NHẬN DIỆN HOẠT ĐỘNG CỦA MÃ ĐỘC TỐNG TIỀN
Hiện nay, nhiều thiết bị điện thoại thông minh (smartphone) của người dùng tại Việt Nam đã bị lây nhiễm một loại mã độc có khả năng chiếm quyền điều khiển toàn bộ màn hình. Khi bị nhiễm loại mã độc này, cho dù người dùng có khởi động lại điện thoại cũng không thể quay trở về màn hình chính và sử dụng smartphone được bình thường. Đồng thời, tin tặc cũng đưa ra số điện thoại để nạn nhân có thể liên hệ và mua khóa giải mã, với mức giá nhất định.
Bản chất của ransomware là ẩn mã độc trong các file cài đặt ứng dụng dành cho smartphone để khi người dùng truy cập vào thì sẽ thực hiện mã hóa các dữ liệu của nạn nhân hoặc khóa quyền truy cập thiết bị của người dùng và yêu cầu một khoản tiền chuộc nhất định để mở khóa dữ liệu trả lại quyền truy cập thiết bị hoặc dữ liệu. Tuy nhiên, rất khó để truy lùng dấu vết của đối tượng đứng sau.
Hiện nay, ransomware đang được chia thành 2 loại dựa trên hình thức tấn công, loại một là mã hóa dữ liệu để tống tiền và loại hai là khóa thiết bị. Cụ thể, Mã độc mã hóa dữ liệu: tin tặc sẽ mã hóa dữ liệu của nạn nhân và gửi thông báo khi nạn nhân trả tiền chuộc, tin tặc sẽ gửi lại mật khẩu để giải mã dữ liệu; Đối với loại mã độc khóa thiết bị: tin tặc sẽ chặn quyền đăng nhập cũng như truy cập vào thiết bị và gửi đến màn hình một hướng dẫn trả tiền chuộc, khi nạn nhân đáp ứng yêu cầu thì sẽ nhận được hướng dẫn đăng nhập thiết bị.
Xuất hiện nhiều loại kỹ thuật tấn công vào smartphone không giống nhau nên nhiều chuyên gia nhận định khả năng các cuộc tấn công được thực hiện bởi những nhóm tội phạm khác nhau, cho thấy đây là hoạt động có tổ chức. Tin tặc sẽ phải cài các mã độc nằm vùng, thu thập thông tin hằng ngày, từ đó phân tích, đánh giá và lựa chọn mục tiêu để mã hóa dữ liệu.
Dưới đây là một số ransomware điển hình được cài trên các ứng dụng có thể âm thầm mã hóa dữ liệu trên smartphone để tống tiền:
Ransomware có định dạng file “.apk”: Đây là một định dạng file để cài đặt các ứng dụng từ nguồn không xác định. Nếu người dùng vô tình tải nhầm file từ những nguồn mà tin tặc nắm giữ và tiến hành cài đặt thì thiết bị sẽ bị lây nhiễm mã độc này.
Ransomware SecuriDropper: Có khả năng xuyên qua hệ thống bảo mật trong hệ điều hành Android để chiếm quyền điều khiển điện thoại. Mã độc này được thiết kế để chia nhỏ việc cài đặt thành nhiều bước, hoạt động như một đường dẫn nhằm cài đặt trên thiết bị. Đây là một dạng malware có tính năng «dropper», tức là nó không chỉ tự nó gây hại mà còn đóng vai trò như một phương tiện trung gian để đưa các phần mềm độc hại khác vào hệ thống.
Ransomware “Daam”: Loại mã độc này được các chuyên gia đánh giá là có cách thức hoạt động tinh vi, có thể vượt qua được các ứng dụng bảo mật cài đặt trên smartphone và gây ra nhiều hậu quả nghiêm trọng. Sau khi lây nhiễm lên smartphone, mã độc Daam có thể đánh cắp dữ liệu, thu thập thông tin nhạy cảm, nghe lén và ghi lại toàn bộ các cuộc gọi đến và đi trên smartphone của nạn nhân, kể cả những cuộc gọi được thực hiện thông qua các ứng dụng thứ 3 như Messenger, Telegram hay WhatsApp… Theo các chuyên gia của CloudSEK, có 3 ứng dụng có chứa mã độc Daam, bao gồm Psiphon – ứng dụng tạo mạng riêng ảo VPN, Boulders – game di động và Currency Pro – ứng dụng chuyển đổi giá trị tiền tệ.
Bên cạnh đó, các cuộc tấn công mạng cũng ngày càng tinh vi, đặc biệt có sự tham gia của các nhóm tội phạm lớn quy mô quốc tế. Theo cảnh báo của các tổ chức quốc tế nghiên cứu bảo mật thông tin cho biết, đã phát hiện 28 ứng dụng có xu hướng lây lan mã độc nhắm đến người dùng Android trên thế giới trong đó nguy cơ xâm nhập vào Việt Nam, các ứng dụng được mạo danh dưới dạng các ứng dụng hữu ích để lừa người dùng cài đặt. Trong số 28 ứng dụng này, 17 ứng dụng mạo danh dưới dạng các công cụ VPN, với lời quảng cáo giúp người dùng duyệt web an toàn hơn và che giấu thông tin thật trên Internet. 28 ứng dụng có chứa mã độc bao gồm: Lite VPN; Anims Keyboard; Blaze Stride; Byte Blade VPN; Android 12 Launcher; Android 13 Launcher; Android 14 Launcher; CaptainDroid Feeds; Free Old Classic Movies; Phone Comparison; Fast Fly VPN; Fast Fox VPN; Fast Line VPN; Funny Char Ging Animation; Limo Edges; Oko VPN; Phone App Launcher; Quick Flow VPN; Sample VPN; Secure Thunder; Shine Secure; Speed Surf; Swift Shield VPN; Turbo Track VPN; Turbo Tunnel VPN; Yellow Flash VPN; VPN Ultra; Run VPN.
GIẢI PHÁP PHÒNG CHỐNG
Triển khai mô hình bảo vệ bốn lớp
Đây là hệ thống vĩ mô cho cả nhà mạng và người sử dụng, nhằm bảo đảm an toàn thông tin mạng được Thủ tướng Chính phủ chỉ đạo thực hiện tại Chỉ thị 14/ CT-TTg ngày 07/6/2019 về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam. Trong đó tập trung vào nhiệm vụ rà soát lỗ hổng và tăng cường các giải pháp công nghệ, khắc phục điểm yếu của hệ thống, phát hiện kịp thời khi hệ thống bị tấn công, xâm nhập, không cài đặt phần mềm không rõ nguồn gốc, cảnh giác với những mối đe dọa ransomware mới xuất hiện.
Không thỏa hiệp với tội phạm mạng
Để đảm bảo quyền lợi của mình, người dùng nên bình tĩnh, kiểm tra danh tính xác thực của tin tặc, khôn khéo thương lượng, dùng kế hoãn binh, trì hoãn hoặc kéo dài thười gian thanh toán tiền chuộc. Tìm cách ghi âm, hoặc thu thập bằng chứng trên thiết bị, đồng thời sử dụng thiết bị khác lựa chọn hình thức và tiến hành tố giác, báo tin về vụ việc tới cơ quan chức năng có thẩm quyền đề nghị phối hợp xem xét, giải quyết.
Truy cập vào Safe mode và xóa file mã độc
Safe mode là chế độ chỉ cho phép thiết bị được phép khởi chạy các ứng dụng hệ thống. Chính vì vậy mà những ứng dụng từ bên thứ 3 bao gồm cả file mã độc cũng sẽ không phát huy tác dụng.
Dưới đây là các bước thực hiện chi tiết để người dùng có thể xử lý khi bị lây nhiễm ransomware trên thiết bị di động:
Bước 1: Đầu tiên người dùng cần tiến hành tắt nguồn điện thoại bằng cách nhấn giữ nút nguồn và chọn “Tắt nguồn”.
Bước 2: Sau khi tắt nguồn, hãy nhấn giữ đồng thời nút nguồn và nút giảm âm lượng cho đến khi màn hình sáng lên. Lúc này hãy thả nút nguồn và tiếp tục nhấn giữ nút giảm âm lượng cho tới khi màn hình khóa của điện thoại hiển thị trên màn hình. Lúc này người dùng đã khởi động chế độ Safe mode.
Bước 3: Tiếp theo người dùng mở khóa màn hình và tìm tới thư mục chứa các file định dạng “.apk” và tiến hành xóa các file khả nghi. Sau đó, gỡ cài đặt các ứng dụng khả nghi và tiến hành khởi động lại máy, nếu vẫn còn mã độc thì hãy lặp lại các bước trên cho đến khi trở lại bình thường.
Sử dụng các phần mềm chống mã độc, virus, chương trình độc hại
Để tránh bị lây nhiễm mã độc, người sử dụng nên sử dụng các phần mềm diệt virus được cập nhật thường xuyên, cảnh giác với các file đính kèm trong e-mail và tốt nhất là không mở file khi nhận được từ người lạ và chỉ tải các file cài đặt từ website chính thống. Bên cạnh đó, người dùng cũng không nên bấm vào những đường link nhận được qua chat hay e-mail và thường xuyên sao lưu các file tài liệu của mình.
Bên cạnh đó, Người dùng chỉ nên cài đặt các ứng dụng từ nguồn uy tín. Nếu cài đặt ứng dụng bằng file dạng “.apk” thì nên lựa chọn các nguồn uy tín và được nhiều người xác minh độ tin cậy. Nên đọc và sàng lọc các nhận xét, đánh giá phía dưới ứng dụng để xác minh độ an toàn của ứng dụng. Thường xuyên cập nhật phiên bản Android mới nhất để khắc phục những lỗ hổng bảo mật kịp thời.
KẾT LUẬN
Để ngăn chặn nguy cơ lây nhiễm mã độc lên smartphone, thì người sử dụng nên nâng cao ý thức cảnh giác, nên sử dụng các phần mềm diệt virus được cập nhật thường xuyên và người dùng chỉ nên cài đặt ứng dụng từ kho ứng dụng chính thức, từ nguồn có uy tín.
TÀI LIỆU THAM KHẢO
[1]. Chính Phủ, Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ: Về việc nâng cao năng lực phòng, chống phần mềm độc hại”; [2]. Chính phủ, Quyết định số 392/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt chương trình mục tiêu phát triển ngành công nghiệp công nghệ thông tin đến năm 2020, tầm nhìn đến năm 2025. [3]. Bộ thông tin và truyền thông, Báo cáo Giám sát an toàn không gian mạng quốc gia năm 2023; [4]. Bộ Thông tin và Truyền thông: Hướng dẫn số 2290/BTTTT[1]CATTT về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật; |
Tác Giả: ThS. Bùi Thị Diệp Nga – Học viện Cảnh sát nhân dân
Đăng ngày: 14/08/2024