Kaspersky Lab cho biết đã hợp tác với cảnh sát Hà Lan, Europol và Intel để ra mắt sáng kiến No More Ransom, đây là bước tiến mới giúp chống lại ransomware.
No More Ransom (www.nomoreransom.org) là cổng thông tin trực tuyến mới nhằm thông báo cho người dùng về sự nguy hiểm của ransomware và giúp đỡ các nạn nhân phục hồi dữ liệu của họ mà không cần phải trả tiền chuộc cho tội phạm mạng.
Ransomware là một dạng phần mềm độc hại thường khóa máy tính hoặc mã hóa dữ liệu của nạn nhân, yêu cầu người bị hại phải trả tiền chuộc thì mới lấy lại được quyền kiểm soát thiết bị hoặc tập tin đã bị lây nhiễm. Ransomware hiện là mối đe dọa hàng đầu đối với cơ quan hành pháp tại EU: gần 2/3 thành viên EU tiến hành điều tra loại tấn công bằng phần mềm độc hại này.
Mục tiêu thường thấy của ramsomware là thiết bị cá nhân, nhưng mạng lưới doanh nghiệp và thậm chí chính phủ cũng bị ảnh hưởng. Số lượng nạn nhân đang ngày càng tăng lên ở mức báo động, theo Kaspesky Lab số người dùng bị tấn công đã tăng 5,5%, – từ 131.000 trong khoảng 2014-2015 lên 718.000 trong khoảng 2015-2016.
Cổng thông tin No More Ransom
Mục đích của cổng thông tin điện tử No More Ransom là cung cấp thông tin trực tuyến hữu ích cho nạn nhân của ransomware. Người dùng có thể tìm hiểu thông tin ransomware là gì, cách hoạt động và quan trọng nhất là cách tự bảo vệ mình. Nhận thức chính là chìa khóa vì không có công cụ giải mã nào cho tất cả các loại phần mềm độc hại hiện có. Nếu bị lây nhiễm, khả năng rất cao là dữ liệu của nạn nhân sẽ bị mất vĩnh viễn. Chính vì vậy cổng thông tin này sẽ giúp người dùng tập thói quen cảnh giác khi sử dụng Internet cùng với một số thủ đơn giản có thể giúp ngăn chặn lây nhiễm ngay từ đầu.
Dự án cung cấp cho người dùng các công cụ có thể giúp họ khôi phục dữ liệu ngay khi bị tội phạm mạng khóa lại. Trong giai đoạn đầu, cổng thông tin gồm 4 công cụ giải mã cho nhiều loại phần mềm độc hại khác nhau, loại mới nhất được phát triển vào tháng 6/2016 dùng cho các biến thể của Shade.
Shade là ransomware nổi lên từ cuối năm 2014, nó phát tán rộng rãi qua những website độc hại và tệp đính kèm bị lây nhiễm trong email. Khi vào được hệ thống người dùng, tập tin mã hóa Shade nằm trên máy tính và file .txt chứa các ghi chú và hướng dẫn từ tội phạm mạng cho biết nạn nhân phải làm gì để lấy lại được tập tin cá nhân. Shade sử dụng thuật toán khóa mã chặt chẽ cho mỗi tập tin bị mã hóa với 2 bộ key 256-bit AES ngẫu nhiên: một dùng để mã hóa nội dung tập tin, cái còn lại dùng để mã hóa tên tập tin.
Kể từ năm 2014, Kaspersky Lab và Intel Security đã ngăn chặn hơn 27 000 nỗ lực tấn công người dùng từ Shade. Phần lớn sự lây nhiễm xuất hiện tại Nga, Ukraine, Đức, Áo và Kazakhstan, hoạt động của nó cũng được phát hiện tại Pháp, Cộng hòa Czech, Ý và Hoa Kỳ.
Nhờ hợp tác chặt chẽ và chia sẻ thông tin, máy chủ C&C của Shade mà tội phạm mạng sử dụng để lưu giữ các chìa khóa (key) giải mã đã bị phát hiện và các chìa khóa này cũng đã được Kaspersky Lab và Intel Security chia sẻ, giúp tạo ra một công cụ đặc biệt mà nạn nhân có thể tải từ No More Ransom để lấy lại dữ liệu mà không phải trả tiền cho tội phạm. Công cụ này chứa hơn 160.000 key.
Đạt được hợp tác giữa tổ chức công và tư nhân
No More Ransom được nhìn nhận như một sáng kiến phi lợi nhuận với mục đích mang đến sự bảo vệ cho các tổ chức công và tư nhân. Vì bản chất ransomware thay đổi, tội phạm mạng phát triển nhiều biến thể mới dựa trên nền tảng thông thường, cổng thông tin này luôn mở cho sự hợp tác với nhiều đối tác mới.
Wilbert Paulissen, Cục trưởng Cục điều tra tội phạm quốc gia, Cảnh sát Hà Lan chia sẻ: “Chúng tôi, cảnh sát Hà Lan, không thể một mình chống lại tội phạm mạng và ransomware. Đây là trách nhiệm hợp tác giữa cảnh sát, cơ quan luật pháp, Europol và các công ty ICT, và đòi hỏi nỗ lực hợp tác. Đó là vì sao tôi rất vui về việc hợp tác giữa cảnh sát, Intel Security và Kaspersky Lab. Chúng tôi sẽ làm hết sức có thể để ngăn chặn âm mưu kiếm tiền của tội phạm mạng và trao trả tập tin cho chủ thực sự của nó mà họ không phải trả một khoản tiền nào”.
Jornt van der Wiel, Nhà nghiên cứu Bảo mật tại Nhóm Phân tích và Nghiên cứu toàn cầu, Kaspersky Lab cho biết “Vấn đề lớn nhất đối với ransomware hiện nay là khi dữ liệu bị khóa, người dùng sẵn sàng trả tiền cho tội phạm mạng để lấy lại. Việc này tác động đến nền kinh tế ngầm và kết quả là chúng tôi đang phải đối mặt với sự gia tăng số lượng những cái tên mới và các cuộc tấn công. Chúng tôi chỉ có thể thay đổi tình thế nếu chúng tôi hợp lực để chống lại ransomware. Sự xuất hiện của công cụ giải mã chỉ là bước đầu tiên trên con đường này. Chúng tôi mong rằng dự án sẽ phát triển rộng hơn và sẽ có nhiều công ty và cơ quan hành pháp từ các quốc gia và vùng lãnh thổ cùng tham chiến trong thời gian tới”.
Raj Samani, Giám đốc công nghệ Intel Security khu vực Châu Âu, Trung Đông và Châu Phi phát biểu: “Sáng kiến này cho thấy giá trị của sự hợp tác giữa cơ quan nhà nước và công ty tư nhân với hành động nghiêm túc chống lại tội phạm mạng. Sự hợp tác hơn cả chia sẻ kiến thức, giáo dục người dùng để thực sự hỗ trợ sửa chữa thiệt hại của nạn nhân. Bằng cách phục hồi truy cập vào hệ thống, chúng tôi trao quyền cho người dùng bằng cách cho họ thấy rằng họ có thể hành động và tránh thưởng cho tội phạm mạng bằng một khoản tiền chuộc”.
Wil van Gemert, Phó Giám đốc Điều hành Europol, chia sẻ: “Trong vài năm nay, ransomware đã trở thành mối quan tâm chính trong việc thực thi pháp luật của EU. Đó là vấn đề ảnh hưởng đến công dân và doanh nghiệp, máy tính và các thiết bị di động, với việc tội phạm phát triển các kỹ thuật tinh vi hơn để gây tác động lớn nhất lên dữ liệu của nạn nhân. Các sáng kiến như dự án No More Ransom cho thấy rằng việc liên kết chuyên môn và tham gia hợp tác là con đường đến cuộc chiến thành công chống lại tội phạm mạng. Chúng tôi hy vọng sẽ giúp nhiều người phục hồi quyền kiểm soát tập tin của họ, trong khi nâng cao nhận thức và giáo dục người dân về cách duy trì các thiết bị sạch trước phần mềm độc hại”.
Luôn báo cáo
Báo cáo ransomware với cơ quan hành pháp là rất quan trọng để giúp chính quyền có cái nhìn chung rõ ràng hơn và từ đó có khả năng giảm thiểu mối đe dọa cao hơn. Website No More Ransom mang đến cho nạn nhân cơ hội báo cáo về tội phạm, kết nối trực tiếp với cơ chế báo cáo quốc gia của Europol.
Nếu bằng cách nào đó mà bạn trở thành nạn nhân của ransomware, chúng tôi khuyên bạn không nên trả tiền chuộc. Trả tiền chuộc là bạn đã ủng hộ tội phạm mạng. Do đó, không có gì để đảm bảo trả tiền là bạn sẽ có được quyền truy cập vào dữ liệu đã bị mã hóa. .
Theo Kaspersky Lab