Chiến dịch tấn công không gian mạng và tống tiền nói trên được phát hiện bởi hãng bảo mật Cyphort. Các tin tặc yêu cầu trả tiền để khôi phục lại các máy tính bị lây nhiễm phần mềm độc hại.
Hiện chưa rõ bao nhiêu máy tính bị ảnh hưởng bởi vụ việc. Tuy nhiên, các máy tính bị lây nhiễm là các máy tính chạy hệ điều hành Windows với các trình duyệt cũ, bao gồm Internet Explore 8. Các phiên bản mới của các trình duyệt web như Internet Explore 11, Google Chrome và FireFox phiên bản mới nhất đều không bị ảnh hưởng bởi phần mềm độc hại.
Phần mềm độc hại này ẩn trong quảng cáo của mạng AOL từ 31 tháng 12 đến 5 tháng 1. Tuy nhiên, chiến dịch tấn công của tội phạm mạng có thể bắt đầu từ tháng 10 năm ngoái.
Trường hợp đọc giả sử dụng các trình duyệt cũ và đọc báo trên các trang web này một số lần sẽ bị lây nhiễm. Khi quảng cáo xuất hiện, phần mềm độc hại sẽ âm thầm xâm nhập vào máy tính của bạn, cho dù người sử dụng không nhấp chuột vào quảng cáo.
Một số quảng cáo có phần mềm độc hại xuất hiện trên các báo điện tử như bưu điện Huffington, tạp chí FHM, tạp chí LA Weekly và Houston Press, trang trò chơi Video GameZone và một số trang khác.
Nhà xuất bản FHM cho biết họ đang yêu cầu đối tác quảng cáo là RUBI điều tra vụ việc.
Người phát ngôn AOL cho biết công ty này đã nhanh chóng có những bước đi cần thiết về vụ việc và AOL sẽ nâng mức minh bạch của quá trình xử lý quảng cáo để đảm bảo quảng cáo sạch và phản ứng tích cực với người sử dụng.
Tuy nhiên, AOL cũng không cho biết bao nhiêu người đã bị ảnh hưởng.
Phần mềm độc hại này có tên là Kovter thuộc dạng phần mềm ransomware. Phần mềm Ransomware là dạng phần mềm độc hại bắt cóc máy tính nạn nhân và yêu cầu trả tiền để được khôi phục lại.
Khi bị lây nhiễm phần mềm Kovter, người sử dụng bị khóa cả chuột và bàn phím, và trên màn hình xuất hiện một bản tin như là của cơ quan thực thi pháp luật và yêu cầu trả một khoản tiền phạt là 300 USD. Việc thanh toán được thực hiện qua các bước mà rất khó lần theo dấu vết thông qua thanh toán thẻ trả trước Mastercard và Visa do MoneyPak cung cấp.
Phần mềm độc hại này cũng thay đổi bản tin thông báo trên màn hình tùy thuộc vào vị trí địa lý của nạn nhận, như ở Mỹ thì là bản tin của FBI hay ở Pháp là bản tin từ “la Police nationale”.
Một may mắn là phần mềm độc hại Kovter đã không mã hóa các tệp dữ liệu trên máy của bạn như các phần mềm Ransomware khác. Theo đó, nếu bạn khởi động lại máy tính ở chế độ “save mode”, dùng các phần mềm diệt vi-rút như MalwareBytes, quét virut thì có thể sử dụng lại được máy tính.
Chuyện gì đã xẩy ra?
Cùng với sự phát triển của mạng quảng cáo, nhiều trang báo điện tử đã sử dụng đối tác thứ ba trong cung cấp quảng cáo trực tuyến để hiển thị quảng cáo trên trang của mình. Các quảng cáo này là tự động và là một thị trường phức tạp, các thương vụ có thể diễn ra trong vài mi-li giây.
Quảng cáo mua bán quá nhanh như vậy đã giúp tội phạm mạng dễ dàng đẩy lên các quảng cáo có kèm phần mềm độc hại mà người đọc báo thông thường không hay biết.
Quảng cáo độc hại (Malvertising) rất khó phát hiện và quét một lần là không đủ. Quảng cáo ít khi là hình ảnh tĩnh và được đưa đến từ máy chủ theo các dòng thông tin, và theo đó, dữ liệu quảng cáo luôn được thay đổi.
Trong trường hợp này, theo hãng an ninh mạng Cyport, AOL đã không cảnh báo được quảng cáo độc hại do nguồn quảng cáo được chuyển hướng tám lần và xuất phát từ một máy chủ ở Ba Lan.
Theo ông Nick Bilogorskiy, giám đốc Cyport, thì phần mềm quảng cáo độc hại tấn công vào mục tiêu đối với bất kỳ lần truy nhập nào của bạn đọc đến trang bưu điện Huffington. Tội phạm mạng đã thực sự manh động và cố gắng chiếm giữ máy tính của nhiều người, và đây là lần đầu tiên ông ta thấy một quy mô tấn công mạng lớn như vậy.
Cyphort cho biết họ đã cảnh báo AOL vào hôm 3 tháng một và phần mềm quảng cáo độc hại này bị ngăn chặn vào hai ngày sau đó.
Theo Cyphort, hệ thống quảng cáo trực tuyến của Google cũng phát tán các phần mềm quảng cáo độc hại. Tuy nhiên, Google đã không bình luận về thông tin này.
Theo ông Bilogorskiy, phần mềm quảng cáo độc hại là một vấn đề lớn, và đang có diễn biến xấu. Theo đó, nếu không có những biện pháp ngăn chặn phòng ngừa kịp thời, nó sẽ là những vấn đề tồi tệ trong an ninh mạng của năm 2015.