Vào tháng 5 năm 2023, Chính quyền Thành phố Dallas đã bị gián đoạn nặng nề bởi một cuộc tấn công bằng ransomware. Gọi là các cuộc tấn công ransomware vì tin tặc đằng sau chúng mã hóa dữ liệu quan trọng và yêu cầu tiền chuộc để giải mã thông tin.
Vụ tấn công ở Dallas đã làm đình trệ các phiên điều trần, xét xử và nghĩa vụ bồi thẩm đoàn, đồng thời khiến Tòa án Thành phố Dallas phải đóng cửa. Nó cũng có tác động gián tiếp đến các hoạt động rộng hơn của cảnh sát, với nguồn lực bị hạn chế ảnh hưởng đến khả năng thực hiện, chẳng hạn như các chương trình mùa hè cho thanh thiếu niên. Bọn tội phạm đe dọa sẽ công bố dữ liệu nhạy cảm, bao gồm thông tin cá nhân, các vụ án, danh tính tù nhân và tài liệu của chính phủ.
Người ta có thể tưởng tượng một cuộc tấn công vào chính quyền thành phố và lực lượng cảnh sát gây ra tình trạng gián đoạn trên diện rộng và kéo dài sẽ là tin tức nổi bật. Tuy nhiên, các cuộc tấn công bằng ransomware hiện nay quá phổ biến và thường xuyên đến mức hầu hết đều trôi qua mà không có một chút chú ý nào. Một ngoại lệ đáng chú ý đã xảy ra vào tháng 5 và tháng 6 năm 2023 khi tin tặc khai thác lỗ hổng trong ứng dụng truyền tệp Moveit dẫn đến hành vi đánh cắp dữ liệu từ hàng trăm tổ chức trên khắp thế giới. Cuộc tấn công đó đã thu hút sự chú ý, có lẽ vì các nạn nhân nổi tiếng, được cho là bao gồm British Airways, BBC và chuỗi nhà hóa học Boots.
Theo một khảo sát gần đây, các khoản thanh toán bằng ransomware đã tăng gần gấp đôi lên 1,5 triệu USD trong năm qua, trong đó các tổ chức có thu nhập cao nhất có nhiều khả năng trả tiền cho những kẻ tấn công nhất. Sophos, một công ty an ninh mạng của Anh, nhận thấy rằng khoản thanh toán ransomware trung bình đã tăng từ 812.000 USD vào năm trước. Khoản thanh toán trung bình của các tổ chức ở Vương quốc Anh vào năm 2023 thậm chí còn cao hơn mức trung bình toàn cầu, ở mức 2,1 triệu USD.
Trong khi đó, vào năm 2022, Trung tâm An ninh mạng Quốc gia (NCSC) đã ban hành hướng dẫn mới kêu gọi các tổ chức tăng cường phòng thủ trong bối cảnh lo ngại về các cuộc tấn công mạng do nhà nước tài trợ liên quan đến cuộc xung đột ở Ukraine. Nó diễn ra sau một loạt các cuộc tấn công mạng ở Ukraine bị nghi ngờ có liên quan đến Nga, điều mà Moscow phủ nhận.
Bài viết này là một phần của Thông tin chi tiết về cuộc trò chuyện
Nhóm Insights tạo ra báo chí dài hạn bắt nguồn từ nghiên cứu liên ngành. Nhóm đang làm việc với các học giả từ nhiều nền tảng khác nhau, những người đã tham gia vào các dự án nhằm giải quyết các thách thức xã hội và khoa học.
Trên thực tế, không tuần nào trôi qua mà không có các cuộc tấn công ảnh hưởng đến chính phủ, trường học, bệnh viện, doanh nghiệp và tổ chức từ thiện trên toàn thế giới. Những cuộc tấn công này có chi phí tài chính và xã hội đáng kể. Chúng có thể ảnh hưởng đến các doanh nghiệp nhỏ cũng như các tập đoàn lớn và có thể gây thiệt hại đặc biệt cho những người liên quan.
Ransomware hiện được thừa nhận rộng rãi là mối đe dọa và thách thức lớn đối với xã hội hiện đại.
Bạn có thể nghe thêm các bài viết từ The Conversation, do Noa thuật lại, tại đây.
Tuy nhiên, mười năm trước nó chẳng là gì hơn ngoài một khả năng lý thuyết và một mối đe dọa nhỏ. Cách thức mà nó phát triển nhanh chóng, thúc đẩy tội phạm và gây ra những thiệt hại chưa kể xiết là mối quan tâm lớn. “Mô hình kinh doanh” ransomware ngày càng trở nên phức tạp, chẳng hạn như những tiến bộ trong vectơ tấn công phần mềm độc hại, chiến lược đàm phán và cấu trúc của chính doanh nghiệp tội phạm.
Mọi người đều kỳ vọng rằng bọn tội phạm sẽ tiếp tục điều chỉnh chiến lược của chúng và gây ra thiệt hại trên diện rộng trong nhiều năm tới. Đó là lý do tại sao điều quan trọng là chúng tôi phải nghiên cứu mối đe dọa từ ransomware và sử dụng trước các chiến thuật này để giảm thiểu mối đe dọa lâu dài – và đó chính xác là những gì nhóm nghiên cứu của chúng tôi đang làm.
Dự đoán chi phí thiệt hại do ransomware toàn cầu - nguồn:Cyber Security Ventures
Trong nhiều năm, nghiên cứu của chúng tôi đã tìm cách ngăn chặn mối đe dọa đang gia tăng này bằng cách khám phá các chiến lược mới mà tội phạm ransomware có thể sử dụng để tống tiền nạn nhân. Mục đích là để cảnh báo trước và dẫn đầu cuộc chơi mà không xác định các chi tiết cụ thể mà tội phạm có thể sử dụng. Trong nghiên cứu mới nhất của chúng tôi, đã được bình duyệt và sẽ được xuất bản như một phần của Hội nghị quốc tế về tính sẵn sàng, độ tin cậy và bảo mật (ARES), chúng tôi đã xác định được một mối đe dọa mới khai thác các lỗ hổng trong tiền điện tử.
Ransomware có thể mang nhiều ý nghĩa khác nhau trong các bối cảnh khác nhau. Năm 1996, Adam Young và Mordechai “Moti” Yung tại Đại học Columbia đã mô tả hình thức cơ bản của một cuộc tấn công bằng ransomware như sau:
Tội phạm vi phạm cơ chế bảo vệ an ninh mạng của nạn nhân (thông qua các chiến thuật như email lừa đảo hoặc sử dụng nhân viên nội bộ/lừa đảo). Khi bọn tội phạm đã chọc thủng hệ thống phòng thủ của nạn nhân, chúng sẽ triển khai ransomware. Chức năng chính của nó là mã hóa các tập tin của nạn nhân bằng khóa riêng (có thể coi là một chuỗi ký tự dài) để khóa nạn nhân khỏi các tập tin của họ. Giai đoạn thứ ba của cuộc tấn công bây giờ bắt đầu với việc tội phạm yêu cầu tiền chuộc cho khóa riêng.
Thực tế đơn giản là nhiều nạn nhân phải trả tiền chuộc, với số tiền chuộc có thể lên tới hàng triệu đô la.
Sử dụng đặc tính cơ bản này của ransomware, có thể phân biệt các kiểu tấn công khác nhau. Ở một thái cực, chúng ta có các cuộc tấn công “cấp thấp” trong đó các tập tin không được mã hóa hoặc tội phạm không cố gắng đòi tiền chuộc. Nhưng ở khía cạnh khác, những kẻ tấn công lại nỗ lực đáng kể để tối đa hóa sự gián đoạn và đòi tiền chuộc.
Cuộc tấn công ransomware WannaCry vào tháng 5 năm 2017 là một ví dụ như vậy. Cuộc tấn công, có liên quan đến chính phủ Bắc Triều Tiên, không thực hiện nỗ lực thực sự nào để đòi tiền chuộc từ các nạn nhân. Tuy nhiên, nó đã dẫn đến sự gián đoạn trên diện rộng trên toàn thế giới, bao gồm cả NHS của Vương quốc Anh, với một số tổ chức lập mô hình rủi ro an ninh mạng thậm chí còn cho biết thiệt hại kinh tế toàn cầu lên tới hàng tỷ USD.
Rất khó để phân biệt động cơ trong trường hợp này, nhưng nói chung, mục đích chính trị hoặc lỗi đơn giản của những kẻ tấn công có thể góp phần dẫn đến việc thiếu giá trị mạch lạc thông qua việc tống tiền.
Nghiên cứu của chúng tôi tập trung vào cực đoan thứ hai của các cuộc tấn công bằng ransomware, trong đó bọn tội phạm tìm cách ép buộc nạn nhân phải trả tiền. Điều này không loại trừ động cơ chính trị. Thật vậy, có bằng chứng về mối liên hệ giữa các nhóm ransomware lớn và nhà nước Nga. Chúng ta có thể phân biệt mức độ mà các cuộc tấn công ransomware được thúc đẩy bởi lợi ích tài chính bằng cách quan sát nỗ lực đầu tư vào đàm phán, sự sẵn sàng hỗ trợ hoặc tạo điều kiện thanh toán tiền chuộc và sự hiện diện của các dịch vụ rửa tiền. Bằng cách đầu tư vào các công cụ và dịch vụ tạo điều kiện thuận lợi cho việc thanh toán tiền chuộc và chuyển đổi tiền chuộc sang tiền tệ truyền thống, những kẻ tấn công báo hiệu động cơ tài chính của chúng.
Như vụ tấn công vào Chính quyền Thành phố Dallas cho thấy, tác động tài chính và xã hội của các cuộc tấn công bằng ransomware có thể rất đa dạng và nghiêm trọng.
Các cuộc tấn công ransomware có tác động mạnh, chẳng hạn như vụ nhắm vào Colonial Oil vào tháng 5 năm 2021 và khiến đường ống dẫn nhiên liệu lớn của Hoa Kỳ ngừng hoạt động, rõ ràng là nguy hiểm đối với tính liên tục của các dịch vụ quan trọng.
Vào tháng 1 năm 2023, đã xảy ra một cuộc tấn công bằng ransomware vào Royal Mail ở Anh khiến việc giao hàng quốc tế bị đình chỉ. Phải mất hơn một tháng để mức độ dịch vụ trở lại bình thường. Cuộc tấn công này sẽ có tác động trực tiếp đáng kể đến doanh thu và danh tiếng của Royal Mail. Nhưng có lẽ quan trọng hơn là nó đã tác động đến tất cả các doanh nghiệp nhỏ và những người dựa vào nó.
Vào tháng 5 năm 2021, NHS Ireland đã bị tấn công bằng ransomware. Điều này ảnh hưởng đến mọi khía cạnh của việc chăm sóc bệnh nhân với việc hủy bỏ các cuộc hẹn trên diện rộng. Taoiseach Micheál Martin cho biết:“Đó là một cuộc tấn công gây sốc nhằm vào một dịch vụ y tế, nhưng về cơ bản là nhằm vào bệnh nhân và công chúng Ireland.” Dữ liệu nhạy cảm cũng bị rò rỉ. Tác động tài chính của cuộc tấn công có thể lên tới 100 triệu euro. Tuy nhiên, điều này không tính đến tác động về mặt sức khỏe và tâm lý đối với bệnh nhân và nhân viên y tế bị ảnh hưởng bởi sự gián đoạn.
Bên cạnh các dịch vụ y tế, giáo dục cũng là mục tiêu hàng đầu. Ví dụ:vào tháng 1 năm 2023, một trường học ở Guilford, Vương quốc Anh, đã bị tấn công bởi bọn tội phạm đe dọa công bố dữ liệu nhạy cảm bao gồm các báo cáo bảo vệ và thông tin về trẻ em dễ bị tổn thương.
Các cuộc tấn công cũng được tính toán thời gian để tối đa hóa sự gián đoạn. Ví dụ:một cuộc tấn công vào tháng 6 năm 2023 nhằm vào một trường học ở Dorchester, Vương quốc Anh, khiến trường này không thể sử dụng email hoặc truy cập các dịch vụ trong kỳ thi chính. Điều này có thể tác động sâu sắc đến sức khỏe và thành tích học tập của trẻ em.
Những ví dụ này không có nghĩa là đầy đủ. Ví dụ, nhiều cuộc tấn công nhắm trực tiếp vào các doanh nghiệp và tổ chức từ thiện quá nhỏ để thu hút sự chú ý. Tác động đối với một doanh nghiệp nhỏ về sự gián đoạn kinh doanh, mất danh tiếng và cái giá phải trả về mặt tâm lý khi phải đối mặt với hậu quả của một cuộc tấn công có thể rất tàn khốc. Ví dụ:một cuộc khảo sát vào năm 2021 cho thấy 34% doanh nghiệp ở Vương quốc Anh bị tấn công bằng ransomware sau đó đã đóng cửa. Và, nhiều doanh nghiệp tiếp tục hoạt động vẫn phải sa thải nhân viên.
Nguồn gốc của ransomware thường bắt nguồn từ virus AIDS hoặc PC Cyborg Trojan vào những năm 1980. Trong trường hợp này, nạn nhân đưa đĩa mềm vào máy tính của họ sẽ thấy các tập tin của họ sau đó được mã hóa và yêu cầu thanh toán. Các đĩa được phân phối cho những người tham dự và những người quan tâm đến các hội nghị cụ thể, những người sau đó sẽ cố gắng truy cập vào đĩa để hoàn thành một cuộc khảo sát - thay vì bị nhiễm trojan. Các tệp trên máy tính bị ảnh hưởng đã được mã hóa bằng khóa được lưu trữ cục bộ trên mỗi máy mục tiêu. Về nguyên tắc, nạn nhân có thể khôi phục quyền truy cập vào tệp của họ bằng cách sử dụng khóa này. Tuy nhiên, nạn nhân có thể không biết rằng họ có thể làm điều này, vì ngay cả bây giờ, kiến thức kỹ thuật về mật mã vẫn chưa phổ biến ở hầu hết người dùng PC.
Cuối cùng, cơ quan thực thi pháp luật đã lần ra những chiếc đĩa mềm này cho một nhà sinh vật học tiến hóa được giảng dạy tại Harvard tên là Joseph Popp, người đang tiến hành nghiên cứu về bệnh AIDS vào thời điểm đó. Anh ta đã bị bắt và bị buộc tội nhiều tội tống tiền, đồng thời được một số người cho là người phát minh ra ransomware. Không ai biết chính xác điều gì đã thúc đẩy Popp làm những gì anh ấy đã làm.
Nhiều phiên bản đầu tiên của ransomware là các hệ thống mật mã khá cơ bản, gặp phải nhiều vấn đề khác nhau xung quanh việc dễ dàng tìm thấy thông tin quan trọng mà tên tội phạm đang cố giấu nạn nhân. Đây là một lý do khiến ransomware thực sự trưởng thành sau cuộc tấn công CryptoLocker vào năm 2013 và 2014.
CryptoLocker là loại virus tấn công ransomware có kỹ thuật tốt đầu tiên được phân phối hàng loạt. Hàng nghìn nạn nhân đã thấy các tập tin của họ bị mã hóa bởi ransomware mà không thể đảo ngược được. Các khóa riêng, được sử dụng để mã hóa, đã bị kẻ tấn công nắm giữ và nạn nhân không thể khôi phục quyền truy cập vào tệp của họ nếu không có chúng. Người ta yêu cầu khoản tiền chuộc khoảng 300-600 USD và ước tính bọn tội phạm đã lấy đi khoảng 3 triệu USD. Cryptolocker cuối cùng đã bị đóng cửa vào năm 2014 sau một hoạt động liên quan đến nhiều cơ quan thực thi pháp luật quốc tế.
CryptoLocker đóng vai trò quan trọng trong việc đưa ra bằng chứng cho thấy tội phạm có thể kiếm được số tiền lớn từ ransomware. Sau đó là sự bùng nổ của các biến thể và chủng loại mới. Ngoài ra còn có sự tiến hóa đáng kể trong các chiến lược mà bọn tội phạm sử dụng.
Một bước phát triển quan trọng là sự xuất hiện của ransomware dưới dạng dịch vụ. Đây là thuật ngữ chỉ các thị trường trên web đen, qua đó bọn tội phạm có thể lấy và sử dụng phần mềm tống tiền “có sẵn” mà không cần kỹ năng tính toán nâng cao trong khi các nhà cung cấp phần mềm tống tiền sẽ cắt giảm lợi nhuận.
Nghiên cứu đã chỉ ra rằng web đen là “Miền Tây hoang dã không được kiểm soát của Internet” và là nơi trú ẩn an toàn cho bọn tội phạm giao tiếp và trao đổi hàng hóa và dịch vụ bất hợp pháp. Nó có thể truy cập dễ dàng và với sự trợ giúp của công nghệ ẩn danh và tiền tệ kỹ thuật số, nền kinh tế đen toàn cầu đang phát triển mạnh ở đó. Theo Cơ quan Thực thi Pháp luật Liên minh Châu Âu, ước tính khoảng 1 tỷ USD đã được chi ở đó chỉ trong 9 tháng đầu năm 2019.
Với ransomware như một dịch vụ (Raas), rào cản gia nhập đối với tội phạm mạng đầy tham vọng, cả về chi phí và kỹ năng, đã được hạ xuống.
Theo mô hình Raas, chuyên môn được cung cấp bởi các nhà cung cấp phát triển phần mềm độc hại trong khi bản thân những kẻ tấn công có thể tương đối không có tay nghề. Điều này cũng có tác dụng phân chia rủi ro – việc bắt giữ tội phạm mạng sử dụng ransomware không còn đe dọa đến toàn bộ chuỗi cung ứng, cho phép các cuộc tấn công do các nhóm khác phát động tiếp tục.
Chúng tôi cũng đã chứng kiến sự chuyển dịch từ các cuộc tấn công lừa đảo hàng loạt, như CryptoLocker, tấn công hơn 250.000 hệ thống, sang các cuộc tấn công có mục tiêu hơn. Điều đó có nghĩa là sự tập trung ngày càng tăng vào các tổ chức có doanh thu để trả những khoản tiền chuộc lớn. Các tổ chức đa quốc gia, công ty pháp lý, trường học, trường đại học, bệnh viện và nhà cung cấp dịch vụ chăm sóc sức khỏe đều trở thành mục tiêu hàng đầu cũng như nhiều doanh nghiệp nhỏ và siêu nhỏ cũng như các tổ chức từ thiện.
Một sự phát triển gần đây hơn về ransomware, chẳng hạn như Netwalker, REvil/Sodinokibi, là mối đe dọa tống tiền kép. Đây là nơi bọn tội phạm không chỉ mã hóa tập tin mà còn lấy cắp dữ liệu bằng cách sao chép tập tin. Sau đó, họ có khả năng rò rỉ hoặc đăng thông tin quan trọng và nhạy cảm.
Một ví dụ về điều này xảy ra vào năm 2020, khi một trong những công ty phần mềm lớn nhất, Software AG, bị tấn công bởi một ransomware tống tiền kép có tên Clop. Có thông tin cho rằng những kẻ tấn công đã yêu cầu một khoản tiền chuộc đặc biệt cao là 20 triệu đô la Mỹ (khoảng 15,7 triệu bảng Anh) nhưng Software AG đã từ chối trả. Điều này dẫn đến việc những kẻ tấn công tiết lộ dữ liệu bí mật của công ty trên web đen. Điều này cung cấp cho bọn tội phạm hai nguồn đòn bẩy:chúng có thể đòi tiền chuộc để lấy khóa riêng để giải mã các tệp và chúng có thể đòi tiền chuộc để ngừng xuất bản dữ liệu nhạy cảm.
Tống tiền kép thay đổi mô hình kinh doanh của ransomware theo những cách thú vị. Đặc biệt, với ransomware tiêu chuẩn, nạn nhân có động cơ tương đối đơn giản là trả tiền chuộc để truy cập vào khóa riêng nếu điều đó cho phép giải mã các tệp và họ không thể truy cập các tệp thông qua bất kỳ phương tiện nào khác. Nạn nhân “chỉ” cần tin tưởng rằng tội phạm mạng sẽ đưa cho họ chìa khóa và chìa khóa đó sẽ hoạt động.
Nhưng ngược lại, với việc trích xuất dữ liệu, không rõ nạn nhân sẽ nhận được gì khi trả tiền chuộc. Bọn tội phạm vẫn có dữ liệu nhạy cảm và vẫn có thể xuất bản nó bất cứ lúc nào chúng muốn. Thực tế, họ có thể yêu cầu các khoản tiền chuộc tiếp theo để không xuất bản các tập tin.
Do đó, để việc lấy cắp dữ liệu trở thành một chiến lược kinh doanh khả thi, bọn tội phạm cần xây dựng danh tiếng đáng tin cậy về việc “tôn vinh” các khoản thanh toán tiền chuộc. Điều này được cho là đã dẫn đến một hệ sinh thái ransomware được bình thường hóa.
Ví dụ:người đàm phán tiền chuộc là nhà thầu tư nhân và trong một số trường hợp được yêu cầu như một phần của thỏa thuận bảo hiểm mạng để cung cấp kiến thức chuyên môn trong việc quản lý các tình huống khủng hoảng liên quan đến ransomware. Nếu được hướng dẫn, họ sẽ tạo điều kiện thuận lợi cho việc thanh toán tiền chuộc được thương lượng. Trong hệ sinh thái này, một số nhóm tội phạm ransomware đã nổi tiếng vì không công bố dữ liệu (hoặc ít nhất là trì hoãn việc công bố) nếu trả tiền chuộc.
Nói chung, việc mã hóa, giải mã hoặc trích xuất các tập tin thường là một nhiệm vụ khó khăn và tốn kém đối với bọn tội phạm. Việc xóa các tập tin và sau đó tuyên bố rằng chúng đã được mã hóa hoặc bị lấy cắp và yêu cầu tiền chuộc sẽ đơn giản hơn nhiều. Tuy nhiên, nếu nạn nhân nghi ngờ rằng họ sẽ không lấy lại được khóa giải mã hoặc dữ liệu được mã hóa thì họ sẽ không trả tiền chuộc. Và những người trả tiền chuộc và không nhận được gì có thể tiết lộ sự thật đó. Điều này có thể ảnh hưởng đến “danh tiếng” của kẻ tấn công và khả năng thanh toán tiền chuộc trong tương lai. Nói một cách đơn giản, bạn nên chơi “công bằng” trong thế giới của các cuộc tấn công tống tiền và đòi tiền chuộc.
Vì vậy, trong vòng chưa đầy mười năm, chúng ta đã thấy mối đe dọa ransomware phát triển vượt bậc từ CryptoLocker quy mô tương đối thấp đến một doanh nghiệp trị giá hàng triệu đô la liên quan đến các băng nhóm tội phạm có tổ chức và các chiến lược phức tạp. Từ năm 2020 trở đi, các sự cố về ransomware và những tổn thất do đó dường như đã tăng lên theo một mức độ khác. Phần mềm tống tiền đã trở nên quá lớn đến mức không thể bỏ qua và hiện là mối lo ngại lớn đối với các chính phủ cũng như cơ quan thực thi pháp luật.
Mặc dù ransomware đã trở nên tàn khốc nhưng mối đe dọa chắc chắn sẽ phát triển hơn nữa khi bọn tội phạm phát triển các kỹ thuật tống tiền mới. Như đã đề cập, chủ đề chính trong nghiên cứu chung của chúng tôi trong mười năm qua là cố gắng ngăn chặn các chiến lược khả thi mà bọn tội phạm có thể sử dụng để dẫn đầu cuộc chơi.
Nghiên cứu của chúng tôi hiện tập trung vào thế hệ ransomware tiếp theo. Chúng tôi tin rằng thế hệ này sẽ bao gồm các biến thể tập trung vào tiền điện tử và “cơ chế đồng thuận” được sử dụng trong đó.
Cơ chế đồng thuận là bất kỳ phương pháp nào (thường là thuật toán) được sử dụng để đạt được sự đồng thuận, tin cậy và bảo mật trên mạng máy tính phi tập trung.
Cụ thể, tiền điện tử đang ngày càng sử dụng cơ chế đồng thuận “bằng chứng cổ phần”, trong đó các nhà đầu tư đặt cọc số tiền đáng kể để xác thực các giao dịch tiền điện tử. Những cổ phần này dễ bị bọn tội phạm ransomware tống tiền.
Tiền điện tử dựa trên một chuỗi khối phi tập trung cung cấp bản ghi minh bạch về tất cả các giao dịch đã diễn ra bằng loại tiền đó. Chuỗi khối được duy trì bởi mạng ngang hàng chứ không phải cơ quan trung ương (như với tiền tệ thông thường). Về nguyên tắc, các hồ sơ giao dịch có trong blockchain là bất biến, có thể xác minh và phân phối an toàn trên mạng, mang lại cho người dùng toàn quyền sở hữu và khả năng hiển thị dữ liệu giao dịch. Các thuộc tính này của blockchain dựa trên một “cơ chế đồng thuận” an toàn và không thể thao túng, trong đó các nút độc lập trong mạng “phê duyệt” hoặc “đồng ý” những giao dịch nào sẽ được thêm vào blockchain.
Cho đến nay, các loại tiền điện tử như Bitcoin đã dựa vào cái gọi là cơ chế đồng thuận “bằng chứng công việc”, trong đó việc ủy quyền giao dịch liên quan đến việc giải quyết các vấn đề toán học phức tạp (công việc). Về lâu dài, cách tiếp cận này không bền vững vì nó dẫn đến nỗ lực trùng lặp và có thể tránh được việc sử dụng năng lượng trên quy mô lớn.
Giải pháp thay thế hiện đang trở thành hiện thực là cơ chế đồng thuận “bằng chứng cổ phần”. Tại đây, các giao dịch được phê duyệt bởi những người xác thực đã đặt tiền và được khen thưởng về mặt tài chính cho việc xác thực các giao dịch. Vai trò của công việc kém hiệu quả được thay thế bằng cổ phần tài chính. Mặc dù điều này giải quyết được vấn đề năng lượng nhưng điều đó có nghĩa là một lượng lớn tiền đặt cọc sẽ tham gia vào việc xác thực các giao dịch tiền điện tử.
Sự tồn tại của số tiền đặt cược này mang đến một mối đe dọa mới đối với một số loại tiền điện tử bằng chứng cổ phần. Chúng tôi đã tập trung sự chú ý vào Ethereum, một loại tiền điện tử phi tập trung thiết lập mạng ngang hàng để thực thi và xác minh mã ứng dụng một cách an toàn, được gọi là hợp đồng thông minh.
Ethereum được hỗ trợ bởi mã thông báo Ether (ETH) cho phép người dùng giao dịch với nhau thông qua việc sử dụng các hợp đồng thông minh này. Dự án Ethereum được Vitalik Buterin đồng sáng lập vào năm 2013 nhằm khắc phục những thiếu sót với Bitcoin. Vào ngày 15 tháng 9 năm 2022, The Merge đã chuyển mạng Ethereum từ bằng chứng công việc sang bằng chứng cổ phần, khiến nó trở thành một trong những loại tiền điện tử có bằng chứng cổ phần nổi bật đầu tiên.
Cơ chế đồng thuận bằng chứng cổ phần trong Ethereum dựa vào “trình xác thực” để phê duyệt các giao dịch. Để thiết lập trình xác thực, cần phải có số tiền đặt cọc tối thiểu là 32ETH, hiện ở mức khoảng 60.000 USD (khoảng 43.000 bảng Anh). Sau đó, người xác thực có thể kiếm được lợi nhuận tài chính từ cổ phần của họ từ việc vận hành trình xác thực theo các quy tắc Ethereum. Tại thời điểm viết bài, có khoảng 850.000 người xác nhận.
Rất nhiều hy vọng đang đặt vào giải pháp xác thực “cổ phần” - nhưng tin tặc chắc chắn đang xem xét cách chúng có thể xâm nhập vào hệ thống.
Trong dự án được Ethereum Foundation tài trợ, chúng tôi đã xác định những cách mà các nhóm ransomware có thể khai thác cơ chế bằng chứng cổ phần mới để tống tiền.
Chúng tôi nhận thấy rằng những kẻ tấn công có thể khai thác trình xác thực thông qua một quy trình được gọi là “chém”. Mặc dù người xác thực nhận được phần thưởng vì tuân thủ các quy tắc, nhưng vẫn có những hình phạt tài chính đối với người xác thực bị coi là có hành động ác ý. Mục tiêu cơ bản của các hình phạt là ngăn chặn việc khai thác chuỗi khối phi tập trung.
Có hai hình thức xử phạt, trong đó nghiêm khắc nhất là chém. Việc cắt giảm xảy ra đối với các hành động không nên xảy ra một cách ngẫu nhiên và có thể gây nguy hiểm cho blockchain, chẳng hạn như đề xuất các khối xung đột được thêm vào blockchain hoặc cố gắng thay đổi lịch sử.
Các hình phạt chặt chém tương đối nghiêm khắc với việc người xác nhận mất một phần đáng kể cổ phần của họ, ít nhất là 1ETH. Thật vậy, trong trường hợp cực đoan nhất, người xác nhận có thể mất toàn bộ số cổ phần của họ (32ETH). Người xác nhận cũng sẽ buộc phải thoát và không còn đóng vai trò là người xác thực nữa. Nói tóm lại, nếu trình xác thực bị cắt thì sẽ có hậu quả tài chính lớn.
Để thực hiện các hành động, người xác nhận được chỉ định các khóa ký duy nhất, về bản chất, để chứng minh họ là ai đối với mạng. Giả sử một tên tội phạm đã nắm giữ được khóa ký? Sau đó, họ có thể tống tiền nạn nhân để trả tiền chuộc.
Sơ đồ quy trình cho thấy mức độ phức tạp khi có một cuộc tấn công tống tiền nhằm vào các trình xác thực bằng chứng cổ phần, chẳng hạn như Ethereum
Nạn nhân có thể miễn cưỡng trả tiền chuộc trừ khi có đảm bảo rằng bọn tội phạm sẽ không lấy tiền của họ và không trả lại/thả chìa khóa. Rốt cuộc, điều gì có thể ngăn chặn bọn tội phạm đòi thêm một khoản tiền chuộc khác?
Một giải pháp mà chúng tôi đã tìm ra – dựa trên thực tế là ransomware trên thực tế đã trở thành một loại hình kinh doanh được điều hành bởi những tên tội phạm muốn chứng minh rằng chúng có danh tiếng “trung thực” – là một hợp đồng thông minh.
Hợp đồng tự động này có thể được viết sao cho quy trình chỉ hoạt động nếu cả hai bên đều “tôn trọng” bên đã thỏa thuận. Vì vậy, nạn nhân có thể trả tiền chuộc và tin tưởng rằng điều này sẽ giải quyết được mối đe dọa tống tiền trực tiếp. Điều này có thể thực hiện được thông qua Ethereum vì tất cả các bước bắt buộc đều có thể được quan sát công khai trên blockchain – tiền gửi, dấu hiệu thoát, không bị cắt giảm và trả lại tiền đặt cược.
Về mặt chức năng, các hợp đồng thông minh này là một hệ thống ký quỹ trong đó tiền có thể được giữ cho đến khi đáp ứng các điều kiện đã thỏa thuận trước. Chẳng hạn, nếu bọn tội phạm buộc chém trước khi người xác nhận hoàn toàn thoát ra thì hợp đồng sẽ đảm bảo rằng số tiền chuộc sẽ được trả lại cho nạn nhân. Tuy nhiên, những hợp đồng như vậy có thể bị lạm dụng và không có gì đảm bảo rằng hợp đồng do kẻ tấn công tạo ra có thể đáng tin cậy. Có khả năng hợp đồng sẽ được tự động hóa theo cách hoàn toàn đáng tin cậy, nhưng chúng tôi vẫn chưa quan sát thấy hành vi như vậy và các hệ thống xuất hiện.
Loại chiến lược “trả tiền và thoát” này là một cách hiệu quả để bọn tội phạm tống tiền nạn nhân nếu họ có thể lấy được khóa ký xác thực.
Vậy một cuộc tấn công ransomware như thế này sẽ gây ra thiệt hại bao nhiêu cho Ethereum? Nếu một trình xác thực duy nhất bị xâm phạm thì hình phạt cắt giảm – và do đó, yêu cầu tiền chuộc tối đa – sẽ ở khoảng 1ETH, tức là khoảng 1.800 đô la Mỹ (khoảng 1.400 bảng Anh). Do đó, để tận dụng số tiền lớn hơn, bọn tội phạm cần nhắm mục tiêu vào các tổ chức hoặc nhóm đặt cược chịu trách nhiệm quản lý số lượng lớn người xác thực.
Hãy nhớ rằng, do chi phí đầu vào cao đối với các nhà đầu tư cá nhân, hầu hết quá trình xác thực trên Ethereum sẽ được thực hiện trong các “nhóm đặt cược” trong đó nhiều nhà đầu tư có thể cùng nhau đặt cược tiền.
Để so sánh điều này, Lido là nhóm đặt cược lớn nhất trong Ethereum với khoảng 127.000 người xác thực và 18% tổng số cổ phần; Coinbase là sàn lớn thứ hai với 40.000 trình xác nhận và 6% tổng số cổ phần. Tổng cộng, có 21 nhóm đặt cược vận hành hơn 1.000 trình xác nhận. Bất kỳ nhóm đặt cược nào trong số này đều chịu trách nhiệm về số cổ phần trị giá hàng chục triệu đô la và do đó, yêu cầu tiền chuộc khả thi cũng có thể lên tới hàng triệu đô la.
Các cơ chế đồng thuận bằng chứng cổ phần còn quá non trẻ để chúng ta có thể biết liệu việc tống tiền các nhóm đặt cược có trở thành hiện thực hay không. Nhưng bài học chung về sự phát triển của ransomware là bọn tội phạm có xu hướng hướng tới các chiến lược khuyến khích thanh toán và tăng lợi nhuận bất chính của chúng.
Cách đơn giản nhất mà các nhà đầu tư và nhà điều hành nhóm đặt cược có thể giảm thiểu mối đe dọa tống tiền mà chúng tôi đã xác định là bảo vệ khóa ký của họ. Nếu bọn tội phạm không thể truy cập vào các khóa ký thì không có mối đe dọa nào. Nếu bọn tội phạm chỉ có thể truy cập một số khóa (đối với người vận hành có nhiều trình xác thực) thì mối đe dọa có thể không mang lại lợi nhuận.
Vì vậy, các nhóm đặt cược cần phải thực hiện các biện pháp để bảo đảm khóa ký. Điều này sẽ liên quan đến một loạt hành động bao gồm:phân vùng trình xác thực để vi phạm chỉ ảnh hưởng đến một tập hợp con nhỏ; tăng cường an ninh mạng để ngăn chặn sự xâm nhập và các quy trình nội bộ mạnh mẽ để hạn chế mối đe dọa nội bộ khi nhân viên tiết lộ khóa ký.
Thị trường nhóm đặt cược cho các loại tiền điện tử như Ethereum rất cạnh tranh. Có nhiều nhóm đặt cược, tất cả đều cung cấp các dịch vụ tương đối giống nhau và cạnh tranh về giá để thu hút các nhà đầu tư. Những lực lượng cạnh tranh này và nhu cầu cắt giảm chi phí có thể dẫn đến các biện pháp an ninh tương đối lỏng lẻo. Do đó, một số nhóm đặt cược có thể trở thành mục tiêu tương đối dễ dàng cho bọn tội phạm.
Cuối cùng, điều này chỉ có thể được giải quyết bằng quy định, nhận thức cao hơn và để các nhà đầu tư trong nhóm đặt cược yêu cầu mức độ bảo mật cao để bảo vệ cổ phần của họ.
Thật không may, lịch sử của ransomware cho thấy rằng các cuộc tấn công cấp cao sẽ cần phải được xem xét trước khi mối đe dọa được xem xét đủ nghiêm túc. Thật thú vị khi xem xét hậu quả của việc vi phạm đáng kể nhóm đặt cược. Danh tiếng của nhóm đặt cược có lẽ sẽ bị ảnh hưởng nặng nề và do đó khả năng tồn tại của nhóm đặt cược trong một thị trường cạnh tranh là điều đáng nghi ngờ. Một cuộc tấn công cũng có thể gây ảnh hưởng tới danh tiếng của đồng tiền.
Ở mức nghiêm trọng nhất, nó có thể dẫn đến sự sụp đổ của đồng tiền. Khi điều đó xảy ra - như đã xảy ra với FTX vào năm 2022 sau một cuộc tấn công hack khác, sẽ có những tác động dây chuyền đối với nền kinh tế toàn cầu.
Ransomware sẽ là một thách thức trong nhiều năm, nếu không nói là nhiều thập kỷ tới.
Một tầm nhìn tiềm năng trong tương lai là ransomware sẽ trở thành một phần của đời sống kinh tế bình thường khi các tổ chức phải đối mặt với mối đe dọa tấn công liên tục, với rất ít hậu quả đối với các băng nhóm tội phạm mạng phần lớn ẩn danh đứng sau các vụ lừa đảo.
Để tránh những hậu quả tiêu cực như vậy, chúng ta cần nhận thức rõ hơn về mối đe dọa. Sau đó, các nhà đầu tư có thể đưa ra quyết định sáng suốt hơn về việc nên đầu tư vào nhóm đặt cược và loại tiền tệ nào. Việc có một thị trường với nhiều nhóm đặt cược cũng có ý nghĩa thay vì một thị trường bị thống trị bởi chỉ một số nhóm lớn, vì điều này có thể bảo vệ tiền tệ khỏi các cuộc tấn công có thể xảy ra.
Ngoài tiền điện tử, quyền ưu tiên bao gồm đầu tư vào an ninh mạng dưới nhiều hình thức – từ đào tạo nhân viên và văn hóa tổ chức hỗ trợ báo cáo sự cố. Nó cũng liên quan đến việc đầu tư vào các phương án phục hồi, chẳng hạn như dự phòng hiệu quả, chuyên môn nội bộ, bảo hiểm và các kế hoạch dự phòng đã được thử nghiệm và thử nghiệm.
Thật không may, các biện pháp an ninh mạng không được cải thiện như người ta có thể hy vọng ở nhiều tổ chức và điều này đang để ngỏ cánh cửa cho tội phạm mạng. Về cơ bản, mọi người cần phải cải thiện khả năng ẩn và bảo vệ khóa kỹ thuật số cũng như thông tin nhạy cảm của mình nếu muốn có cơ hội chống lại thế hệ kẻ tấn công ransomware tiếp theo.
Dành cho bạn:thông tin thêm từ loạt bài Thông tin chi tiết của chúng tôi:
Bắc Cực tan chảy là hiện trường vụ án. Những vi khuẩn mà tôi nghiên cứu từ lâu đã cảnh báo chúng ta về thảm họa này – nhưng chúng cũng chính là nguyên nhân gây ra nó
Những câu chuyện nổi tiếng của Beatrix Potter bắt nguồn từ những câu chuyện được kể bởi những người châu Phi bị nô lệ – nhưng cô rất kín tiếng về nguồn gốc của chúng
Windrush vô hình:câu chuyện về những người lao động Ấn Độ đến từ vùng Caribe bị lãng quên như thế nào
Để biết về các bài viết Thông tin chi tiết mới, hãy tham gia cùng hàng trăm nghìn người đánh giá cao tin tức dựa trên bằng chứng của The Conversation. Đăng ký nhận bản tin của chúng tôi .