Sunday, May 14, 2017

Mã độc WannaCry tấn công khung trời Cyber

Chuyên gia nghiên cứu của Google phát hiện mã của WannaCry có nhiều điểm chung với mã độc từng được sử dụng để tấn công Sony Pictures do Triều Tiên hậu thuẫn cách đây hai năm.  Mã độc tống tiền WannaCry đang hoành hành trên toàn thế giới và có thể sẽ còn kéo dài. Một câu hỏi được đặt ra ai đứng sau mã độc này.Chuyên gia Neel Mehta của Google nhận thấy, một phiên bản mã của WannaCry có các điểm tương tự với mã độc do nhóm tin tặc Lazarus phát tán hồi tháng 2/2015. Nhóm này, được cho là do Triều Tiên hậu thuẫn, đã tấn công vào máy chủ của Sony Pictures, tiết lộ hàng loạt dữ liệu bí mật và hạ thấp uy tín công ty.Mới đầu tháng 4/2017, công ty an ninh mạng Kaspersky của Nga cho biết hoạt động tấn công mạng xuất phát từ Triều Tiên đang gia tăng, nhắm tới nhiều tổ chức tài chính, ngân hàng ở ít nhất 18 quốc gia, trong đó có Việt Nam. Hacker thực hiện các vụ tấn công này là Lazarus, có nguồn gốc từ Triều Tiên. "Triều Tiên là một phần rất quan trọng trong chương trình này", Vitaly Kamluk, trưởng bộ phận nghiên cứu châu Á - Thái Bình Dương của Kaspersky, phát biểu.Trước phát hiện mới của chuyên gia Google tuần này về sự liên quan của mã độc WannaCry với mã độc do Lazarus sử dụng, Kaspersky đã tham gia tìm hiểu và cũng khẳng định đúng là có sự giống nhau. Hãng bảo mật Symantec cũng lên tiếng công nhận mối liên quan giữa hai đoạn mã, nhưng cho biết sẽ nghiên cứu thêm để tìm ra những bằng chứng đủ mạnh hơn.
    wannacry-do-ai-phat-tan
    WannaCry đã phát tán ra toàn thế giới.
WannaCry đang khiến thế giới "chao đảo" khi lan rộng tới hơn 150 quốc gia, ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân. Nó được xem là một trong những cuộc tấn công mã độc thuộc hàng lớn nhất trong lịch sử.
Theo BBC, một số chuyên gia cho rằng nguyên nhân bắt nguồn từ Cơ quan An ninh Nội địa Mỹ (NSA). Cụ thể, NSA đã phát triển một công cụ cho phép khai thác lỗ hổng trong hệ thống Microsoft, được đặt tên là EternalBlue.
Giữa năm 2016, hệ thống máy chủ của NSA bị đột nhập bởi nhóm hacker Shadow Brokers. Nhóm này đã đánh cắp thành công hàng trăm công cụ hack của cơ quan này, trong đó có EternalBlue.
Ban đầu, Shadow Brokers công bố những hình ảnh về công cụ được cho là do NSA phát triển sau đó. Công cụ có sẵn một cổng hậu dựa trên những lỗ hổng chưa được vá của giao thức Server Message Block (SMB), có khả năng vượt qua tường lửa, chương trình diệt virus, xoá bỏ các mục trong event log thường được dùng để điều tra các vụ xâm nhập máy tính và mạng, tấn công email client trên Windows có tên là WorldTouch và chiếm quyền quản trị máy tính, thu nhận mật khẩu máy tính chạy Windows của nạn nhân và gửi về máy chủ.
Sau khi đánh cắp thành công, nhóm này yêu cầu đòi tiền chuộc từ NSA, với số tiền lên tới 10.000 bitcoin (khoảng 8,2 triệu USD). Tuy nhiên, không hiểu lý do vì sao, sau khi công bố các hình ảnh trên, nhóm tuyên bố dừng hoạt động.Trong một thời gian, nhóm âm thầm hoạt động, với dự định sẽ bán đấu giá chúng trên web đen. Khi chưa thực hiện bán đấu giá, Shadow Brokers bất ngờ phát tán WannaCry - ransomware được cho là khai thác một phần bộ mã EternalBlue.
Các trường hợp nhiễm độc đầu tiên được phát hiện cuối tuần trước. Hành động này được cho là nhằm phản đối Tổng thống đương nhiệm Donald Trump sau những chính sách gây tranh cãi của ông.
Theo NYTimes, NSA tất nhiên không thừa nhận vấn đề này, đồng thời cho biết đang điều tra nguyên nhân. Tuy vậy, hãng tin này cho rằng Cơ quan An ninh Mỹ đang tự điều tra chính mình, hoặc một nhà thầu nào đó cho chính phủ.
Hiện tại, Tổng thống Trump đã cử Thomas P. Bossert - một chuyên gia về an ninh mạng, có kinh nghiệm xử lý tấn công mạng - điều tra chi tiết vấn đề, đồng thời phối hợp với các cơ quan khác nhằm ngăn chặn sự lây lan của WannaCry. Trong khi đó, các biến thể của ransomware này liên tục được cập nhật, gây khó khăn cho các tổ chức, chính phủ và người dùng trên toàn thế giới.Bảo Lâm
Tại sao mã độc WannaCry nguy hiểm nhất thế giới
WannaCry khai thác được lỗ hổng mới nhất của hệ điều hành Windows và hiểu rằng đánh cắp dữ liệu người dùng không quan trọng bằng việc lấy nó làm "con tin". Chỉ sau hơn 2 ngày được phát hiện, WannaCry đã gây ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân trong khoảng 150 quốc gia trên thế giới, theo BBC. Đây cũng được coi là mã độc nguy hiểm nhất trên thế giới hiện nay. Nhiều bệnh viện, tổ chức y tế, từ thiện, tập đoàn ở các nước như Anh, Mỹ, Nga, Ấn Độ... bị mất dữ liệu gây ảnh hưởng nghiêm trọng không chỉ về kinh tế mà còn đến tính mạng, an ninh của người dân.
WannaCry là gì?
WannaCry là một biến thể của mã độc tống tiền (ransomware). Phần mềm này còn có tên gọi khác là WannaCrypt0r 2.0 hay WCry. Người dùng thường quen với khái niệm malware nhưng đây chỉ là tên gọi chung cho các phần mềm có hại cho máy tính. Ransomware, cụ thể hơn, chỉ đến các phần mềm độc hại chiếm dữ liệu của máy tính và ngăn người dùng truy cập dữ liệu trên đó cho đến khi trả tiền chuộc. Theo ông John Villasenor, giáo sư tại Đại học California, Los Angeles (Mỹ), ransomware rất nguy hiểm bởi chúng "hiểu" dữ liệu của người dùng luôn quan trọng nhất với chính người đó. Việc giữ dữ liệu làm "con tin" sẽ có hiệu quả hơn là chỉ đánh cắp hoặc xóa đi.
Tại sao máy tính lại bị lây nhiễm?
Trong hầu hết các trường hợp, phần mềm lây nhiễm thông qua các liên kết hoặc tập tin đính kèm trong tin nhắn hoặc email lừa đảo. Phần mềm thường được ẩn trong một đường dẫn địa chỉ web với lời mời chào nội dung hấp dẫn, tải ứng dụng lậu hoặc tệp đính kèm trong email. Khi người dùng nhấp vào các địa chỉ này, máy tính của họ sẽ bị nhiễm và phần mềm mã độc có thể tự động cài đặt. 
Segura, chuyên gia nghiên cứu trí tuệ cao cấp của Malwarebytes cho biết, người dùng không bao giờ được click vào các liên kết trong email lạ. Cách thức lừa nạn nhân mở đường dẫn để chạy một đoạn mã độc không mới nhưng vẫn rất nhiều người mắc phải.Cơ chế hoạt động của WannaCry
Đúng như tên gọi của nó, WannaCry là một mã độc dùng để tống tiền. Khi được cài đặt vào máy tính, WannaCry sẽ tìm thấy tất cả các tập tin trong ổ cứng và mã hóa chúng rồi để lại cho chủ sở hữu một tin nhắn. Nếu muốn giải mã trở lại, người dùng cần phải trả tiền. 
Nó sử dụng một chìa mã hóa riêng để mã hóa các dữ liệu mà chỉ những kẻ tấn công mới biết. Nếu tiền chuộc không được thanh toán, dữ liệu sẽ bị mất mãi mãi. 
Khi chiếm được một máy tính, kẻ tấn công thường tìm mọi cách để người dùng tiếp cận được yêu cầu của chúng. WannaCry sẽ thay thế hình nền, tự mở cửa sổ hướng dẫn cụ thể cách thức trả tiền để khôi phục các tập tin. Thậm chí, hướng dẫn này còn được dịch đầy đủ sang ngôn ngữ của hầu hết các nước. Số tiền thường được đòi là từ 300 đến 500 USD. Giá có thể tăng lên gấp đôi nếu tiền chuộc không được thanh toán sau 3 ngày. Trong trường hợp của WannaCry, kẻ gian đòi tiền chuộc bằng bitcoin, một loại tiền ảo nên rất khó để các cơ quan pháp luật nắm bắt.
Video mã độc WannaCry mã hóa dữ liệu sau chỉ vài phút khi được cài vào máy tính:
 
Tại sao WannaCry lại nguy hiểm hơn các ransomware khác
WannaCry và các biến thể của nó khai thác một lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan ransomware.
Lỗ hổng nghiêm trọng này trên hệ điều hành Windows cũng mới chỉ được phát hiện vào tháng 2 năm nay. Microsoft đã tung ra bản vá vào ngay tháng 3 nhưng có rất nhiều máy tính trên thế giới không được nhận kịp thời bản cập nhật này. Trong đó, đáng kể là các nước đang phát triển sử dụng hệ điều hành, ứng dụng "lậu". Các công ty, tổ chức hạn chế kết nối mạng ngoài cũng khó lòng cập nhật các bản vá kịp thời. Đây cũng là lý do các bệnh viện, tổ chức y tế tại Anh, công ty viễn thông Telefónica của Tây Ban Nha, dịch vụ chuyển phát nhanh FedEx của Mỹ cũng nằm trong danh sách nạn nhân ảnh hưởng nặng nề nhất. 
Làm sao để hạn chế thiệt hại
Theo các chuyên gia bảo mật, bước đầu tiên trong bối cảnh hiện nay là người dùng cần hết sức thận trọng với mọi thông tin được gửi đến. Nhưng giáo sư John Villasenor của Đại học California, Los Angeles (Mỹ) lại khẳng định "không có giải pháp nào hoàn hảo" để chống cuộc tấn công này. 
Người dùng nên thường xuyên sao lưu dữ liệu để đảm bảo có thể lấy lại bất kể khi nào cần. Tính năng sao lưu sẽ giúp chủ sở hữu không phải trả số tiền lớn để chuộc. 
Cuộc tấn công đều khai thác vào một lỗ hổng của Windows nhưng đã được Microsoft phát hành bản vá. Người dùng cần cập nhật ngay lên phiên bản Windows mới nhất để tránh mã độc có thể khai thác. Việc không mở các email lạ, giả mảo cũng là điều cần phải làm triệt để trong thời gian này. 
  • Mã độc WannaCry đã lan đến 150 quốc gia
  • Sau hơn hai ngày bùng phát, mã độc tống tiền WannaCry đã ảnh hưởng đến hơn 200.000 thiết bị trên toàn cầu.
    Theo các nhà chức trách châu Âu, kể từ khi phát hiện vào cuối tuần trước, cuộc tấn công của WannaCry đã liên tục lan rộng, ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân tại hơn 150 quốc gia.
    Giám đốc Cơ quan Cảnh sát Liên minh châu Âu (Europol) Rob Wainwright, cho biết cuộc tấn công mạng "có quy mô lớn chưa từng thấy" và nó sẽ tiếp tục lan rộng vào đầu tuần khi mọi người đi làm trở lại.
    ma-doc-wannacry-da-lan-den-150-quoc-gia
    Mã độc tống tiền WannaCry tiếp tục lây lan nhanh.
    Trước sự lây lan nhanh chóng của WannaCry, Micosoft đã phải tung bản cập nhật bất thường để vá lỗ hổng cho Windows XP, dù hệ điều hành này đã bị "khai tử". Tuy nhiên, hàng loạt biến thể của mã độc tống tiền tiếp tục xuất hiện, gây khó khăn cho việc phát hiện và ngăn chặn.
    WannaCry tấn công vào máy nạn nhận qua file đính kèm email hoặc link độc hại, như các dòng ransomware khác. Nguy hiểm hơn, nó còn quét các máy tính trong cùng mạng để tìm lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.
    Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện ra cho đến khi nó tự gửi thông báo cho biết máy tính đã bị khóa, các tập tin bị mã hóa. Bạn chỉ có thể khôi phục dữ liệu nếu trả 300 USD cho kẻ tấn công, thanh toán qua tiền ảo Bitcoin.Ransomware WannaCry đã gây ảnh hưởng đến Dịch vụ Y tế Quốc gia Anh khiến một số ca phẫu thuật tại bệnh viện và lịch hẹn của bác sỹ đã bị hủy. Tại Pháp, nhà sản xuất ôtô Ranault cũng phải ngừng hoạt động.
    Mặc dù số nạn nhân không ngừng gia tăng nhưng theo các chuyên gia thì kẻ đứng sau cuộc tấn công này chưa kiếm được nhiều tiền. Ước tính hacker đã nhận được 100 giao dịch, với tổng cộng 15 Bitcoin với giá trị quy đổi khoảng 26.000 USD.
Trước đó, một số chuyên gia bảo mật dự đoán nhóm hacker Shadow Brokers là thủ phạm phát tán WannaCry, dựa trên công cụ mạng (cybertool) do Cơ quan An ninh Nội địa Mỹ (NSA) phát triển. NSA đã xây dựng một công cụ cho phép khai thác lỗ hổng trong hệ thống Microsoft, đặt tên là EternalBlue nhưng giữa năm 2016, hệ thống máy chủ của họ bị Shadow Brokers đột nhập và đánh cắp hàng trăm công cụ hack, trong đó có công cụ khai thác EternalBlue. Theo NYTimes, NSA không thừa nhận đồng thời cho biết đang điều tra nguyên nhân.
WannaCry đang là nỗi khiếp sợ cho hàng triệu người dùng máy tính trên thế giới khi đã gây ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân trong khoảng 150 quốc gia trên thế giới chỉ sau hơn 2 ngày. Tại Việt Nam, Bkav cho biết có tới 52% máy tính tồn tại lỗ hổng EternalBlue. Đây là lỗ hổng đang bị mã độc mã hóa tống tiền WannaCry.
Để tránh các tác hại của WannaCry, người dùng nên thường xuyên sao lưu dữ liệu, cập nhật ngay lên phiên bản Windows mới nhất để tránh mã độc có thể khai thác. Cài đặt các phần mềm diệt virus nổi tiếng bản mới nhất và không mở các email lạ, giả mạo cũng là điều cần phải làm triệt để trong thời gian này.
Châu An   |  


Hình minh họa mã độc WannaCry tấn co6gn khung trời cyber trên toàn thế giới. Ảnh: REUTERS/Kacper Pempel/IllustrationHình minh họa mã độc WannaCry tấn co6gn khung trời cyber trên toàn thế giới. Ảnh: REUTERS/Kacper Pempel/Illustration

Ông Patrick McBride, giám đốc điều hành công ty bảo mật khung trời cyber cho biết: Các công ty thương mại trên toàn thế giới, đang vất vả chống lại cuộc tấn công bằng mã độc mới trên khung trời Cyber, đồng thời họ tin rằng: Cuộc tấn công máy tính này, sẽ khiến các nhà máy, bệnh viện, cũng như các tổ chức khác của hơn 100.000 quốc gia trên thế giới, sẽ tạm thời không thể hoạt động.





Bệnh viện Hoàng Gia Anh Quốc, là một trong số những bệnh viện bị mã độc tấn công. Ảnh:  REUTERS/Neil HallBệnh viện Hoàng Gia Anh Quốc, là một trong số những bệnh viện bị mã độc tấn công. Ảnh: REUTERS/Neil Hall

Ông Patrick McBride cũng cho biết, cuộc tấn công này sẽ còn tiếp tục xảy ra. Virus “Wanna Decryptor,” hay “WannaCry,” đã khai thác lỗ hổng để tạo ra sự lây lan virus trên trang mạng, một tính năng hiếm và mạnh mẽ, khiến bị nhiễm trùng gia tăng. Mã độc khai thác các lỗ hổng trên trang mạng có tên gọi là “Eternal Blue,” do nhóm tin tặc Shadow Brokers phát hành từ Tháng Ba.Trụ sở của Cơ Quan Tình Báo Hoa K2y, tại Ft. Meade, Maryland, U.S. Ảnh: REUTERS/Larry Downing/Files




Trụ sở của Cơ Quan Tình Báo Hoa K2y, tại Ft. Meade, Maryland, U.S. Ảnh: REUTERS/Larry Downing/Files

Giữa Tháng Tư năm 2017, nhóm Shadow Brokers tuyên bố tấn công trang mạng của Cơ Quan An Ninh Quốc Gia Hoa Kỳ, ăn cắp  “vũ khí phần mềm” của cơ quan này. Đây là mã độc chuyên chuyên khai thác lỗ hổng bảo mật của Windows trong giao thức mạng, thường được dùng để chia sẻ tập tin và in ấn. Công cụ này giúp Cơ Quan Anh Ninh Hoa Kỳ có thể xâm nhập hàng triệu máy tính chạy bằng Window.  Cơ Quan An Ninh Quốc Gia Hoa Kỳ không đưa ra lời bình luận, về sự kiện này.





Công Ty Nissanở Sunderland, northern England, Jcũng bị tấn công. Ảnh: REUTERS/Nigel Roddis/File photoCông Ty Nissan ở Sunderland, northern England, Jcũng bị tấn công. Ảnh: REUTERS/Nigel Roddis/File photo

Không biết  nhóm Shadow Brokers ở đâu, nhưng các nhà nghiên cứu bảo mật tin rằng, nhóm này đang ở Nga, bởi vì nguồn phát sinh phần mềm mã độc kiểu ransomworm này, phát xuất từ nước Nga. Phần lớn các máy tính bị nhiễm mã độc này là ở Nga, Ukraine và Đài Loan. Việt Nam cũng bị nhiễm virus này.





Hình minh họa. Ảnh: The Financial ExpressHình minh họa. Ảnh: The Financial Express

Con số bị nhiễm virus WannaCry có thể tiếp tục gia tăng,  khi mọi người đi làm vào ngày Thứ Hai 15 tháng 5. Chính phủ các quốc gia, và các công ty bảo mật an ninh cho biết, họ hy vọng sẽ ngăn chặn được loại virus này, để bảo đảm mạng lưới được bảo mật, trước khi thư tống tiền của nhóm Shadow Brokers có hiệu lực.Hình minh họa nhóm hacker Shadow Broker. Ảnh: The Hacker News
Hình minh họa nhóm hacker Shadow Broker. Ảnh: The Hacker News H.Van
NGUỒN TIN: REUTERS


Trước tình hình mã độc WannaCry đang lây lan nhanh ở nhiều quốc gia và tại Việt Nam cũng đã phát hiện ra một số trường hợp bị lây nhiễm, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa có công văn hướng dẫn kiểm soát và ngăn chặn loại mã độc.
Trung tâm VNCERT yêu cầu Lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện khẩn cấp các biện pháp phòng ngừa, ngăn chặn việc tấn công của mã độc Ransomware WannaCry (hoặc được biết với các tên khác như Wanna Crypt, WanaCrypt0r 2.0, …) tấn công vào mạng máy tính của Việt Nam.
bien phap phong ngua ngan chan ma doc wannacry lay lan hinh 1
Mã độc WannaCrycó thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống. (Ảnh minh họa: Internet)
Các cơ quan, đơn vị cần theo dõi, ngăn chặn kết nối đến các máy chủ điều khiển mã độc WannaCry và cập nhật vào các hệ thống bảo vệ như IDS/IPS, Firewall… Nếu phát hiện cần nhanh chóng cô lập vùng/máy đã phát hiện;
Đồng thời, kiểm tra và thực hiện gấp các bước đã được hướng dẫn trước đây tại văn bản số 80/VNCERT-ĐPƯC, ngày 9/3/2016 và văn bản 123/VNCERT-ĐPƯC, ngày 24/4/2017, tải tại địa chỉ: http://www.vncert.gov.vn/baiviet.php?id=2http://vncert.gov.vn/baiviet.php?id=52 để phòng tránh các cuộc tấn công qui mô lớn và nguy hiểm khác.
Sau khi thực hiện, yêu cầu các đơn vị báo cáo tình hình về đầu mối điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn;
Trung tâm VNCERT cảnh báo, những mã độc nêu trên cực kỳ nguy hiểm, có thể đánh cắp thông tin và mã hóa toàn bộ máy chủ hệ thống. Đồng thời, với các lỗ hổng đã công bố, tin tặc khai thác và tấn công sẽ gây ra nhiều hậu quả nghiêm trọng khác./.
Trong những ngày cuối tuần, cộng đồng mạng chấn động bởi thông tin mã độc tống tiền (ransomware) Wanna Cryptor đang lây lan với tốc độ nhanh ở nhiều quốc gia trên thế giới. Chỉ trong một khoảng thời gian rất ngắn, Wanna Cryptor đã lây nhiễm hơn 100.000 máy tính tại 74 quốc gia.
Mã độc này khai thác một số lỗ hổng trên hệ điều hành Windows để tấn công vào máy tính với mục tiêu mã hóa dữ liệu để đòi tiền chuộc. Nạn nhân chỉ có 3 ngày để nộp tiền chuộc, sau 3 ngày giá tiền sẽ tăng gấp đôi.
Cửa sổ hiện ra yêu cầu nạn nhân trả tiền chuộc dữ liệu bằng bitcoin.
Hệ thống giám sát virus của BKAV bước đầu ghi nhận, đã có những trường hợp lây nhiễm mã độc này tại Việt Nam. Con số này có thể tiếp tục tăng vì hôm nay vẫn đang là ngày nghỉ, nhiều máy tính không bật. Virus có thể bùng phát vào đầu tuần tới, khi mọi người đi làm trở lại.
BKAV cho hay Wanna Crypt0r tấn công vào máy nạn nhận qua file đính kèm email hoặc link độc hại, như các dòng ransomware khác. Tuy nhiên, mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng.
Cụ thể, Wanna Crypt0r sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.
Theo các chuyên gia BKAV, đã lâu rồi mới lại xuất hiện loại virus phát tán rộng qua Internet, kết hợp với khai thác lỗ hổng để lây trong mạng LAN. Các virus tương tự trước đây chủ yếu được hacker sử dụng để “ghi điểm” chứ không mang tính chất phá hoại, kiếm tiền trực tiếp. Wanna Crypt0r có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề.
Thống kê từ hệ thống giám sát virus của Bkav trong năm 2016 cho thấy, có tới 16% lượng email lưu chuyển phát tán ransomware. Như vậy cứ nhận được 10 email, người sử dụng sẽ gặp 1,6 email chứa ransomware.
Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav cho biết: “Đúng như nhận định cuối năm ngoái của BKAV, năm 2017 sẽ chứng kiến sự bùng nổ của mã độc tống tiền (ransomware) do có thể mang lại “lợi nhuận” trực tiếp, khổng lồ cho hacker. Kiểu lây nhiễm của mã độc Wanna Cprypt0r tuy không mới, nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành”.
BKAV khuyến cáo người dùng cập nhật bản vá càng sớm càng tốt, bằng cách vào Windows Update → Check for updates để kiểm tra các bản vá mới nhất. Cần khẩn trương backup các dữ liệu quan trọng trên máy tính. Nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Người dùng BKAV Pro đều đã được tự động ngăn chặn những kịch bản khai thác tương tự.
Tối 13/5, trên trang của Bộ Thông tin và Truyền thông, Cục An toàn thông tin đã đưa ra chỉ dẫn các tổ chức, cá nhân thực hiện những biện pháp xử lý khẩn cấp mã độc tống tiền này.
Đối với các cá nhân, Cục An toàn thông tin hướng dẫn cần thực hiện cập nhật ngay các phiên bản hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho sự vụ này tại: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproducts hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
Bên cạnh đó, người dùng cần cập nhật các chương trình Antivius đang sử dụng. Trong trường hợp chưa sử dụng, cần phải cài đặt một phần mềm diệt virus có bản quyền.
Cục An toàn thông tin khuyến cáo người dùng cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc: Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra; Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn link; Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.
Còn đối với tổ chức, Cục An toàn thông tin hướng dẫn Kiểm tra ngay lập tức các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.
Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo hóa đề phòng việc bị tấn công.- Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.
Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM…để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản cập nhật từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi domains đang được mã độc WannaCry sử dụng, để là xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời.

Cân nhắc việc ngăn chặn (block) việc sử dung Tor trong mạng nếu doanh nghiệp, tổ chức; Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay; Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên đối với người dùng; Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết./.Thanh Hà/VTC News
Ngày 13/5, một làn sóng tấn công mạng đã "càn quét" toàn cầu. Các vụ tấn công mạng này xuất hiện dưới dạng "tống tiền" - theo đó người sử dụng mạng sẽ không thể truy cập dữ liệu trừ phi họ trả cho tin tặc một khoản tiền ảo Bitcoin.
xay ra tan cong mang duoi dang tong tien tren quy mo toan cau hinh 1
Ảnh minh họa (Nguồn: Lifewire)
Tại Anh, hàng loạt bệnh viện thuộc Dịch vụ Y tế Quốc gia (NHS) đã bị đặt trong tình trạng khẩn cấp sau khi hệ thống thông tin lưu trữ hình ảnh X-quang, kết quả xét nghiệm bệnh lý hay hệ thống quản lý bệnh nhân... đều bị "khóa." 

Nhiều bức ảnh đăng tải trên mạng xã hội cho thấy màn hình máy tính của NHS đều xuất hiện dòng chữ "Tài liệu của bạn đã bị chuyển thành mật mã" kèm theo yêu cầu trả 300 USD tiền chuộc bằng đồng Bitcoin. 

Các bệnh viện đã phải tắt toàn bộ hệ thống máy tính để bảo vệ dữ liệu, trong khi nhiều bệnh nhân buộc phải chuyển sang những bệnh viện không gặp sự cố mạng. 

Cùng lúc, Bộ Nội vụ Nga, các công ty lớn tại Tây Ban Nha như Tập đoàn viễn thông Telefonica, và công ty chuyển phát FedEx Mỹ đều đã thông báo bị tin tặc tấn công.

Hiện mức độ các vụ tấn công vẫn chưa được tính toán hết, nhưng theo một số nhà phân tích, hàng chục quốc gia đã bị ảnh hưởng bởi loạt vụ tấn công mạng này, trong đó có Anh, Nga, Áo, Bỉ, Pháp, Đức, Italy, Tây Ban Nha, Mỹ và Mexico.

Nhóm phản ứng sự cố máy tính của Bộ An ninh Nội địa Mỹ thừa nhận làn sóng tấn công mạng này đang xảy ra "tại nhiều nước trên thế giới," trong khi các công ty an ninh mạng như Avast hay Kaspersky ước tính đã xảy ra từ 45.000 đến 75.000 vụ tại 74 đến 99 quốc gia.

Trung tâm An ninh mạng quốc gia và Cơ quan phòng chống tội phạm quốc gia của Anh đang triển khai các biện pháp điều tra vụ việc trong khi cũng có nguồn tin cho rằng tin tặc đã khai thác lỗ hổng trong các tài liệu bị rò rỉ của Cơ quan An ninh Quốc gia Mỹ để gây ra sự cố mạng quy mô lớn này./.

No comments:

Post a Comment