Tiết lộ sốc về mã độc Petya và thế lực đứng sau

Tiết lộ sốc về mã độc Petya và thế lực đứng sau - 1

Cảnh báo xuất hiện trên máy tính nạn nhân nhiễm mã độc Petya

Khi chính phủ và các tổ chức khắp thế giới đang vật lộn với các hậu quả từ cuộc tấn công đóng băng máy tính bằng mã độc vừa xảy ra, nạn nhân của Petya lại nhận được cảnh báo rõ ràng từ các chuyên gia an ninh rằng không nên trả tiền chuộc với hi vọng lấy lại được dữ liệu.

Địa chỉ email của hacker đã bị đóng và chúng mất khả năng liên lạc với nạn nhân, do đó về logic không thể phục hồi máy tính cho họ. Nếu hacker muốn thu thập tiền chuộc, cuộc tấn công của chúng là thất bại thảm hại. Dù vậy, đây có phải mục đích chính của hacker?

Những cuộc tấn công ngày một tinh vi khiến các chuyên gia đặt ra câu hỏi về động cơ thực sự của hacker? Tiền, phá hoại hay truyền đạt thông điệp chính trị?

Trong vụ diễn ra ngày 27/6 ảnh hưởng đến máy tính từ Ukraine cho đến Mỹ, động cơ tài chính dường như là kém khả thi nhất. Ransomware là một trong những hình thức tấn công mạng lâu đời nhất và tinh vi nhất dựa trên hành vi mã hóa tập tin của nạn nhân, về cơ bản không cho họ tiếp cận máy tính của mình cho đến khi trả tiền chuộc. Năm 2016, các chuyên gia bảo mật ước tính tội phạm đã kiếm hơn 1 tỷ USD từ mansomware, nạn nhân trải dài từ CEO các công ty Fortune 500 cho đến cá nhân đơn lẻ.

Petya cũng như WannaCry đều phát tán rộng hơn và nhanh hơn các ransomware trước đây. Tuy nhiên hợp lại, chúng mới kiếm hơn 100.000 USD. WannaCry phát tán bằng cách kết hợp ransomware truyền thống với một con bọ để từ đó cuộc tấn công phát triển nhanh chóng. Theo các chuyên gia, đây là mã độc đầu tiên có mục đích dường như là càng phát tán nhanh càng tốt hơn là lấy tiền chuộc từ nạn nhân.

Vụ tấn công hôm 27/6 được gọi bằng những cái tên khác nhau như Petya, NotPetya và GoldenEye. Cũng như WannaCry, nó được sinh ra để lan truyền chóng mặt, chỉ cần khai thác một máy tính chưa được bảo vệ để lây lan cho toàn mạng lưới.

WannaCry bị chặn đứng bởi một chuyên gia bảo mật độc lập. Tuy Petya chưa dừng lại, có vẻ kẻ đứng sau không thể thu về số tiền chuộc đáng kể do nhà cung cấp dịch vụ email Đức đã chặn mọi truy cập đến tài khoản mà hacker sử dụng.

Justin Harvey, Giám đốc phản ứng sự cố toàn cầu tại Accenture Security nhận định chúng không còn thu thập tiền chuộc nữa mà chỉ đang phá hoại. Khi tội phạm dùng ransomware để kiếm tiền, chúng sẽ tạo nhiều tài khoản, nhưng trường hợp này, chúng lại dùng phương pháp “trẻ con”, chỉ dùng một địa chỉ email và một ví Bitcoin. Dù vậy, cuộc tấn công lại đòi hỏi nỗ lực đáng kể.

Các chuyên gia bảo mật nhận định cuộc tấn công xuất phát từ Ukraine, xảy ra đúng một ngày trước kỳ nghỉ đánh dấu việc áp dụng Hiến pháp đầu tiên của nước này năm 1996. Theo Microsoft, hơn 12.500 máy tính tại đây là mục tiêu dù cuộc tấn công lan ra 64 quốc gia khác.

Dù các nhà hành pháp chưa xác định được kẻ đứng sau, Microsoft cho biết hacker ban đầu tập trung vào phần mềm chạy bởi M.E.Doc, một công ty kế toán thuế của Ukraine. M.E.Doc biết được máy chủ bị ảnh hưởng và trong thông báo nói đang hợp tác với cảnh sát mạng Ukraine.

Theo một bài viết trên Kaspersky Lab, cuộc tấn công bằng Petya nhằm vào doanh nghiệp tại Ukraine, Nga và Ba Lan. 3 nước này cùng với Italy và Đức bị tác động mạnh nhất. Vài công ty châu Âu và Mỹ cũng là nạn nhân. Công ty và tổ chức chính phủ trên toàn cầu không bị ảnh hưởng nhiều như trong vụ WannaCry, đáng chú ý tại những nước như Trung Quốc. Những báo cáo tại châu Á cho thấy nhiều công ty bị tấn công đều là chi nhánh ở châu Âu.

Thế lực đứng sau WannaCry và Petya vẫn chưa được nhận diện, động cơ của chúng cũng không rõ ràng. Brian Lord, cựu Phó Giám đốc tình báo và an ninh mạng của đơn vị tình báo GCHQ (Anh), nhận xét thay vì mục tiêu tài chính, hacker muốn phá hoại, đặc biệt tại Ukraine. Ông không tin rằng Nga là thủ phạm bởi “người Nga rất thông minh”.

Trong khi đó, Ido Wulkan, Giám đốc tình báo tại hãng bảo mật Insight, cho biết địa chỉ IP và số điện thoại kết nối đến đăng ký tên miền Internet dùng trong cuộc tấn công Petya xuất phát từ Iran. “Có thể đó là Iran nhưng cũng có khả năng là ai đó ngụy trang như họ là Iran”.

Do các công cụ dùng trong những vụ tấn công gần đây đều được phổ biến rộng rãi, hàng loạt hacker – từ tội phạm mạng đến các thế lực được chính phủ tài trợ – đều có thể triển khai chúng.

Tấn công ransomware chưa có dấu hiệu kết thúc. Để tự bảo vệ mình trước các nguy cơ hiện tại và tương lai, Cục An toàn thông tin đã đưa ra hướng dẫn cách xử lý mã độc tống tiền Petya. Cục An toàn thông tin – Bộ TT&TT đề nghị các cơ quan, tổ chức tăng cường các biện pháp bảo đảm an toàn thông tin. Cụ thể, các cơ quan, đơn vị, doanh nghiệp được yêu cầu phải kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199; chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet; vô hiệu hóa WMIC (Windows Management Instrumentation Command-line).

Đồng thời, Cục An toàn thông tin cũng đề nghị các cơ quan, tổ chức, doanh nghiệp không truy cập vào các liên kết lạ, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử; thực hiện sao lưu các dữ liệu quan trọng thường xuyên vào các thiết bị lưu trữ riêng biệt; cập nhật phần mềm diệt virus; tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết); và tạo tệp tin “C:Windowsperfc” để ngăn ngừa nhiễm ransomware.

Phát hiện bất ngờ về hacker mã hóa dữ liệu đòi tiền chuộc

Năm 2016, hơn 76% ransomware bắt nguồn từ thế giới ngầm của tội phạm mạng nói tiếng Nga.


Leave a Reply

Your email address will not be published. Required fields are marked *