Chainalysis: Các khoản thanh toán cho mã độc tống tiền đang ngày càng lớn

Theo báo cáo đăng tải trên trang chủ của Chainalysis vào ngày 10/02/22, quy mô trung bình của các khoản thanh toán cho mã độc tống tiền đang đạt mức cao nhất mọi thời đại vào năm 2021. 

Dữ liệu của Chainalysis cho thấy quy mô thanh toán trung bình cho ransomware vào năm 2021 đạt 118.000 USD, tăng 14,5% so với năm 2020 là 88.000 USD. Trong khi đó vào năm 2019, khoản thanh toán cho mã độc chỉ ở mức 25.000 USD. Trưởng nhóm nghiên cứu của Chainalysis – bà Kim Grauer cho rằng nguyên nhân của bước nhảy vọt đáng kể này là do sự phát triển ngày càng tinh vi của các nhóm ransomware.

Trong hai năm qua, các cuộc tấn công bằng mã độc tống tiền đã lớn mạnh nhanh chóng. Tính đến thời điểm thực hiện bài viết (11/02/22), Chainalysis đã xác định các khoản thanh toán trị giá đến 692 triệu USD cho các địa chỉ ví liên kết đến nhóm ransomware vào năm 2020 và 602 triệu USD vào năm 2021. Tuy nhiên, bà Grauer nhấn mạnh rằng con số thực có khả năng còn cao hơn nhiều. 

Việc các băng đảng ransomware vẫn tiếp tục “ăn nên làm ra” cho thấy chúng đang dần học được cách thích nghi với thị trường để tránh bị phát hiện và tập trung vào mục tiêu lớn hơn. Chiến lược “săn tổ chức lớn” được hỗ trợ nhờ vào việc tin tặc sử dụng công cụ do bên thứ ba cung cấp để giúp các cuộc tấn công trở nên hiệu quả hơn. Bao gồm cả các công cụ bất hợp pháp đến các sản phẩm hợp pháp:

• Cơ sở hạ tầng: Những tên tin tặc này đã thuê các bulletproof web hosting , dịch vụ đăng ký miền, mạng botnet, dịch vụ proxy và dịch vụ email để thực hiện các cuộc tấn công.
• Các công cụ lấy cắp dữ liệu: Các hacker thường lấy cắp dữ liệu bằng cách truy cập vào mạng đã bị xâm nhập, sử dụng bộ công cụ khai thác quét mạng của nạn nhân để tìm lỗ hổng bảo mật. Đồng thời sử dụng các chương trình phần mềm độc hại giúp những kẻ tấn công phân phối ransomware hiệu quả hơn.
• Sử dụng dữ liệu bị đánh cắp: Tin tặc sẽ sử dụng các dữ liệu bị đánh cắp như mật khẩu, thông tin nhận dạng của cá nhân và thông tin đăng nhập giao thức máy tính từ xa (RDP) để đột nhập vào mạng máy tính của nạn nhân.

Bà Grauer chia sẻ thêm: “Dữ liệu chúng tôi nghiên cứu cho thấy nhiều băng đảng ransomware đang tái đầu tư vào các hoạt động. Vào năm 2021, có đến 16% trong tổng số tiền được gửi từ ví liên quan đến các nhà khai thác ransomware để chi cho các công cụ và dịch vụ. Chẳng hạn như việc thử nghiệm thâm nhập hay lưu trữ web an toàn hơn để các cuộc tấn công có hiệu quả hơn. Họ đang đầu tư vào công việc kinh doanh của mình. Bạn biết đấy, bạn phải tiêu tiền để kiếm tiền.”

Cũng theo báo cáo, Conti hiện đang là dòng ransomware lớn nhất tính theo doanh thu vào năm 2021. Nó đã tống tiền ít nhất 180 triệu USD từ các nạn nhân. Được cho là có trụ sở tại Nga, Conti hoạt động bằng mô hình ransomware-as-a-service (RaaS). Nghĩa là nhà khai thác của Conti cho phép các chi nhánh thực hiện những cuộc tấn công bằng chương trình ransomware của mình để đổi lấy một khoản phí. Theo ngay sau đó ở vị trí thứ 2 là DarkSide – chủng ansomware mới đóng vai trò quan trọng trong cuộc tấn công vào đường ống dẫn dầu Colonial Pipeline năm 2021. 

Tuy nhiên bà Grauer cũng chỉ ra rằng, trong khi RaaS đang phát triển lớn mạnh thì dữ liệu blockchain cho thấy có ít nhất 140 nhà phát triển ransomware đã nhận được khoản thanh toán từ nạn nhân vào năm 2021 – mức cao mới mọi thời đại tính đến thời điểm hiện tại. Bà Grauer cho biết đây là một chiến thuật được sử dụng để tránh sự phát hiện của cơ quan pháp luật. Nhưng cũng là dấu hiệu cho thấy sự gia tăng của các công cụ ransomware được sản xuất tại nhà.

Ransomware không chỉ nguy hiểm. Nó cũng được xem là một trong những hình thức tội phạm dựa trên tiền mã hóa năng động nhất. Giữa những lần đổi thương hiệu liên tục, thay đổi chiến lược rửa tiền và ảnh hưởng của địa chính trị (Geopolitical), thật khó để biết điều gì sẽ xảy ra tiếp theo. Tuy vậy, chỉ có một điều chắc chắn ở ransomware: Cơ quan thực thi pháp luật sẽ tiếp tục điều tra những tội phạm mạng này và sớm trả lại môi trường tài chính an toàn và bảo mật đến người tiêu dùng.