Hồi cuối tuần, nhóm chuyên dùng mã độc tống tiền REvil đã khóa dữ liệu của trên 1.000 doanh nghiệp. Đây là vụ tấn công chuỗi cung chưa từng có tiền lệ vào công ty phần mềm Kaseya. Nhóm này đòi 70 triệu USD để mở khóa dữ liệu.
Hiện chưa rõ có doanh nghiệp nào đã trả tiền cho nhóm này chưa, chỉ biết cách đây một tháng công ty chế biến thịt JBS và công ty đường ống khí đốt Colonial Pipeline đã trả lần lượt 11 triệu USD và 5 triệu USD để khôi phục hoạt động sau khi bị tấn công bằng mã độc tống tiền.
Chi nhánh tập đoàn chế biến thịt hàng đầu thế giới JBS phải nộp 11 triệu USD tiền chuộc cho tin tặc. Ảnh: AFP/TTXVN
Theo tờ Politico, những kẻ tấn công bằng mã độc tống tiền có thể thực hiện tấn công thường xuyên và đòi chuộc bằng số tiền lớn cho thấy mã độc đang trở thành phương tiện tống tiền hiệu quả của kẻ xấu. Chuyện gì xảy ra nếu một quốc gia thù địch hoặc một tổ chức khủng bố sử dụng công cụ này để đưa ra yêu sách nào đó hơn cả tiền?
Ngày nay, đa số vụ mã độc tống tiền chỉ bị coi là vấn đề hình sự, nhưng có thể sớm trở thành một vấn đề địa chính trị. Theo bà Jenny Jun, thành viên tại Sáng kiến Quản lý mạng thuộc Hội đồng Đại Tây Dương, việc mã độc tống tiền được dùng để giành lợi thế địa chính trị chỉ còn là vấn đề thời gian. Các vụ tấn công mã độc tống tiền sẽ giúp các bên nhỏ hơn, nghèo hơn có thể buộc kẻ thù lớn hơn phải nhượng bộ.
Trong lịch sử, các nhân tố nhà nước và phi nhà nước đã tìm cách nắm giữ tài sản giá trị của kẻ thù để mặc cả chính trị. Ngày nay, mã độc tống tiền là cách ép kẻ thù hiệu quả hơn là ném bom, phong tỏa hay đe dọa hạt nhân.
Bản chất của mã hóa tạo thuận lợi cho người tấn công và buộc nạn nhân phải nhượng bộ.
Thứ nhất, một khi dữ liệu của nạn nhân bị khóa, người tấn công có thể giữ dữ liệu bao lâu tùy thích mà không mất công sức hay tiền bạc, miễn là khiến nạn nhân đáp ứng yêu cầu.
Thứ hai, người tấn công có thể giải mã hóa dữ liệu, khiến nạn nhân có động lực trả tiền chuộc hơn.
Thứ ba, các vụ tấn công bằng mã độc tống tiền dễ thực hiện hơn các cách hình thức cưỡng ép địa chính trị truyền thống. So với chiến dịch quân sự truyền thống hay chương trình hạt nhân, rào cản rất thấp. Thuật toán mã hóa dữ liệu luôn có sẵn và ai cũng có thể đăng ký mua mã độc tống tiền dạng dịch vụ (RaaS) với giá 40 USD/tháng.
Hệ thống đường ống dẫn nhiên liệu của Công ty Colonial Pipeline ở Pelham, Alabama, Mỹ. Công ty này trả 5 triệu tiền chuộc cho tin tặc để khôi phục hoạt động. Ảnh: AP/TTXVN
Mã hóa dữ liệu có thể giúp bên tấn công nắm giữ tài sản giá trị khắp thế giới mà không gây căng thẳng địa lý.
Tất nhiên, mã hóa dữ liệu cũng có hạn chế. Vì mã độc tống tiền phụ thuộc vào việc từ chối cho truy cập dữ liệu nên không thể gây thiệt hại nếu nạn nhân không coi trọng hoặc không cần dữ liệu bị mã hóa, hoặc nạn nhân có thể thay thế bằng dữ liệu khác một cách đơn giản.
Các công ty có thể sao lưu dữ liệu ngoại tuyến, theo thời gian thực để lấy lại dữ liệu sau khi bị tấn công mã độc tống tiền, giảm sức nặng của bên tấn công.
Tuy nhiên, không phải lúc nào các công ty cũng có thể sao lưu dữ liệu suôn sẻ các tài sản quan trọng của mình. Ví dụ, một nhà máy điện vận hành bằng hệ điều hành cũ sẽ gặp khó khăn trong sao lưu dữ liệu. Do đó, bên tấn công thường chọn nạn nhân không có hệ thống sao lưu tốt hoặc có chi phí hàng ngày lớn tới mức chỉ gián đoạn một hoặc hai tuần là có thể gây thiệt hại lớn. Đó là lý do mã độc tống tiền thường nhằm vào bệnh viện, công ty điện, nước thay vì các cá nhân. Bên tấn công còn giăng lưới rộng hơn khi mã hóa nhiều doanh nghiệp cùng lúc bằng cách lợi dụng chuỗi cung.
Mã độc tống tiền có hạn chế nữa là có thể khiến nạn nhân trả đũa và gây leo thang căng thẳng, khiến nạn nhân từ chối nhượng bộ vì sợ bị coi là mục tiêu dễ dàng. Dù vậy, đây vẫn có thể là công cụ mà các nhân tố nhà nước và phi nhà nước chọn để giành lợi thế.
Iran đã từng bắt người Mỹ làm con tin và giữ tàu ở Eo biển Hormuz nhằm buộc Mỹ giải phóng tài sản tài chính của Iran. Rất có thể Iran sẽ tạo ra tình huống tương tự bằng cách dùng mã độc tống tiền. Iran đã từng dùng cách này với Israel từ năm ngoái. Sớm hay muộn Iran cũng sẽ dùng phương tiện này để đòi hỏi đáp ứng yêu cầu thay vì chỉ gây thiệt hại cho đối thủ.
Do đó, sử dụng mã độc tống tiền vì mục đích địa chính trị là một mối đe dọa. Các hoạt động thường ngày ở Iran hay Triều Tiên không phụ thuộc vào không gian mạng như ở các nước phương Tây, nên nếu bị trả đũa, họ cũng không thiệt hại nhiều. Các nhân tố phi nhà nước như phe nổi dậy, khủng bố càng không có gì nhiều để mất.
Theo bà Jenny Jun, có thể phải vài năm nữa mã độc tống tiền kiểu này mới được sử dụng trong bối cảnh địa chính trị. Còn hiện nay, với các nhà an ninh quốc gia, họ coi mã độc tống tiền vẫn là rủi ro mờ nhạt trong vấn đề địa chính trị. Tuy nhiên, các vụ tấn công lớn như ở Kaseya và Colonial Pipeline sẽ khiến các nhà lập pháp Mỹ phải lưu tâm hơn.