Các nhà nghiên cứu tại Google, Chainalysis, UC San Diego và Trường Kỹ thuật Tandon ở NYU đã tập hợp con số đáng ngạc nhiên này bằng cách truy theo các giao dịch Bitcoin mà các nạn nhân trả cho hacker thông qua blockchain (chuỗi khối), sau đó so sánh chúng với các mẫu đã biết để tạo ra một cái nhìn tổng quan về hệ sinh thái ransomware.
Nghiên cứu này đã theo dõi 34 gia đình riêng biệt bị tấn công bởi ransomware và tiết lộ rằng chỉ một vài dòng phần mềm độc hại chịu trách nhiệm cho phần lớn các cuộc tấn công và thu về lợi nhuận khủng kia.
Locky, được xác định là "bệnh nhân số 0" (patient zero: bệnh nhân số 0 là thuật ngữ y học chỉ người đầu tiên được phát hiện mắc một chứng bệnh nào đó) của mã độc tống tiền (ransomware), đã mang lại hơn 7 triệu USD cho tin tặc kể từ đầu năm 2016.
Giáo sư Damon McCoy của NYU, nói với The Verge: "Lợi thế lớn của Locky là tách riêng những người giữ ransomware khỏi những máy lây nhiễm.
Locky chỉ tập trung xây dựng phần mềm độc hại (malware) và cơ sở hạ tầng hỗ trợ. Sau đó, họ đã có các botnet khác giúp lây lan và phân phối malware".
(Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính).
Hai con số khổng lồ khác là 6,9 triệu USD và 1,9 USD đã được trả cho các hacker sau khi những người này phát tán Cerber và CryptXXX. Tuy nhiên, vẫn chưa biết tổng số tiền đến túi tội phạm không gian mạng này là bao nhiêu.
Nghiên cứu cũng chỉ ra rằng tin tặc ngày càng thông minh hơn với các cuộc tấn công ransomware và đang đối phó tốt hơn với phần mềm chống gián điệp (antivirus).
Họ đã học được một thủ thuật cho phép malware tự động thay đổi nhị phân. Theo cách này, chúng có thể qua được các chương trình bảo vệ hệ thống trước đây - vốn thường quét độ phù hợp với chương trình nhị phân nhưng không thể nhận dạng loại ngụy trang.
Hồi đầu tháng, người dùng Android đã được cảnh báo về mã độc tống tiền mới có tên gọi là LeakerLocker. Mã này đe dọa rò rỉ dữ liệu cá nhân của người dùng cho bất cứ ai trong danh sách liên lạc của họ. Phần mềm độc hại này được lan truyền qua các ứng dụng giả mạo trên Google Play.
Một chủng khác gần đây gây ra lo ngại là GhostCtrl. Nó có thể ngụy trang trong hình hài WhatsApp để bí mật quay phim và lưu giữ các bản ghi âm cuộc gọi và video cá nhân của bạn.