Mã nguồn mã độc Dharma được rao bán trên các diễn đàn hacker

Xuất hiện lần đầu tiên năm 2016, mã độc Dharma (hay còn gọi là virus Đạt Ma) đã không ngừng phát triển và liên tục đòi tiền chuộc từ người dùng Internet trên toàn thế giới.

Tại hội nghị bảo mật RSA năm nay, FBI đã xếp hạng Dharma là ransomware sinh lợi lớn thứ hai trong những năm gần đây, virus này đã đòi được số tiền chuộc lên đến hơn 24 triệu USD từ các nạn nhân, tính trong giai đoạn từ tháng 11/2016 đến tháng 11/2019. Và giờ đây mã nguồn của Dharma đang được rao bán công khai trên các diễn đàn hacker với mức giá khửi điểm là 2.000 USD.

Theo ZDNet, một số chuyên gia về mã độc cho biết, việc mã nguồn Dharma được rao bán rất có thể sẽ dẫn đến sự rò rỉ của nó trên mạng Internet toàn cầu giúp nhiều đối tượng xấu dễ tiếp cận hơn. Khi đó, mã độc Dharma có thể dễ dàng bị tội phạm mạng gia tăng sử dụng để tổ chức các cuộc tấn công đòi tiền chuộc với quy mô trên toàn cầu.

Jakub Kroustek, chuyên gia của hãng bảo mật Avast cho biết, ông đã phát hiện ra ba phiên bản Dharma mới trong tuần này, điều đó có nghĩa là các nhóm tội phạm vẫn tiếp tục sử dụng Dharma cho đến tận ngày nay, hơn ba năm kể từ khi ra mắt.

Được phát hiện từ năm 2016, mã độc này ban đầu có tên là CrySiS, tác giả của CrySiS đã tạo ra một dịch vụ trong đó khách hàng (các băng đảng tội phạm) có thể tạo các phiên bản mã độc của riêng mình để tổ chức các đợt tấn công đòi tiền chuộc, hình thức chủ yếu là thông qua các chiến dịch spam email có đính kèm Dharma lưu trữ dưới dạng nhị phân.

Sau đó, vào tháng 11/2016, CrySiS đã được biến đổi và được khởi chạy dưới tên Dharma, kể từ đó, nó đã trở thành một trong những mã độc được trao tay lớn nhất trong thế giới tội phạm. Kể từ đó, nhiều biến thể từ Dharma xuất hiện.

Vào mùa xuân năm 2019, một chủng mã độc mới có tên Phobos đã xuất hiện, được sử dụng chủ yếu trong các cuộc tấn công có chủ đích (APT). Các nhà nghiên cứu bảo mật từ Coveware và Malwarebytes đã nhanh chóng chỉ ra rằng Phobos gần giống với Dharma. Công ty an ninh mạng Coveware trong một báo cáo cho biết, mã độc Dharma chiếm 9,3% các sự cố ransomware trong quý 4 năm 2019, trong khi Phobos chiếm 10,7%.

Không chỉ vậy, giữa năm 2019, hãng bảo mật Trend Micro đã phát hiện hình thái tấn công mới từ loại mã độc này: ngụy trang như một phần mềm an toàn để người dùng tải về máy, sau đó mới phát tán mã độc tống tiền, hoặc được các tin tặc phân tán trên mạng thông qua hình thức spam email có đính kèm Dharma.

Đáng chú ý, mã độc Dharma đến nay vẫn chưa cho thấy lỗ hổng. Gillespie, người đã phát hành hàng chục bộ giải mã mã độc trong quá khứ và thậm chí đã nhận được giải thưởng FBI cho những nỗ lực của mình, cho biết không thể tìm thấy lỗ hổng giải mã trong Dharma trong quá khứ.

Hậu quả lớn nhất mà mã độc này từng gây ra là vào tháng 11/2018, khi mã độc này làm tê liệt toàn bộ hệ thống của một bệnh viện bang Texas, Mỹ. Dharma đã mã hóa gần như toàn bộ hồ sơ lưu trữ, may mắn là bệnh viện này sau đó đã có thể phục hồi dữ liệu mà không phải trả tiền chuộc.

Trong năm qua, theo các chuyên gia bảo mật từ Kaspersky, 2019 là năm của mã độc tống tiền ransomware với ít nhất 174 thành phố, hơn 3.000 tổ chức đã bị tấn công.

Năm 2019 đã chứng kiến sự phát triển nhanh chóng của một xu hướng đã hình thành trước đó, khi các tin tặc nhắm mục tiêu tấn công mã độc vào những tổ chức lớn.

Các nhà nghiên cứu cho biết mặc dù những mục tiêu bị tấn công ít có khả năng chi trả cho một khoản tiền chuộc lớn, nhưng họ có xu hướng đồng ý với các yêu cầu mà tin tặc đưa ra - như chặn một dịch vụ nào đó của thành phố. Việc này sẽ ảnh hưởng trực tiếp đến phúc lợi của công dân, cũng như dẫn đến hậu quả không chỉ về tài chính mà cả những vấn đề xã hội nhạy cảm khác.

Ông Fedor Sinitsyn, nhà nghiên cứu bảo mật tại Kaspersky, cho biết: "Người dùng nên biết rằng đưa tiền chuộc cho tin tặc chỉ là giải pháp ngắn hạn, tạo tiền lệ để chúng tiếp tục tấn công trở lại". 

Theo hãng bảo mật Trend Micro, để chuẩn bị tốt nhất và phòng ngừa cho trường hợp bị mã độc Dharma tấn công, người dùng và các tổ chức nên có những phòng vệ như sau:

• Bảo vệ an toàn cổng Email, không bấm vào những Email không rõ nguồn gốc hoặc có vẻ đáng nghi ngờ.
• Thường xuyên sao lưu các dữ liệu trên máy tính.
• Luôn cập nhật thường xuyên phần mềm diệt Virus phiên bản mới nhất, bao gồm cả bản vá.
• Thực thi nguyên tắc đặc quyền tối thiểu: Người dùng, máy tính hay ứng dụng chỉ được cấp các quyền hạn đủ để thực hiện yêu cầu, công việc của họ. Ngoài ra, kiểm soát chặt chẽ việc cấp thêm quyền hạn mới và thu hồi các quyền hạn không dùng tới.
• Bảo mật theo chiều sâu: bảo mật theo nhiều lớp luôn sẽ giúp nhiều cho việc kiểm soát ứng dụng và giám sát hành vi giúp ngăn chặn các sửa đổi không mong muốn hay khi mở những file bất thường.
• Phổ biến kiến thức an ninh sử dụng internet thường xuyên cho văn phòng làm việc.