnh mẽ nhất nằm ở phương thức lây lan linh hoạt cũng như số biến thể của nó. Tính đến thời điểm hiện tại, đã có hơn 159 biến thể STOP đã được ghi nhận, và con số này vẫn đang không ngừng gia tăng.
Mặt khác, không có nhiều điều đáng nói về cách thức hoạt động của STOP. Nó vẫn mã hóa hệ thống tệp của nạn nhân giống như bất kỳ mã độc tống tiền nào khác, sau đó nối thêm một phần đuôi mở rộng đặc trưng và cung cấp một ghi chú đòi tiền chuộc.
Hành trình “giải cứu” dữ liệu đang trở nên gian nan hơn bao giờ hết
Nhà nghiên cứu bảo mật Gillespie đã thành công trong việc giúp các nạn nhân của STOP có thể phục hồi các tập tin đã bị mã hóa mà không phải trả bất cứ một khoản tiền chuộc nào thông qua công cụ giải mã STOPDecryptor của mình. Công cụ này bao gồm các khóa giải mã ngoại tuyến mà chính STOP sử dụng khi không thể giao tiếp được với máy chủ C2 độc hại.
Tuy nhiên, đây là một nhiệm vụ không hề đơn giản, với việc ransomware này đôi khi được phát hành với 3-4 biến thể mỗi ngày, đồng thời có đến hàng ngàn nạn nhân cần được giúp đỡ cùng một lúc.
Thật không may, mã hóa đã thay đổi và trong thời gian tới, Gillespie sẽ không còn có thể cung cấp nhiều sự hỗ trợ cho các nạn nhân của STOP như trước. Đây chắc chắn là đều có thể khiến nhiều nạn nhân của mã độc này hết hy vọng, đặc biệt trong trường hợp họ không đủ khả năng trả khoản tiền chuộc 490USD, và sẽ tăng gấp đôi sau 72 giờ lên 980 USD để lấy lại dữ liệu đã bị mã hóa. Các nạn nhân của STOP đang cần đến sự giúp đỡ hơn bao giờ hết.
Nhiều người có thể cho rằng các nạn nhân của STOP xứng đáng bị như vậy bởi họ đã có hành vi gian lận ngay từ đầu, sử dụng phần mềm crack. Tuy nhiên việc trả tiền chuộc dữ liệu cho tin tặc chưa bao giờ là ý kiến được hoan nghênh, điều này chỉ khiến những kẻ tấn công có động lực tạo ra nhiều nhiều ransomware hơn mà thôi.
Các nạn nhân của STOP đang cần đến sự giúp đỡ hơn bao giờ hếtCác nạn nhân của STOP đang cần đến sự giúp đỡ hơn bao giờ hết
Cuộc chiến chống lại mã độc tống tiền STOP nói riêng và các chủng ransomware khác nói chung vẫn còn rất cam go và không hẹn ngày kết thúc.
Nguồn: quantrimang.com