Cuộc tấn công bằng mã độc ransomware: Khó truy tìm thủ phạm

10:20 04/07/2017
Một cuộc tấn công bằng mã độc ransomware, gây ảnh hưởng tới ít nhất 2.000 cá nhân và tổ chức trên toàn thế giới, hôm 27-6 dường như đã được thực hiện vì mục đích tập trung vào việc phá hoại các hệ thống công nghệ thông tin (CNTT).

Ransomware là thuật ngữ giới an ninh mạng gọi loại mã độc khi lây nhiễm vào máy tính hoặc thiết bị của người dùng và mã hóa dữ liệu có chủ đích. Người dùng khó có thể lấy lại dữ liệu đã mã hóa trừ khi có chìa khóa giải mã.

Cuộc tấn công bắt đầu từ Ukraine, rồi lan truyền thông qua một phần mềm kế toán tới các công ty ở Nga, Tây Âu và Mỹ. Mã độc này yêu cầu thanh toán 300 USD dưới dạng tiền ảo Bitcoin để khôi phục lại dữ liệu của người dùng.

Tuy nhiên, theo The Grugq - một người chuyên phát hiện những lỗ hổng phần mềm của các công ty cao cấp, mã độc này chắc chắn không được thiết kế để tống tiền, nhưng "lây lan nhanh và gây nhiều thiệt hại, sử dụng vỏ bọc không thể phủ nhận của ransomware". Đồng quan điểm, nhà nghiên cứu Nicholas Weaver của Viện Đại học California-Berkeley (UC Berkeley) nhấn mạnh rằng, đây là một cuộc tấn công phá hoại nguy hiểm, có chủ ý và có lẽ là để thử nghiệm một loại mã độc mới cải trang thành ransomeware.

Thông báo yêu cầu nạn nhân gửi 300 USD tiền chuộc dưới dạng tiền ảo Bitcoin.

Một số chuyên gia công nghệ thông tin nhận dạng virus mới này là Petya, hay còn gọi là "Petrwrap", một phiên bản biến đổi của mã độc tống tiền Petya được lan truyền năm 2016. Tuy nhiên, hãng bảo mật Nga Kaspersky lại khẳng định, Petya 2017 không phải là "hậu duệ" của Petya 2016, và, căn cứ vào tên code của mã độc được các chuyên gia của hãng phát hiện, Kaspersky tạm gọi mã độc mới là NotPetya hay ExPetr. 

Hãng bảo mật của Nga thậm chí còn cho rằng, NotPetya là một biến thể của siêu mã độc tống tiền WannaCry. Theo công ty an ninh mạng Group IB, các nạn nhân của NotPetya hay Petya 2017 không thể truy cập máy tính và bị yêu cầu mua mã khóa để lấy lại quyền truy cập.

Người phát ngôn của Group IB Evgeny Gukov cho biết, virus đòi tiền chuộc này yêu cầu nạn nhân gửi khoản tiền chuộc 300 USD dưới dạng tiền ảo Bitcoin và số tiền này phải được gửi tới một địa chỉ cụ thể được do người phát tán mã độc yêu cầu, kèm theo một email xác nhận tới một địa chỉ email của nhà cung cấp dịch vụ email của Đức Posteo. Posteo đã nhanh chóng đóng tài khoản email của họ, điều này có nghĩa là, ngay cả khi nạn nhân trả tiền, họ cũng không thể nhận lại được mật khẩu máy tính của họ.

NotPetya sử dụng công cụ hack mang tên EternalBlue của NSA để xâm nhập vào các máy tính chạy hệ điều hành Windows chưa được "vá" các lỗ hổng bảo mật (cụ thể là lỗ hổng MS17-010), đánh cắp mật khẩu nhằm chiếm quyền quản trị trên toàn bộ hệ thống mạng. Sau đó bắt đầu tự lây lan như một bản cập nhật bắt buộc đối với tất cả các máy trong mạng đó, trước khi mã hóa ổ cứng của nạn nhân.

Nếu như Petya 2016 khác hầu hết ramsomware từng bị phát hiện trước đây ở việc thay vì chỉ đơn giản là nhằm vào các tập tin dữ liệu cá nhân thì nó lại khiến toàn bộ ổ cứng của máy tính rơi vào trạng thái "không thể truy cập" bằng cách chỉnh sửa "mục lục" Master Boot Record (MBR) của ổ cứng. Trong khi đó, Petya 2017 hoàn toàn ngược lại.

Mã độc này chẳng hề thực hiện việc mã hóa MBR hay lưu dữ liệu để "triệu hồi" ở thời điểm sau đó, mà thực hiện mã hóa Bảng File (Master File Table - MFT, chứa thông tin về tất cả các tập tin và thư mục trong phân vùng) và thay thế MBR của máy tính bằng tập tin độc hại để hiển thị thông tin đòi tiền chuộc. Do vậy máy tính người dùng sẽ không thể khởi động được khi bị nhiễm mã độc này.

Nguy hiểm hơn, Petya 2017 không chỉ khai thác và lây lan thông qua lỗ hổng MS17-010 mà còn có thể lây nhiễm vào máy tính đã vá lỗ hổng này thông qua công cụ WMIC (công cụ có sẵn trong Windows cho phép truy cập và thiết lập cấu hình trên các máy Windows); công cụ PSEXE (công cụ cho phép truy cập vào máy tính Windows từ xa mà người dùng không biết thông qua dịch vụ SMB) và lỗ hổng CVE-2017-0199 (lỗ hổng trong Microsoft Office/WordPad cho phép tin tặc chiếm quyền điều khiển hệ thống).

Các lỗ hổng trên đã có bản vá, tuy nhiên có nhiều máy tính vẫn chưa cập nhật và có thể là nạn nhân của đợt tấn công lần này. Và không giống như WannaCry, NotPetya không chứa đoạn mã cho phép nó rời khỏi mạng sau khi đã lan rộng.

Người đứng đầu bộ phận kỹ thuật của công ty an ninh mạng eSentire Mark McArdle nhận định việc tìm ra tác giả vụ tấn công là rất khó vì chưa biết chương trình mã hóa dữ liệu là gì. Các chuyên gia của Kaspersky khuyến nghị tất cả các cá nhân, doanh nghiệp cập nhật ngay phần mềm Windows, kiểm tra các giải pháp bảo mật và chắc chắn là đã sao lưu dữ liệu cũng như phát hiện được ransomware kịp thời.

Bên cạnh đó, nên tạo tài khoản người dùng riêng trên máy tính để tách các quyền quản trị tài khoản để sử dụng để duyệt web mỗi ngày. Điều này có thể làm chậm quá trình lây lan của virus.

Đặc biệt, người dùng tuyệt đối không mở các email khả nghi hoặc không bao giờ tải về các tập tin từ một người hoặc các tổ chức xa lạ. Các khách hàng doanh nghiệp thì phải đảm bảo các phương pháp bảo mật đã được kích hoạt và bật thành phần KSn/System Watcher. Sử dụng tính năng AppLocker để vô hiệu hoá các hoạt động của bất kì tập tin nào có tên "perfc.dat" cũng như Tiện ích PSExec từ bộ Sysinternals Suite.

Minh Nhật (tổng hợp)
# mã độc máy tính Ransomware tấn công mạng tội phạm mạng
Facebook Twitter Link gốc
Các tin khác
Đường dây lừa đảo xuyên quốc gia núp bóng sàn thương mại điện tử “Merry Trade”

Với chiêu bài “đầu tư thương mại điện tử quốc tế, lợi nhuận khủng”, một đường dây lừa đảo có tổ chức, xuyên quốc gia đã giăng bẫy tinh vi, chiếm đoạt hàng chục tỷ đồng của nhiều nạn nhân trên cả nước. Bằng các biện pháp nghiệp vụ sắc bén, quyết liệt tấn công trấn áp tội phạm, Phòng Cảnh sát hình sự Công an tỉnh Thanh Hóa đã bóc gỡ thành công đường dây này, góp phần cảnh tỉnh người dân trước những thủ đoạn lừa đảo ngày càng tinh vi trên không gian mạng.

Phó Thủ tướng Chính phủ gửi Thư khen Công an Đắk Lắk

Phó Thủ tướng Chính phủ Bùi Thanh Sơn, Trưởng Ban Chỉ đạo quốc gia chống buôn lậu, gian lận thương mại và hàng giả vừa có Thư khen gửi Công an tỉnh Đắk Lắk, biểu dương thành tích xuất sắc trong công tác đấu tranh phòng, chống buôn lậu, gian lận thương mại và hàng giả.

Giải mã bước đi điển hình trong “chiến tranh vùng xám” của Iran

Gần đây, tối hậu thư của Iran nhằm vào các trường đại học Mỹ tại Trung Đông cho thấy rõ cách Tehran vận dụng chiến lược “leo thang có kiểm soát”. Bằng việc mở rộng mục tiêu sang cả lĩnh vực dân sự mang tính biểu tượng, Iran không chỉ gia tăng sức ép tâm lý và chính trị, mà còn phát đi thông điệp rằng phạm vi răn đe đã vượt ra ngoài không gian quân sự truyền thống.

Nguy cơ tai nạn rình rập trên Quốc lộ 49

Với chiều dài hơn 90 km, tuyến Quốc lộ 49 (QL 49) ở TP Huế có gần 100 vị trí đường cong có bề rộng làn đường và bán kính cong không đảm bảo cho xe sơ-mi rơ-moóc và xe đầu kéo rơ-moóc lưu thông, dẫn đến tiềm ẩn nguy cơ tai nạn rình rập trên tuyến.

Xét xử cựu Thứ trưởng Bộ Nông nghiệp và Phát triển nông thôn Hoàng Văn Thắng

Sáng 30/3, TAND TP Hà Nội mở phiên tòa hình sự sơ thẩm xét xử 23 bị cáo trong vụ án “Đưa hối lộ”, “Nhận hối lộ” và “Vi phạm quy định về kế toán gây hậu quả nghiêm trọng” và “Vi phạm quy định về đấu thầu gây hậu quả nghiêm trọng” xảy ra tại Bộ Nông nghiệp và Phát triển nông thôn (cũ), Công ty TNHH MTV Đầu tư và Xây dựng Hoàng Dân (viết tắt là Công ty Hoàng Dân) cùng một số đơn vị liên quan.

Xuyên đêm tìm cháu bé 5 tuổi mất tích

Chiều tối qua (29/3), khi chạy sang nhà hàng xóm chơi thì gặp phải chó sủa nên cháu Phúc hoảng sợ rồi chạy lên khu đồi núi gần đó. Khi phát hiện cháu bé mất tích, người thân đã trình báo chính quyền địa phương nhờ hỗ trợ tìm kiếm...

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.
English | 中文