Trí tuệ nhân tạo (AI) và các công cụ hỗ trợ doanh nghiệp nhỏ đang bị tội phạm mạng lợi dụng như những “tấm màn khói” nhằm che giấu các cuộc tấn công bằng ransomware nhắm vào các nạn nhân không hề hay biết.
Theo các chiến dịch giả mạo được phát hiện bởi nhóm nghiên cứu bảo mật Cisco Talos, tin tặc đã ẩn giấu mã độc trong các phần mềm và gói cài đặt mang tên hoặc giao diện giống với các nền tảng uy tín như Nova Leads – dịch vụ tối ưu hóa doanh thu khách hàng tiềm năng, ChatGPT, và công cụ tạo video sử dụng AI InVideo AI.
Nguy cơ lớn đối với doanh nghiệp nhỏ
Với việc các doanh nghiệp nhỏ nhanh chóng áp dụng công nghệ AI – theo khảo sát từ Phòng Thương mại Hoa Kỳ và công ty tư vấn Teneo, 98% doanh nghiệp nhỏ hiện đã sử dụng ít nhất một sản phẩm tích hợp AI và 40% đang sử dụng AI tạo sinh (Generative AI) các chiêu trò lừa đảo như vậy đang trở thành mối đe dọa nghiêm trọng.
Theo các chuyên gia Cisco Talos, mối đe dọa ở đây mang tính hai chiều:
“Các doanh nghiệp đang tìm kiếm giải pháp AI có thể bị đánh lừa bởi các công cụ giả mạo có chứa mã độc,” Talos cho biết. “Điều này không chỉ làm rò rỉ dữ liệu nhạy cảm và tài sản tài chính mà còn làm xói mòn niềm tin vào thị trường AI hợp pháp.”
Chi tiết các cuộc tấn công
- Mạo danh Nova Leads – Phát tán ransomware CyberLock
Tin tặc tạo ra một trang web giả mạo với giao diện giống hệt Nova Leads, quảng bá một sản phẩm AI không có thật tên là “Nova Leads AI”. Khi người dùng tải và cài đặt phần mềm này (với lời mời gọi “dùng thử miễn phí 12 tháng”), ransomware CyberLock sẽ được kích hoạt.
Ransomware này mã hóa hệ thống và để lại thông điệp yêu cầu tiền chuộc, yêu cầu nạn nhân trả 50.000 USD bằng tiền điện tử, đồng thời đưa ra tuyên bố “nhân đạo” rằng số tiền này sẽ được dùng để hỗ trợ phụ nữ và trẻ em ở các vùng có xung đột như Palestine, Ukraine, châu Phi và châu Á – một chiêu bài rõ ràng mang tính ngụy biện để gây nhầm lẫn và khiến nạn nhân mềm lòng.
Điều đáng chú ý là nhóm tấn công còn lợi dụng kỹ thuật SEO độc hại (SEO poisoning) để đưa trang web giả mạo lên đầu kết quả tìm kiếm, khiến người dùng càng dễ mắc bẫy.
- Phần mềm giả mạo ChatGPT – Ẩn chứa ransomware Lucky_Gh0$t
Một gói cài đặt có tên “ChatGPT 4.0 full version – Premium.exe” được phát hiện chứa ransomware Lucky_Gh0$t. Thủ đoạn tinh vi hơn khi gói này còn chứa các công cụ AI mã nguồn mở hợp pháp từ Microsoft, nhằm qua mặt phần mềm diệt virus.
Không giống như CyberLock, nhóm đứng sau Lucky_Gh0$t không hề ngụy tạo lý do nhân đạo, mà tuyên bố rõ ràng trong thông điệp tống tiền:
“Chúng tôi không có động cơ chính trị. Chúng tôi chỉ cần tiền.”
- Phần mềm giả InVideo AI – Malware “Numero” phá hoại toàn bộ hệ thống
Cuối cùng, một malware mới được Cisco đặt tên là Numero cũng được phát hiện. Dù không chính thức là ransomware, nhưng sau khi bị kích hoạt, phần mềm này khiến hệ thống hoàn toàn không thể sử dụng được, gây tổn thất nghiêm trọng cho doanh nghiệp.
Mã độc này lợi dụng danh tiếng của InVideo AI – một công cụ tạo video dùng trong marketing và nội dung – để đánh lừa nạn nhân cài đặt.
Việc tội phạm mạng che giấu ransomware trong các sản phẩm AI không chỉ là chiêu thức cũ được làm mới, mà còn phản ánh một xu hướng nguy hiểm hơn: lợi dụng niềm tin và sự phổ biến ngày càng gia tăng của AI trong doanh nghiệp nhỏ để thực hiện các chiến dịch tấn công có chủ đích.
Điều đáng lo ngại là các doanh nghiệp nhỏ – thường thiếu chuyên môn về bảo mật và không có đội ngũ IT chuyên biệt chính là đối tượng dễ bị tổn thương nhất.
Làm sao để doanh nghiệp nhỏ bảo vệ khỏi ransomware?
- Ngăn chặn từ cửa ngõ: Vá các lỗ hổng bảo mật trong phần mềm có khả năng truy cập từ internet, tắt hoặc tăng cường bảo mật cho các công cụ truy cập từ xa như RDP, VPN.
- Phát hiện và vô hiệu hóa mã độc sớm: Sử dụng phần mềm bảo mật có khả năng nhận diện sớm hành vi mã hóa hoặc khai thác lỗ hổng, ưu tiên các giải pháp luôn hoạt động nền (always-on) để giảm thiểu rủi ro
- Sao lưu dữ liệu ngoại tuyến và kiểm tra định kỳ: Luôn duy trì bản sao lưu ngoại tuyến, nằm ngoài tầm kiểm soát của hacker, thường xuyên kiểm tra khả năng khôi phục dữ liệu từ các bản sao lưu
- Không để bị tấn công lần hai: Sau khi xử lý sự cố, phải loại bỏ triệt để toàn bộ mã độc, công cụ khai thác và điểm yếu để ngăn chặn kẻ tấn công quay lại.
