Malware, một từ ghép của “phần mềm độc hại”, đề cập đến bất kỳ phần mềm, mã hoặc chương trình máy tính nào được thiết kế có chủ ý nhằm gây hại cho hệ thống máy tính hoặc người dùng của nó. Hầu như mọi hiện đại Tấn công mạng liên quan đến một số loại phần mềm độc hại. Những chương trình độc hại này có thể có mức độ nghiêm trọng từ mức độ tàn phá cao và tốn kém (ransomware) đến mức chỉ gây khó chịu nhưng mặt khác lại vô hại (phần mềm quảng cáo).

Hang năm, có hàng tỷ cuộc tấn công bằng phần mềm độc hại vào các doanh nghiệp và cá nhân. Phần mềm độc hại có thể lây nhiễm sang mọi loại thiết bị hoặc hệ điều hành bao gồm Windows, Mac, iPhone và Android.

Tội phạm mạng phát triển và sử dụng phần mềm độc hại để:

• Giữ thiết bị, dữ liệu hoặc mạng doanh nghiệp làm con tin để kiếm số tiền lớn
• Có được quyền truy cập trái phép vào dữ liệu nhạy cảm hoặc tài sản kỹ thuật số
• Ăn cắp thông tin đăng nhập, số thẻ tín dụng, sở hữu trí tuệ, thông tin cá nhân (PII) hoặc thông tin có giá trị khác
• Phá vỡ các hệ thống quan trọng mà doanh nghiệp và cơ quan chính phủ dựa vào

Mặc dù các từ này thường được sử dụng thay thế cho nhau nhưng không phải tất cả các loại phần mềm độc hại đều là vi-rút. Phần mềm độc hại là thuật ngữ chung mô tả nhiều loại mối đe dọa như:

Virus: Vi-rút máy tính được định nghĩa là một chương trình độc hại không thể sao chép nếu không có sự tương tác của con người, thông qua việc nhấp vào liên kết, tải xuống tệp đính kèm, khởi chạy một ứng dụng cụ thể hoặc nhiều hành động khác.

Giun: Về cơ bản là một loại virus tự nhân bản, sâu không cần sự tương tác của con người để lây lan, xâm nhập sâu vào các hệ thống máy tính khác nhau và di chuyển giữa các thiết bị.

Botnet: Một mạng lưới các máy tính bị nhiễm virus dưới sự kiểm soát của một kẻ tấn công duy nhất được gọi là “bot-herder” phối hợp hoạt động cùng nhau.

Ransomware: Một trong những loại phần mềm độc hại nguy hiểm nhất, các cuộc tấn công ransomware chiếm quyền kiểm soát các hệ thống máy tính quan trọng hoặc dữ liệu nhạy cảm, khóa người dùng và yêu cầu tiền chuộc cắt cổ bằng tiền điện tử như Bitcoin để đổi lấy quyền truy cập lấy lại. Ransomware vẫn là một trong những loại mối đe dọa mạng nguy hiểm nhất hiện nay. 

Phần mềm tống tiền đa dạng: Như thể các cuộc tấn công bằng ransomware chưa đủ đe dọa, ransomware đa tống tiền sẽ bổ sung thêm các lớp để gây thêm thiệt hại hoặc tạo thêm áp lực buộc nạn nhân phải đầu hàng. Trong trường hợp tấn công ransomware tống tiền kép, phần mềm độc hại không chỉ được sử dụng để mã hóa dữ liệu của nạn nhân mà còn lấy cắp các tệp nhạy cảm, chẳng hạn như thông tin khách hàng, sau đó những kẻ tấn công đe dọa sẽ phát hành công khai. Các cuộc tấn công tống tiền ba lần thậm chí còn đi xa hơn, với các mối đe dọa làm gián đoạn các hệ thống quan trọng hoặc mở rộng cuộc tấn công hủy diệt tới khách hàng hoặc người liên hệ của nạn nhân. 

Virus vĩ mô: Macro là chuỗi lệnh thường được tích hợp trong các ứng dụng lớn hơn để tự động hóa nhanh chóng các tác vụ đơn giản. Virus macro lợi dụng macro có lập trình bằng cách nhúng phần mềm độc hại vào các tệp ứng dụng. Tệp này sẽ thực thi khi người dùng mở chương trình tương ứng.

Trojan: Được đặt tên theo Trojan Horse nổi tiếng, trojan ngụy trang thành các chương trình hữu ích hoặc ẩn trong phần mềm hợp pháp để lừa người dùng cài đặt chúng.

Phần mềm gián điệp: Phổ biến trong hoạt động gián điệp kỹ thuật số, phần mềm gián điệp ẩn trong hệ thống bị nhiễm để bí mật thu thập thông tin nhạy cảm và truyền lại cho kẻ tấn công.

Phần mềm quảng cáo: Được coi là hầu như vô hại, phần mềm quảng cáo thường được tìm thấy đi kèm với phần mềm miễn phí và gửi thư rác cho người dùng bằng các cửa sổ bật lên không mong muốn hoặc các quảng cáo khác. Tuy nhiên, một số phần mềm quảng cáo có thể thu thập dữ liệu cá nhân hoặc chuyển hướng trình duyệt web đến các trang web độc hại.

Bộ rễ: Một loại gói phần mềm độc hại cho phép tin tặc có được quyền truy cập đặc quyền ở cấp quản trị viên vào hệ điều hành của máy tính hoặc các tài sản khác. 

Các cột mốc quan trọng trong phần mềm độc hại 

Do số lượng lớn và sự đa dạng, toàn bộ lịch sử của phần mềm độc hại sẽ khá dài. Thay vào đó, hãy xem một số khoảnh khắc nổi tiếng trong quá trình phát triển của phần mềm độc hại.

1966: Phần mềm độc hại lý thuyết

Khi những chiếc máy tính hiện đại đầu tiên được chế tạo, nhà toán học tiên phong và người đóng góp cho Dự án Manhattan John von Neumann đang phát triển khái niệm về một chương trình có thể tự tái tạo và lan truyền khắp hệ thống. Được xuất bản sau khi ông qua đời vào năm 1966, tác phẩm của ông, Lý thuyết về Automata tự tái tạo, đóng vai trò là nền tảng lý thuyết cho virus máy tính.

1971: Sâu dây leo

Chỉ XNUMX năm sau khi công trình lý thuyết của John von Neumann được xuất bản, một lập trình viên tên là Bob Thomas đã tạo ra một chương trình thử nghiệm có tên Creeper, được thiết kế để di chuyển giữa các máy tính khác nhau trên cùng một hệ thống. ARPANET, tiền thân của Internet hiện đại. Đồng nghiệp của ông, Ray Tomlinson, được coi là người phát minh ra email, đã sửa đổi chương trình Creeper để không chỉ di chuyển giữa các máy tính mà còn có thể sao chép chính nó từ máy này sang máy khác. Thế là sâu máy tính đầu tiên đã ra đời.

Mặc dù Creeper là ví dụ đầu tiên được biết đến về sâu nhưng nó thực sự không phải là phần mềm độc hại. Để chứng minh khái niệm, Creeper không được tạo ra với mục đích xấu và không làm hỏng hoặc phá vỡ hệ thống mà nó lây nhiễm, thay vào đó chỉ hiển thị thông báo kỳ quái: “TÔI LÀ NGƯỜI CREEPER: HÃY BẮT TÔI NẾU BẠN CÓ THỂ.” Thực hiện thử thách của riêng mình, vào năm sau Tomlinson cũng tạo ra Reaper, phần mềm chống vi-rút đầu tiên được thiết kế để xóa Creeper bằng cách di chuyển tương tự trên ARPANET.

1982: Virus Elk Cloner

Được phát triển bởi Rich Skrenta khi anh mới 15 tuổi, chương trình Elk Cloner được coi là một trò đùa thực tế. Là thành viên câu lạc bộ máy tính ở trường trung học, Skranta được bạn bè biết đến vì đã thay đổi các trò chơi và phần mềm khác được chia sẻ giữa các thành viên câu lạc bộ - đến mức nhiều thành viên sẽ từ chối nhận đĩa từ kẻ chơi khăm nổi tiếng.

Trong nỗ lực thay đổi phần mềm của các ổ đĩa mà anh không thể truy cập trực tiếp, Skranta đã phát minh ra loại virus đầu tiên được biết đến trên máy tính Apple. Cái mà ngày nay chúng ta gọi là vi rút khu vực khởi động, Elk Cloner lây lan bằng cách lây nhiễm vào hệ điều hành Apple DOS 3.3 và sau khi được chuyển từ đĩa mềm bị nhiễm vi rút, Elk Cloner sẽ tự sao chép vào bộ nhớ của máy tính. Sau đó, khi một đĩa không bị nhiễm virus được đưa vào máy tính, Elk Cloner sẽ tự sao chép vào đĩa đó và nhanh chóng lây lan sang hầu hết bạn bè của Skranta. Trong khi cố tình gây hại, Elk Cloner có thể vô tình ghi đè và xóa một số đĩa mềm. Nó cũng chứa một thông điệp đầy chất thơ có nội dung:

NGƯỜI NHÂN BẢN ELK:

CHƯƠNG TRÌNH CÓ CÁ NHÂN

NÓ SẼ TRÊN TẤT CẢ CÁC ĐĨA CỦA BẠN

NÓ SẼ XÂM NHẬP CHIP CỦA BẠN

CÓ NÓ LÀ CLONER!

NÓ SẼ DÍNH BẠN NHƯ KEO

NÓ SẼ SỬA ĐỔI RAM

GỬI TRONG Clone!

1986: Virus não

Mặc dù sâu Creeper có thể di chuyển qua các máy tính trên ARPANET, nhưng trước khi Internet được sử dụng rộng rãi, hầu hết phần mềm độc hại đã được truyền qua các đĩa mềm như Elk Cloner. Tuy nhiên, trong khi tác dụng của Elk Cloner chỉ được áp dụng trong một câu lạc bộ máy tính nhỏ thì virus Brain lại lây lan trên toàn thế giới.

Được tạo ra bởi các nhà phân phối phần mềm y tế người Pakistan và anh em Amjad và Basit Farooq Alvi, Brain được coi là virus đầu tiên dành cho Máy tính cá nhân IBM và ban đầu được phát triển để ngăn chặn vi phạm bản quyền. Loại vi-rút này nhằm mục đích ngăn người dùng sử dụng các phiên bản sao chép phần mềm của họ. Khi cài đặt, Brain sẽ hiển thị thông báo nhắc bọn cướp biển gọi điện cho anh em để tiêm vắc-xin. Đánh giá thấp mức độ phổ biến của vấn đề vi phạm bản quyền, tàu Alvis đã nhận được cuộc gọi đầu tiên từ Hoa Kỳ, sau đó là rất nhiều cuộc gọi khác từ khắp nơi trên thế giới.

1988: Sâu Morris

Sâu Morris là một tiền thân của phần mềm độc hại khác được tạo ra không nhằm mục đích xấu mà là một bằng chứng về khái niệm. Thật không may cho người sáng tạo ra nó, sinh viên MIT Robert Morris, con sâu này tỏ ra hiệu quả hơn nhiều so với những gì anh dự đoán. Vào thời điểm đó, chỉ có khoảng 60,000 máy tính có thể truy cập Internet, chủ yếu ở các trường đại học và trong quân đội. Được thiết kế để khai thác một cửa sau trên hệ thống Unix và để ẩn mình, sâu này nhanh chóng lây lan, tự sao chép nhiều lần và lây nhiễm toàn bộ 10% tổng số máy tính nối mạng.

Vì sâu không chỉ tự sao chép sang các máy tính khác mà còn sao chép liên tục trên các máy tính bị nhiễm nên nó đã vô tình ngốn bộ nhớ và khiến nhiều PC phải ngừng hoạt động. Là vụ tấn công mạng trên diện rộng đầu tiên trên thế giới, vụ việc này đã gây ra thiệt hại mà một số ước tính lên tới hàng triệu USD. Về phần mình trong đó, Robert Morris là tội phạm mạng đầu tiên từng bị kết tội lừa đảo qua mạng ở Hoa Kỳ. 

1999: Sâu Melissa

Mặc dù không gây thiệt hại nặng nề như sâu Morris, nhưng khoảng một thập kỷ sau, Melissa đã cho thấy phần mềm độc hại có thể lây lan qua email nhanh đến mức nào, lây nhiễm khoảng một triệu tài khoản email và ít nhất 100,000 máy tính tại nơi làm việc. Là loại sâu lây lan nhanh nhất vào thời điểm đó, nó đã gây ra tình trạng quá tải nghiêm trọng trên các máy chủ email Microsoft Outlook và Microsoft Exchange, dẫn đến tình trạng chậm lại ở hơn 300 tập đoàn và cơ quan chính phủ, bao gồm Microsoft, Nhóm Ứng phó Khẩn cấp Máy tính của Lầu Năm Góc và khoảng 250 tổ chức khác.

2000: Virus ILOVEYOU 

Cần thiết phải là mẹ của phát minh, khi Onel de Guzman, 24 tuổi, cư dân Philippines nhận thấy mình không đủ khả năng chi trả cho dịch vụ internet quay số, anh đã tạo ra một loại sâu virus macro có thể đánh cắp mật khẩu của người khác, biến ILOVEYOU trở thành phần mềm độc hại hoàn toàn quan trọng đầu tiên. Cuộc tấn công là một ví dụ ban đầu về kỹ thuật xã hội và Lừa đảo. De Guzman đã sử dụng tâm lý học để đánh vào sự tò mò của mọi người và lôi kéo họ tải xuống các tệp đính kèm email độc hại được ngụy trang dưới dạng thư tình. De Guzman nói: “Tôi nhận ra rằng nhiều người muốn có bạn trai, họ muốn có nhau, họ muốn tình yêu. 

Sau khi bị nhiễm, sâu này không chỉ đánh cắp mật khẩu mà còn xóa các tập tin và gây thiệt hại hàng triệu đô la, thậm chí làm tắt hệ thống máy tính của Quốc hội Vương quốc Anh trong một thời gian ngắn. Mặc dù de Guzman đã bị bắt nhưng mọi cáo buộc đều được bãi bỏ vì anh ta thực sự không vi phạm bất kỳ luật pháp địa phương nào.

2004: Sâu Mydoom

Tương tự như ILOVEYOU, sâu Mydoom cũng sử dụng email để tự sao chép và lây nhiễm vào các hệ thống trên toàn thế giới. Sau khi chiếm quyền điều khiển, Mydoom sẽ chiếm quyền điều khiển máy tính của nạn nhân để gửi thêm bản sao của chính nó qua email. Hiệu quả đáng kinh ngạc, thư rác Mydoom từng chiếm tới 25% tổng số email được gửi trên toàn thế giới, một kỷ lục chưa bao giờ bị phá vỡ và cuối cùng gây ra thiệt hại 35 tỷ USD. Được điều chỉnh theo lạm phát, nó vẫn là phần mềm độc hại có sức tàn phá tài chính lớn nhất từng được tạo ra.

Bên cạnh việc chiếm quyền điều khiển các chương trình email để lây nhiễm vào nhiều hệ thống nhất có thể, Mydoom còn sử dụng các máy tính bị nhiễm virus để tạo botnet và khởi chạy. từ chối dịch vụ phân tán (tấn công DDoS). Bất chấp tác động của nó, tội phạm mạng đằng sau Mydoom chưa bao giờ bị bắt hoặc thậm chí chưa bao giờ được xác định. 

2007: Virus Zeus

Được xác định lần đầu tiên vào năm 2007, Zeus đã lây nhiễm vào máy tính cá nhân thông qua lừa đảo và tải xuống theo từng ổ đĩa, đồng thời chứng minh tiềm năng nguy hiểm của một loại vi-rút kiểu trojan có thể phát tán nhiều loại phần mềm độc hại khác nhau. Vào năm 2011, mã nguồn và hướng dẫn sử dụng của nó bị rò rỉ, cung cấp dữ liệu có giá trị cho cả các chuyên gia an ninh mạng cũng như các tin tặc khác.

2013: Phần mềm tống tiền CryptoLocker 

Một trong những trường hợp đầu tiên của ransomware, CryptoLocker được biết đến với tốc độ lây lan nhanh chóng và khả năng mã hóa bất đối xứng mạnh mẽ (vào thời điểm đó). Được phân phối thông qua các botnet lừa đảo bị virus Zeus bắt giữ, CryptoLocker mã hóa một cách có hệ thống dữ liệu trên các PC bị nhiễm. Nếu PC bị nhiễm là máy khách trong mạng cục bộ, chẳng hạn như thư viện hoặc văn phòng, thì mọi tài nguyên dùng chung sẽ được nhắm mục tiêu trước tiên.

Để lấy lại quyền truy cập vào các tài nguyên được mã hóa này, các nhà sản xuất CryptoLocker đã yêu cầu một khoản tiền chuộc là hai bitcoin, vào thời điểm đó trị giá khoảng 715 USD. May mắn thay, vào năm 2014, Bộ Tư pháp, làm việc với các cơ quan quốc tế, đã giành được quyền kiểm soát mạng botnet độc hại và giải mã miễn phí dữ liệu con tin. Thật không may, chương trình CyrtoLocker cũng lây lan thông qua các cuộc tấn công lừa đảo cơ bản và vẫn là mối đe dọa dai dẳng.

2014: Trojan Emotet

Từng được Arne Schoenbohm, người đứng đầu Văn phòng An toàn Thông tin Đức gọi là “vua phần mềm độc hại”, trojan Emotet là một ví dụ điển hình về thứ được gọi là phần mềm độc hại đa hình khiến các chuyên gia bảo mật thông tin gặp khó khăn trong việc loại bỏ hoàn toàn. Phần mềm độc hại đa hình hoạt động bằng cách thay đổi một chút mã của chính nó mỗi khi sao chép, tạo ra không phải một bản sao chính xác mà là một biến thể cũng nguy hiểm không kém. Trên thực tế, nó nguy hiểm hơn vì trojan đa hình khiến các chương trình chống phần mềm độc hại khó xác định và ngăn chặn hơn.

Giống như trojan Zeus, Emotet vẫn tồn tại như một chương trình mô-đun được sử dụng để phát tán các dạng phần mềm độc hại khác và thường được chia sẻ thông qua các cuộc tấn công lừa đảo truyền thống.

2016: Mạng bot Mirai 

Khi máy tính tiếp tục phát triển, phân nhánh từ máy tính để bàn, máy tính xách tay, thiết bị di động và vô số thiết bị nối mạng, phần mềm độc hại cũng vậy. Với sự phát triển của Internet vạn vật, các thiết bị IoT thông minh tạo ra một làn sóng lỗ hổng mới. Được tạo ra bởi sinh viên đại học Paras Jha, mạng botnet Mirai đã tìm thấy và chiếm đoạt một số lượng lớn các camera quan sát chủ yếu hỗ trợ IoT với khả năng bảo mật yếu.

Ban đầu được thiết kế để tấn công DoS vào các máy chủ chơi game, botnet Mirai thậm chí còn mạnh hơn Jha dự đoán. Đặt mục tiêu vào một nhà cung cấp DNS lớn, nó đã cắt đứt Internet một cách hiệu quả những vùng rộng lớn ở bờ biển phía đông Hoa Kỳ khỏi Internet trong gần cả ngày.

2017: Gián điệp mạng 

Mặc dù phần mềm độc hại đã đóng một vai trò trong chiến tranh mạng trong nhiều năm, nhưng năm 2017 là năm tiêu biểu cho các cuộc tấn công mạng và gián điệp ảo do nhà nước tài trợ, bắt đầu với một loại ransomware tương đối tầm thường có tên Petya. Mặc dù nguy hiểm nhưng ransomware Petya lây lan qua lừa đảo và không có khả năng lây nhiễm đặc biệt cho đến khi nó được sửa đổi thành sâu gạt nước NotPetya, một chương trình trông giống như ransomware nhưng phá hủy dữ liệu người dùng ngay cả khi tiền chuộc được gửi. Cùng năm đó chứng kiến Phần mềm tống tiền WannaCry sâu tấn công một số mục tiêu cao cấp ở châu Âu, đặc biệt là Cơ quan Y tế Quốc gia Anh. 

NotPetya được cho là có liên quan đến tình báo Nga, những người có thể đã sửa đổi virus Petya để tấn công Ukraine và WannaCry có thể được kết nối với các khu vực thù địch tương tự của chính phủ Triều Tiên. Hai cuộc tấn công phần mềm độc hại này có điểm gì chung? Cả hai đều được kích hoạt bởi một khai thác Microsoft Windows có tên là Eternalblue, lần đầu tiên được Cơ quan An ninh Quốc gia phát hiện. Mặc dù cuối cùng Microsoft đã phát hiện và vá lỗi khai thác nhưng họ vẫn chỉ trích NSA vì đã không báo cáo trước khi tin tặc có thể lợi dụng lỗ hổng này.

2019: Ransomware dưới dạng dịch vụ (RaaS)

Trong những năm gần đây, phần mềm độc hại ransomware đã phát triển và giảm dần. Tuy nhiên, trong khi các trường hợp tấn công ransomware thành công có thể giảm đi thì tin tặc lại nhắm mục tiêu vào nhiều mục tiêu cao cấp hơn và gây ra thiệt hại lớn hơn. Giờ đây, Ransomware-as-a-Service là một xu hướng đáng lo ngại đang phát triển mạnh mẽ trong những năm gần đây. Được cung cấp trên các thị trường web đen, RaaS cung cấp giao thức plug-and-play trong đó các tin tặc chuyên nghiệp thực hiện các cuộc tấn công bằng ransomware để đổi lấy một khoản phí. Trong khi các cuộc tấn công phần mềm độc hại trước đây yêu cầu một số kỹ năng kỹ thuật nâng cao, các nhóm lính đánh thuê cung cấp RaaS trao quyền cho bất kỳ ai có mục đích xấu và chi tiền.

2021: Tình trạng khẩn cấp

Cuộc tấn công ransomware tống tiền kép nổi tiếng đầu tiên diễn ra vào năm 2019, khi tin tặc xâm nhập vào cơ quan nhân sự an ninh Allied Universal, đồng thời mã hóa dữ liệu của họ đồng thời đe dọa tung dữ liệu bị đánh cắp lên mạng. Lớp bổ sung này có nghĩa là ngay cả khi Allied Universal có thể giải mã các tập tin của họ, họ vẫn có thể bị vi phạm dữ liệu gây thiệt hại. Mặc dù cuộc tấn công này rất đáng chú ý nhưng cuộc tấn công Đường ống thuộc địa năm 2021 lại nổi tiếng hơn về mức độ nghiêm trọng của mối đe dọa ngụ ý. Vào thời điểm đó, Đường ống Thuộc địa cung cấp 45% lượng xăng và nhiên liệu máy bay cho miền Đông Hoa Kỳ. Cuộc tấn công kéo dài vài ngày đã ảnh hưởng đến cả khu vực công và tư nhân dọc bờ biển phía đông, đồng thời khiến Tổng thống Biden phải ban bố tình trạng khẩn cấp tạm thời.

2022: Tình trạng khẩn cấp quốc gia

Mặc dù các cuộc tấn công ransomware có vẻ đang giảm bớt, nhưng các cuộc tấn công có mục tiêu cao và hiệu quả vẫn tiếp tục là mối đe dọa đáng sợ. Năm 2022, Costa Rica phải hứng chịu một hàng loạt vụ tấn công bằng ransomware, trước tiên làm tê liệt Bộ tài chính và ảnh hưởng đến cả các doanh nghiệp xuất nhập khẩu dân sự. Một cuộc tấn công tiếp theo sau đó đã khiến hệ thống chăm sóc sức khỏe của quốc gia ngừng hoạt động, ảnh hưởng trực tiếp đến mọi người dân trong nước. Kết quả là Costa Rica đã làm nên lịch sử khi trở thành quốc gia đầu tiên ban bố tình trạng khẩn cấp quốc gia để ứng phó với một cuộc tấn công mạng.

Khám phá các giải pháp ransomware QRadar SIEM