MÃ ĐỘC TỐNG TIỀN RANDSOMWARE & BIỆN PHÁP PHÒNG CHỐNG
Trong giao dịch điện tử nói
chung và giao dịch thanh toán điện tử nói riêng, người tham gia giao dịch
thường xuyên đối mặt với những cuộc tấn công mạng rất nguy hiểm, trong nhiều
trường hợp có thể gây tổn hai rất to lớn.
Sau đây là thông tin về một
tấn công mạng đã xuất hiện và gây tác hại bùng nổ trên toàn thế giới trong
tháng 5/2017.
·
Tấn công của Randsomware - Mã độc đòi
tiền chuộc –
Chúng tôi xin giới thiệu với các bạn một phần mềm - rất đáng tin cậy - để phòng chống WannaCry, các bạn có thể vào đường dẫn duwqowis đây tải về thiết bị của mình để sử dụng.
WANNACRY - “Muốn
khóc”
WannaDecryptor 2.0, là một phần mềm độc hại, một mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft
Windows, được biết là đã xuất hiện
một số nơi trên thế giới từ khoảng năm 2015.
Nhưng sự
bùng nổ chỉ mới xẩy ra vào cuối 2016 đầu 2017. Vào tháng 5 năm 2017, một cuộc
tấn công không gian mạng quy mô lớn sử dụng mã độc đó được đưa ra, tính tới
ngày 15 tháng 5 (3 ngày sau khi được biết đến) gây lây nhiễm trên 230.000 máy
tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới
600 Euro bằng bitcoin với 20 ngôn ngữ (bao gồm cả tiếng Thái và tiếng Trung Quốc). Đến tháng 5/ 2017 người ta biết tới 5 tài khoản bitcoin của
họ, tuy vậy đến nay chỉ có không hơn 130 người chịu trả tiền, thu nhập tối đa
chỉ khoảng 30.000 Euro.
Cuộc tấn công
này đã ảnh hưởng đến Telefónica và một
số công ty lớn khác ở Tây Ban
Nha, cũng như các bộ
phận của Dịch vụ Y tế Quốc gia (NHS) ccủa Anh, FedEx vàDeutsche Bank Các mục tiêu khác ở ít nhất 99 quốc gia
khác cũng được báo cáo là đã bị tấn công vào cùng một thời điểm. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Các sự việc khẩn cấp
Nga và công ty viễn thông của Nga MegaFon, cũng được báo cáo là bị dính mã độc
này.
Theo một số
chuyên gia bảo mật an ninh mạng,WannaCry đã sử dụng khai thác lỗ hổng
EternalBlue, một hoạt động được cho là của Cơ quan An ninh Quốc gia Hoa Kỳ
(NSA) phát triển để tấn công các máy tính chạy hệ điều hành Microsoft Windows. Mặc dù một bản vá để loại bỏ các lỗ hổng này đã được ban hành
vào ngày 14 tháng 3 năm 2017, nhưng sự chậm trễ trong việc cập nhật bảo mật làm
cho khá nhiều người dùng và một số tổ chức đã bị tấn công.
Bối
cảnh và diễn biến.
Công
cụ tấn công mạng EternalBlue được cho là đã phát tán rộng rãi bởi nhóm hacker
Shadow vào ngày 14 tháng 4 năm 2017, cùng với các công cụ khác dường như đã bị rò rỉ từ một tổ chức
có tên là Equation Group, được cho là một phần của Cơ quan An ninh Quốc gia Hoa
Kỳ.
EternalBlue khai
thác lỗ hổng MS17-010 của giao thức SMB của Microsoft (Server Message Block). Microsoft đã phát
hành một "Critical" advisory, cùng với hotfix cập nhật để vá lỗ hổng
một tháng trước đó, vào ngày 14 tháng 3 năm 2017.
Vào ngày 12
tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng bùng nổ đến các máy tính trên
toàn thế giới. Đến cuối tháng 5/2017, đã có hơn 45.000 cuộc tấn công được ghi
nhận tại 99 quốc gia. Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan. Việt Nam cũng là một trong những nước bị tấn công nhiều nhất. Tuy nhiên tại Triều Tiên lại không thấy dấu vết của mã độc này.
Sau khi xâm nhập
vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy
tính ngẫu nhiên được kết nối trên Internet và các máy tính trong cùng mạng LAN. Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính
đến thời điểm hiện tại, gần như không có cách nào để giải mã các file đã bị
WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả cho hacker
một khoản “tiền chuộc” từ 300 tới 600
Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm
bảo do hacker hoàn toàn có thể "trở mặt", không thực hiện cam kết
giải mã.
Khi lây nhiễm
vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt
đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được.
Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng
có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn"
trong trường hợp phần mềm trở nên không kiểm soát được. Một chuyên gia công
nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến
10 Euro, vụ tấn công tạm thời được ngăn chặn. Ngay sau đó, các biến thể của WannaCry đã được sửa code lại
nhanh chóng lây lan trở lại với phiên bản 2.0.
Lỗ hổng của
Windows không phải là lỗ hổng zero-day,
Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017 - gần như 2 tháng trước đó. Hotfix này dùng để vá lỗi của giao
thức Server Message Block (SMB) được sử dụng bởi Windows. Microsoft cũng đã thúc dục mọi người ngừng sử dụng giao thức
SMB1 cũ và thay vào đó sử dụng giao thức SMB3 an toàn hơn, mới hơn. Các tổ chức nào vẫn chạy Windows XP và các hệ điều hành cũ hơn đều có nguy cơ cao vì không có bản
cập nhật bảo mật mới được phát hành.
Tuy nhiên, vào
ngày 12 tháng 5 năm 2017, không lâu sau khi WannaCry lây lan, Microsoft đã phát
hành bản vá lỗi tương tự bản vá MS17-010 vừa được phát hành vào ngày 14 tháng 3
năm 2017 dành cho các hệ điều hành cũ bao gồm Windows XP và Windows Server
2003.
Hậu
quả
Thực ra
Wannacry đã gây tác hại từ khá lâu trước khi bùng nổ vào đầu năm 2017. Cuộc tấn
công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh từ đầu năm 2015.
Vào ngày 12 tháng 5 năm 2015, một số dịch vụ NHS đã phải từ chối những trường
hợp khẩn cấp không trầm trọng lắm. Đến năm 2016, hàng ngàn máy tính trong 42 ủy
thác NHS ở Anh được biết là vẫn đang chạy phiên bản Windows XP cũ.
Nissan Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô
hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào
một số hệ thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn
chặn sự lây lan của ransomware. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Công việckhẩn cấp Nga
và Công ty viễn thông của Nga MegaFon, cũng bị nhiễm Randsomware..
Tìm
kiếm thủ phạm
Chuyên gia
IT của Google, Neel Metha vào ngày 15-5-2017 đã công bố lên mạng, cho thấy sự
tương tự giữa WannaCry và một số virus từ một loạt các cuộc tấn công mạng trước
đây, mà người ta có thể nghi ngờ về nguồn gốc. Công ty an ninh mạng Nga
Kapersky sau khi phân tích mã này, nhận định khám phá của Metha "hiện tại
là dấu vết quan trọng nhất về xuất xứ của Wannacry". Theo Kaspersky những
mã này cho thấy nó xuất phát từ nhóm tin tặc Lazarus. Nhóm này bị cho là chịu
trách nhiệm cho vụ tấn công vào hãng phim Sony
Pictures trong năm 2014. Tuy nhiên nói chung các
nhà khoa học cho biết những dấu vết này chưa đủ để chứng minh.
Dường như
những người viết đoạn mã độc đòi tiền chuộc đã dùng Google Translate để dịch ra
các ngôn ngữ khác nhau, trừ bản tiếng Trung có thể được dịch theo một kiểu
riêng.
Cơ
hội cho thị trường bảo hiểm
Cũng có mặt trái
của vấn đề. Trước thị trường mới tinh và đầy tiềm năng này, nhiều công ty bảo
hiểm đã được khích lệ. Điều này xuất phát từ nỗi lo sợ bị mất dữ liệu của nhiều
công ty. Tuy nhiên, mặc dù bỏ tiền ra mua bảo hiểm, song sẽ có một số thiệt hại
liên quan khi bị tin tặc tấn công sẽ không được bảo hiểm chi trả. Đó là thiệt
hại do việc gián đoạn kinh doanh và thiệt hại về danh tiếng. Nhiều công ty lớn
trên thế giới đang yêu cầu có thêm các khoản bồi thường này trong các hợp đồng
mua bảo hiểm không gian mạng. Khó khăn thứ hai với bên bảo hiểm là một vụ tấn
công mạng thường xảy ra ở mức độ lớn, cùng lúc với nhiều đối tượng, trong khi
lâu nay giới bảo hiểm chỉ quen và chỉ thích xử lý những trường hợp bị thiệt hại
riêng lẻ (như trường hợp tai nạn xe cộ, cháy nổ tài sản, bị hủy chuyến du
lịch...).
Theo Financial Times,
thị trường bảo hiểm không gian mạng trong mấy năm gần đây đã bắt đầu phát
triển, với số tiền đóng bảo hiểm mỗi năm khoảng 3 tỉ USD. Dự báo con số này có
thể tăng tới 20 tỉ USD vào năm 2025.
