Mã độc Petrwrap tấn công mạng không vì tiền?

Một tuần sau cuộc tấn công mạng quy mô toàn cầu Petrwrap (hay NotPetya), dư luận bắt đầu đặt dấu chấm hỏi về mục đích tồn tại của loại "mã độc tống tiền" này khi kẻ chủ mưu dường như không quan tâm đến số tiền chuộc trong tài khoản.

Đọc E-paper

Số liệu từ hệ thống giám sát của Kaspersky Lab cho thấy, tính đến nay đã có hơn 2.000 cuộc tấn công liên quan đến loại mã độc mới. Theo Reuters, Petrwrap là dạng mã độc nguy hiểm có thể mã hóa ổ cứng máy tính cũng như dữ liệu của nạn nhân được lưu trữ trên thiết bị đó. Mã độc này sẽ mã hóa dữ liệu để đòi tiền chuộc với số tiền 300USD thanh toán thông qua Bitcoin.

Bổn cũ soạn lại?

Thời điểm bắt đầu diễn ra cuộc tấn công mạng, nhiều cơ quan truyền thông đã so sánh Petrwrap như một "cơn ác mộng" tồi tệ hơn cả WannaCry, bởi loại vi rút mới này mã hóa các phần cứng của ổ đĩa khiến Windows không thể truy cập được.

Ban đầu, Petrwrap được xem như phiên bản mới của Petya - một loại mã độc là thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016. Tuy nhiên, hôm 30/6, Hãng Bảo mật Kaspersky Lab (Nga) đã lên tiếng cải chính thông tin, cho rằng Petrwrap không phải là biến thể của Petya như nhiều người lầm tưởng.

Marcus Hutchins - "người hùng" đã cứu thế giới khỏi cuộc tấn công mạng bởi WannaCry hồi tháng trước cũng đồng tình với quan điểm trên. Cụ thể, theo vị chuyên gia này, mã độc Petrwrap thực chất là một loại mã độc "wiper" (tẩy xóa dữ liệu vĩnh viễn) vì nó xóa và ghi đè lên vùng dữ liệu đã bị xóa của ổ đĩa đang hoạt động. Nó không mã hóa những vùng đó mà chỉ đơn thuần xóa hoàn toàn dữ liệu.

Trong bài viết đăng tải hôm 29/6, Cnet đã lên tiếng khẳng định mã độc Petrwrap tấn công có chủ đích và không vì tiền. Bởi chỉ hai ngày sau cuộc tấn công, ví tiền Bitcoin kết hợp với mã độc Petrwrap chỉ nhận được 10.000USD - một khoản tiền chuộc ít ỏi so với quy mô cuộc tấn công. Trong khi năm 2016, các nhà nghiên cứu an ninh mạng ước tính, các hacker đã kiếm được hơn 1 tỷ USD chỉ nhờ vào các cuộc tấn công mạng, theo New York Times. 

Bên cạnh đó, giới chuyên gia phân tích, hệ thống thanh toán được các hacker của Petrwrap lập ra lại khá... vô dụng. Việc hacker chỉ sử dụng một địa chỉ Bitcoin duy nhất dể nhận thanh toán khiến nhiều người thắc mắc tại sao chúng không sử dụng một vài tài khoản Bitcoin để hệ thống xử lý nhanh hơn, từ đó nhận được nhiều tiền chuộc hơn từ các nạn nhân.

Chưa kể, các hacker này cũng yêu cầu nạn nhân gửi email bằng một chuỗi ký tự dài nhưng phải nhập bằng tay nếu họ muốn truy cập trở lại vào máy tính. Điều đáng ngạc nhiên là địa chỉ email này không hề hoạt động, đồng nghĩa với việc nạn nhân không có hy vọng nhận lại dữ liệu ngay khi đã trả tiền.

Chính những nghi vấn trên đã dẫn đến một vài bất đồng ý kiến trong giới bảo mật khi bàn đến bản chất thực sự của phần mềm độc hại này.

Đánh lạc hướng?

Trong một diễn biến khác, một số nhà nghiên cứu bảo mật, trong đó có Kaspersky Lab, tin rằng phần mềm độc hại Petrwrap xâm chiếm máy tính chỉ để giả mạo là mã độc tống tiền nhằm thu hút sự chú ý của giới truyền thông, tương tự như đợt bùng phát WannaCry hồi tháng 6/2017.

Ngoài thuyết "giả dạng" mã độc tống tiền, dư luận đang hướng đến nghi vấn mục đích tấn công của Petrwrap là nhằm vào quốc gia. Tính đến nay, đã có nhiều tổ chức trên thế giới chịu thiệt hại nặng nề từ Petrwrap.

Trong đó phải kể đến tập đoàn dầu mỏ lớn nhất nước Nga Rosneft, hãng vận tải biển Đan Mạch Maersk, tập đoàn công nghiệp Pháp Saint-Gobain, công ty quảng cáo lớn nhất của Anh WPP, hay ngân hàng lớn nhất nước Pháp BNP Parisbas...

Mặc dù cuộc tấn công diễn ra ở quy mô toàn cầu nhưng theo ước tính của Kaspersky, thiệt hại lớn nhất lại tập trung chủ yếu ở Ukraina khi có khoảng 60% máy tính nhiễm mã độc nằm tại quốc gia này - nhiều hơn tất cả những nơi khác bị lây nhiễm.

Thậm chí, The Verge còn khẳng định đã có bằng chứng cho thấy việc mã độc Petrwrap tập trung vào Ukraina là có chủ ý. Cụ thể, ban đầu, những kẻ tấn công đã phát tán vi rút trên một trang tin tức nổi tiếng ở Ukraina. Sau đó, sự lây nhiễm "dường như nhắm đến các tổ chức quan trọng nhất của quốc gia Đông Âu này", bao gồm hệ thống máy tính tại ngân hàng trung ương, sân bay, tàu điện ngầm và cả nhà máy điện hạt nhân Chernobyl.

Một số nguồn tin thân cận cho biết các công ty an ninh mạng Ukraina và cơ quan chính phủ nước này cho rằng những điều đã xảy ra là một cuộc tấn công mạng do nhà nước tài trợ nhằm tàn phá các tổ chức của Ukraina. Trong bài bình luận hôm 28/6, Giám đốc điều hành bộ phận xử lý sự cố trên toàn cầu tại Accenture Security nói với New York Times: "Các hacker không còn quan tâm đến tiền chuộc nữa. Họ chỉ đang phá hoại".

Dù mục đích là gì thì Petrwrap cũng đang xuất hiện trong bối cảnh thế giới ngày càng lo sợ nguy cơ xảy ra tấn công mạng, đặc biệt sau những hậu quả mà WannaCry vừa mang lại. Vấn đề nan giải đặt ra hiện nay là người dùng internet nên tự bảo vệ mình bằng cách nào trong trường hợp tiền chuộc cũng không cứu được những dữ liệu bị đánh cắp?

>Bitcoin: Tiền ảo, rủi ro thật