1.2.2.2. Xu hướng phát triển của các loại mã độc hiện nay
Việc phân loại mã độc thƣờng theo mục đích sử dụng và ít khi phân loại theo cách thức lây lan. Hiện nay, các loại mã độc đang phát triển mạnh theo hai xu hƣớng sau:
- Mã độc mã hóa tống tiền – Ransomware.
- Mã độc gián điệp – Spyware a. Ransomware
Ransomware là loại malware ngăn chặn hoặc giới hạn ngƣời dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Một số mã hóa file khiến ngƣời dùng khơng thể mở đƣợc tài liệu quan trọng, một số khác dùng cơ chế khóa máy để khơng cho nạn nhân tiếp tục sử dụng.
Những trƣờng hợp đầu tiên bị dính ransomware mà đƣợc ghi nhận là tại Nga vào năm 2005 - 2006. Khi đó, một ransomware mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của ngƣời dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A cịn tạo một file văn bản để làm "thƣ tống tiền" và yêu cầu ngƣời dùng muốn có password để mở file zip thì phải trả 300$.
50 Trung tâm phân tích kỹ thuật tập đồn BKAV 51 Trung tâm phân tích kỹ thuật tập đồn BKAV
Ban đầu ransomware chỉ hoành hành ở Nga, nhƣng nhờ vào cách kiếm lợi nhanh, nhiều và dễ, cùng với sự phát triển của các đồng tiền ảo, các hacker đã sử dụng mã độc này tấn cơng ngƣời dùng khắp thế giới, trong đó có Việt Nam. Tháng 1 năm 2015, hệ thống giám sát của Bkav phát hiện biến thể mới của dịng mã CryptoLocker có tên gọi CTB Locker, đang phát tán mạnh tại Việt Nam. Hàng loạt ngƣời dùng đã nhận đƣợc spam email đính kèm file .zip và khi mở file, máy tính sẽ bị mã hóa các file dữ liệu (Word, Excel), khơng thể giải mã đƣợc. Dữ liệu đã bị mã hóa sẽ khơng thể đƣợc khơi phục, vì hacker sử dụng thuật mã hóa cơng khai và khóa bí mật dùng để giải mã, chỉ đƣợc lƣu giữ trên server của hacker. Chỉ trong vòng10 ngày, 2.100 máy tính của ngƣời dùng trong nƣớc đã bị nhiễm CTB Locker.
Năm 2016, ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware. Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lƣợng email lƣu chuyển trong năm 2016 là email phát tán Ransomware, nhiều gấp 20 lần năm 2015. Nhƣ vậy, trung bình 10 email trong năm 2016 có 1,6 email chứa ransomware, một con số rất đáng báo động52.
Ransomware mã hóa các file dữ liệu trên máy tính, yêu cầu ngƣời sử dụng phải trả tiền chuộc từ 0,5 đến 1 Bitcoin (từ 500 đến 1.000 USD) để mở file. Đặc biệt, mã độc Popcorn Time xuất hiện trong thời gian gần đây cho phép ngƣời dùng giải mã miễn phí các tập tin của mình nếu làm theo hƣớng dẫn để lây nhiễm cho hai ngƣời khác. Hình thức phát tán chủ yếu của ransomware trong năm 2016 là thơng qua file đính kèm từ các spam email. Khi ngƣời dùng mở file đính kèm, mã độc sẽ chạy trực tiếp hoặc đƣợc file đính kèm tải về từ máy chủ C&C của hacker. Một số hình thức phát tán khác mà ransomware sử dụng là khai thác lỗ hổng, giả mạo trang web, giả mạo các chƣơng trình thơng dụng…
Locky là dịng ransomware lây lan rộng nhất trong năm 2016 với những chiến dịch gửi spam email số lƣợng rất lớn đính kèm các file tài liệu dạng .doc, .xls hoặc script nhƣ .js hay .wsf. Tập tin bị mã hóa từng thời điểm sẽ có đi khác nhau nhƣ *.aesir hay *.odin… Mã độc tống tiền Cerber năm 2016 mã hóa các tập tin dữ liệu và đổi đuôi thành *.cerber, *.cerber2, *.cerber3. .cerber 4 và .cerber 5. mã hóa tống tiền
Tháng 5/2017, mã độc WannaCrypto đã lây nhiễm hàng trăm nghìn máy tính tại 74 quốc gia. Ngày13/5, Hệ thống giám sát virus của Bkav ghi nhận những trƣờng hợp lây nhiễm mã độc này tại Việt Nam. WannaCry tấn cơng máy nạn nhân qua file đính kèm email hoặc link độc hại, nhƣ các dòng ransomware khác, đồng thời đƣợc bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. WannaCry qt tồn bộ máy tính trong cùng
mạng LAN để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows XP). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng, mà không cần ngƣời dùng phải thao tác trực tiếp với file đính kèm hay link độc hại. WannaCry có thể xếp vào mức nguy hiểm cao nhất, vì vừa lây lan cực nhanh vừa có tính phá hoại53.