Petya được tạo ra để phá hoại, không cần tiền chuộc?
Các chuyên gia bảo mật cho rằng Petya không phải là một ransomware. Mã nguồn của nó và các bằng chứng khác cho thấy hành động đòi tiền chuộc có thể là vỏ bọc ngụy trang cho mục đích phá hoại nhằm vào Ukraina.
Các chuyên gia bảo mật cho rằng Petya không phải là một ransomware. Mã nguồn của nó và các bằng chứng khác cho thấy hành động đòi tiền chuộc có thể là vỏ bọc ngụy trang cho mục đích phá hoại nhằm vào Ukraina.
Theo TechCrunch, về cơ bản, ransomware sẽ mã hóa dữ liệu của nạn nhân, nếu nạn nhân trả tiền cho kẻ tấn công, họ sẽ lấy lại được dữ liệu của mình. Nhưng thực tế kẻ tấn công bằng Petya lại có vẻ không quan tâm đến khoản tiền chuộc, khi chúng nhận được tiền mà không gửi khóa giải mã máy, và cũng không có động thái gì sau khi mất email Posteo trong thông báo ransom. Như vậy theo thời gian sẽ không ai gửi tiền chuộc cho tin tặc nữa.
Vậy thì Petya không phải là ransomware nữa. Và nếu động cơ của nó không phải là tiền bạc, vậy thì đó là gì? Nếu nhìn nhận lại thì Petya dường như đã có mặt trên hệ thống mạng của Ukraina từ rất lâu. Các chuyên gia suy đoán sự lây nhiễm của Petya hiện tại chủ yếu là để phá hoại hệ thống mạng, không phải vì vấn đề tiền bạc.
Petya đã được tung ra đúng thời điểm, lợi dụng sự nhạy cảm của giới truyền thông sau vụ WannaCry để xây dựng một vỏ bọc, nhưng thực chất lại là malware phá hoại đúng nghĩa.
Theo Matt Suiche (từ công ty Comae) và các chuyên gia bảo mật khác, sau khi so sánh mã nguồn của Petya trong cuộc tấn công hồi đầu tuần này với một cuộc tấn công tương tự vào năm ngoái, họ nhận thấy Petya (phiên bản mới 2017) đã được sửa đổi có chủ đích để làm cho việc mã hóa dữ liệu người dùng không thể giải mã được bằng cách ghi đè lên Master Boot Record (MBR). Địa chỉ email của kẻ tấn công hiện đã bị chặn, và người dùng không thể trả tiền chuộc được.
Còn theo MalwareTech, các nhà nghiên cứu đã tạm dừng được "đại dịch" WannaCry khi chỉ ra rằng MBR có thể đã không bị ghi đè.
Nicholas Weaver, thuộc Học viện Khoa học Máy tính Quốc tế Berkeley, cho rằng Petya là "một cuộc tấn công phá hoại có chủ đích được ngụy trang thành Ransomware". Wired dẫn chứng từ các đối tác bảo mật hệ thống tại Kiev cho rằng mã độc này đã có mặt trong các hệ thống Ukraina trong nhiều tháng qua, và thậm chí đã che đậy dấu vết của chúng trong (những máy tính) đã bị nhiễm trong cuộc tấn công hồi đầu tuần qua.
Chúng ta không thể dự đoán chính xác sự phát triển của Petya (trừ khi nó chỉ định cụ thể trong mã nguồn thông tin máy chủ điều khiển), nên nếu kết luận Petya được tung ra ở Pháp nhưng với đối tượng lây nhiễm lại là ở Đức là điều phi thực tế. Mặt khác, việc tung ra mã độc ở vị trí mục tiêu, sau đó dẫn dắt dư luận tin rằng nó hoạt động tương tự như ransomware WannaCry để "tung hỏa mù" là một kế hoạch khá tốt.
Thanh Long
