Câu chuyện về việc bùng phát mã độc tống tiền (ransomware) NotPetya tuần trước có sự chuyển biến bất ngờ. Những tài khoản nhận tiền chuộc đã gần như bất động trong một ví tiền bitcoin kể từ khi vụ tấn công bị hạn chế bởi các nhà chức trách Ukraina, thế nhưng giờ đây khoản tiền đã được chuyển đi. Ai đó đứng đằng sau vụ tấn công đã rút tiền khỏi những tài khoản này và đăng một yêu cầu đòi tiền chuộc mới. Với mức giá 100 bitcoin, kẻ này sẽ giao khóa giải mã để mở khóa mã độc NotPetya.
Mã độc tống tiền NotPetya bắt đầu tấn công máy tính vào cuối tháng 6, chỉ vài tuần sau vụ tấn công WannaCry. Thực tế, hai loại mã độc này đều khai thác lỗ hỏng EternalBlue trong Windows, bị phơi bày từ các vụ rò rỉ tài liệu của Cơ quan An ninh Quốc gia Mỹ (viết tắt là NSA). Giống như tất cả mã độc tống tiền khác, NotPetya tiến hành mã hóa dữ liệu khi tấn công vào một máy tính mới, sau đó hiển thị thông báo yêu cầu chuyển tiền chuộc bằng bitcoin để đổi lấy khóa giải mã. NotPetya còn có khả năng xóa những tập tin hệ thống nhất định để máy tính nạn nhân không thể khởi động. Có vẻ ý định của kẻ tấn công là không bao giờ cung cấp khóa giải mã.
Động thái mới nhất của tin tặc khiến cho tình hình trở nên phức tạp. Blockchain bitcoin là công khai, vì vậy các nhà nghiên cứu và nhà chức trách đang theo dõi địa chỉ ví tiền bitcoin dùng để nhận tiền chuộc từ NotPetya. Ví tiền này đã được gửi khoảng 4 bitcoin, giá trị trên 10.000 USD (hơn 200 triệu đồng). Với mỗi khoản tiền chuộc ở mức 300 USD, như vậy đã có hơn 30 nạn nhân chấp nhận chi trả. Và có lẽ kẻ tấn công không hề phản hồi gì.
Những tài khoản này bỗng nhiên được rút vào hôm qua và chuyển sang 3 ví tiền khác. Một cái là ví trống trước đó được tạo bởi bất kỳ ai chuyển tiền vào. Hai cái còn lại thuộc sở hữu của PasteBin và DeepPaste, hai dịch vụ này thường được tin tặc sử dụng để loan báo về cuộc tấn công.
Tin nhắn được cho là của tác giả mã độc tống tiền NotPetya đăng trên DeepPaste: "Chuyển cho tôi 100 bitcoin và bạn sẽ nhận được khóa bí mật của tôi để giải mã bất kỳ ổ cứng nào (ngoại trừ các ổ đĩa khởi động)".
Ngay sau khi chuyển tiền, tác giả của NotPetya đã đăng một tin nhắn trên DeepPaste yêu cầu 100 bitcoin để đổi lấy các khóa giải mã. Tin nhắn không nói rằng các ổ đĩa khởi động có thể được phục hồi (do dữ liệu của những ổ đĩa này đã bị tẩy xóa vĩnh viễn), nhưng các tập tin (của ổ đĩa dữ liệu) đã bị mã hóa có thể được phục hồi. Nếu ai đó chấp nhận mua khoá, về lý thuyết chúng đang cố gắng tống tiền từ những nạn nhân đã bị nhiễm mã độc. Tuy nhiên, chúng chắc hẳn phải rất thành công trong việc thu hồi khoản tiền chuộc (100 bitcoin) mà giá trị của nó hiện lên đến 261.000 USD (gần 6 tỷ đồng).
Chúng ta chưa rõ ai đứng đằng sau vụ tấn công. Ukraina, mục tiêu của phần lớn mã độc Petya, đang đổ lỗi cho phía Nga. Các chuyên gia an ninh mạng tỏ ra ngạc nhiên vì khoản tiền đã được chuyển đi, bởi rất khó rút ra từ bất kỳ nơi đâu mà không bị theo dõi. Khả năng toàn bộ chuyện này chỉ là trò bịp nhằm đánh lạc hướng các nhà điều tra, nhưng chỉ có ai đó liên quan đến NotPetya mới có thể truy cập vào ví tiền bitcoin nói trên. Họ (tin tặc) vẫn còn ở ngoài đó.