Bảo vệ khỏi cuộc tấn công ransomware lớn đang diễn ra trên toàn cầu
Chỉ 6 giờ sau khi lây nhiễm tại Anh, mã độc tống tiền có tên WanaCrypt0r đã lan rộng ra 74 quốc gia với hơn 45.000 vụ tấn công trên toàn thế giới.
Có thể coi đây là cuộc tấn công mạng P2P (Peer-to-Peer) lớn nhất trong một thập kỷ qua, mức độ lây lan cực kỳ nhanh chóng của nó khiến các hệ thống máy tính quan trọng không kịp phản ứng. .
Theo Gizmodo, tài khoản Twitter @MalwareHunterTeam bắt đầu báo cáo về sự lây lan đáng báo động của một loại ransomware có tên WanaCrypt0r (một biến thể của WannaCry) bắt đầu từ sáng hôm qua (chiều 12/5 theo giờ Việt Nam) từ hệ thống y tế của bệnh viện NHS đến từ Vương quốc Anh, ngày 16/5. các hệ thống NHS sau đó đã bị nhiễm mã độc này. Không có bằng chứng cho thấy mã độc đã truy cập hồ sơ bệnh nhân, và NHS không phải là mục tiêu tấn công duy nhất của WanaCrypt0r.
Chưa đầy 3 giờ (chính xác là chưa đầy 2 giờ) kể từ đợt tấn công đầu tiên, hơn 11 quốc gia đã bị ảnh hưởng bởi mã độc này. Chưa hết, 6 tiếng sau (sáng nay theo giờ Việt Nam), mã độc này đã lây lan ra 74 quốc gia với hơn 45.000 lượt tấn công trên toàn thế giới.
Hiện tại, số lượng máy tính bị tấn công vẫn đang tăng lên nhanh chóng. Costin Raiu, Giám đốc nghiên cứu toàn cầu của Kaspersky, cho biết nhiều bệnh viện trực thuộc NHS đã tắt toàn bộ hệ thống máy tính quản lý, sử dụng bút để theo dõi hồ sơ bệnh nhân.
Nga, Đài Loan và Tây Ban Nha là những quốc gia bị ảnh hưởng nặng nề nhất, bản đồ lây lan trên của MalwareTech cho thấy phần mềm độc hại đã lây lan sang hầu hết các châu lục đông dân, nhiều báo cáo nói rằng đã tìm thấy WanaCrypt0r. được tìm thấy ở Mỹ. Nguồn tin cho biết mã độc này được phát tán thông qua giao thức mạng ngang hàng P2P (Peer-to-Peer) và được “tăng cường” bởi một lỗ hổng trong hệ điều hành Windows do Cơ quan An ninh Quốc gia thiết kế. Nước Mỹ có tên là EternalBlue.
WanaCrypt0r đến từ 16 bệnh viện ở Anh và Telefonica, một nhà mạng ở Tây Ban Nha. Giống như các ransomware khác, WanaCrypt0r sẽ mã hóa tất cả dữ liệu và tệp được lưu trữ trên thiết bị, sau đó hiển thị thông báo yêu cầu trả tiền để nhận mã đổi dữ liệu. Trong đó, người bị thiệt hại chỉ có 3 ngày, sau 3 ngày giá sẽ tăng gấp đôi, và sau 7 ngày nếu vẫn không trả sẽ vĩnh viễn không lấy lại được hồ sơ.
36.000 lần phát hiện #Muốn khóc (còn gọi là #WanaCypt0r hay còn gọi là #WCkhóc) #ransomware cho đến nay. Nga, Ukraine và Đài Loan dẫn đầu. Điều này là rất lớn. pic.twitter.com/EaZcaxPta4
– Jakub Kroustek (@JakubKroustek) 12 Tháng Năm, 2017
Một dòng tweet cảnh báo về sự lây lan nhanh chóng của mã độc
Trong tweet trên, tính đến 10h đêm qua, đã có 36.000 cuộc tấn công của WanaCrypt0r diễn ra.
Trong khi “người tiền nhiệm” WannaCry của WanaCrypt0r không thể phát tán rộng rãi do chỉ hoạt động khi người dùng nhấp vào liên kết giả mạo hoặc tệp giả mạo thì WanaCrypt0r đã lợi dụng lỗ hổng để phát tán rộng rãi. Thông qua khai thác EternalBlue, phần mềm độc hại này cài đặt một phần mềm backdoor của NSA có tên là DoublePulsat, qua đó lây nhiễm WannaCry, gây ra sự lây lan cực kỳ nhanh chóng và tự động đến các máy tính trong cùng một mạng, lên đến hàng trăm máy cùng một lúc.
Các nhà nghiên cứu đã phát hiện ra rằng một số hệ thống được liên kết với ví bitcoin, trong đó hàng nghìn đô la từ các nạn nhân đã được gửi, được bao gồm trong mã độc này.
Tính đến sáng nay, có rất nhiều doanh nghiệp và công ty đang đau đầu với WanaCrypt0r. Công ty vận chuyển FedEx đã xác nhận với BBC rằng một số hệ thống máy tính Windows của họ bị ảnh hưởng bởi phần mềm độc hại. FedEx cho biết họ sẽ có hành động khắc phục nhanh nhất có thể. Theo SwiftOnSecurity, sau khi văn phòng tại Vương quốc Anh bị nhiễm phần mềm độc hại, FedEx đã yêu cầu các đối tác tại Mỹ ngừng tất cả các mạng quan trọng sử dụng Windows. Được biết, Bộ Nội vụ Nga rất có thể là nạn nhân của vụ tấn công này.
Bạn cần làm gì để bảo vệ chính mình?
Tất cả các vấn đề trên có thể tránh được bằng cách cài đặt bản vá bảo mật mới nhất do Microsoft phát hành vào ngày 14 tháng 3 (ngoại trừ Windows XP). Bạn có thể mời vào Để xem thông tin về các phiên bản Windows bị ảnh hưởng và tải xuống bản vá EternalBlue (MS17-010) ngay lập tức, tất cả các hệ thống chưa cài đặt bản vá MS17-010 có thể bị ảnh hưởng bất cứ lúc nào. Bất cứ lúc nào. Ngoài ra, luôn luôn kiểm tra các bản cập nhật trên Windows Update để đảm bảo máy tính được cập nhật các phiên bản và bản vá lỗi mới nhất.
Hãng bảo mật Trend Micro cho biết, nếu các tổ chức, doanh nghiệp không thể sử dụng trực tiếp bản vá thì có thể sử dụng bản vá ảo để giúp giảm thiểu các mối đe dọa.
Cục An toàn thông tin (ATTT) và Bộ TT&TT nói gì?
Theo vnReview, đại diện Cục An toàn thông tin (ATTT), Bộ TT&TT cho biết, Cục đang theo dõi diễn biến của mã độc WanaCrypt0r tại Việt Nam, nếu phát hiện trường hợp nào bị mã độc tống tiền này tấn công, Cục sẽ thông báo cho cơ quan chức năng. các phương tiện thông tin đại chúng.
Cách đây vài tuần, nhóm hacker Shadow Brokers tuyên bố đã đánh cắp bộ công cụ gián điệp tấn công hệ thống nhằm khai thác dữ liệu của Cơ quan An ninh Quốc gia Mỹ (NSA). Do không đạt được thỏa thuận tài chính để đổi lấy bộ công cụ, nhóm tin tặc này đã tung bộ công cụ này lên mạng thông qua trang web mã nguồn mở Github.
Cục An toàn thông tin cho biết, WanaCrypt0r đã lợi dụng cơ sở dữ liệu của NSA để phát tán ra khắp thế giới. Tuy nhiên, điều này đã nằm trong dự báo của Bộ TT&TT: cách đây 2 tuần, Bộ TT&TT đã gửi cảnh báo về khả năng bị tấn công mạng quy mô lớn từ dữ liệu của NSA trên các phương tiện thông tin đại chúng. họ. Bộ cũng đã có công văn cảnh báo tới các đơn vị, tổ chức tại Việt Nam và khuyến cáo các đơn vị, tổ chức nhanh chóng rà soát, cập nhật các bản vá cảnh báo trên website chính thức của Mircosoft để người dùng có thể sử dụng. với các hệ thống sử dụng hệ điều hành Windows (từ Windows Server 2000 đến Windows Server 2012, Windows XP, Windows Vista, Windows 7, Windows 8…).
Cục An toàn thông tin cũng khuyến cáo cập nhật phiên bản mới nhất của các chương trình diệt vi rút để phát hiện, xử lý các mã độc thực thi mà tin tặc tấn công vào hệ thống; thực hiện sao lưu dữ liệu định kỳ bằng cách sử dụng các ổ lưu trữ bên ngoài như ổ cứng gắn ngoài, USB để lưu trữ các dữ liệu quan trọng trong máy tính. Sau khi sao lưu xong, hãy đặt nó vào bộ lưu trữ riêng và không kết nối Internet.
Theo Tập đoàn công nghệ BKAV, tính đến thời điểm này, BKAV đã ghi nhận hơn 100 trường hợp máy tính của người dùng bị nhiễm mã độc WannaCry.
Do vẫn là ngày cuối tuần nên số lượng máy tính bị lây nhiễm không cao. Tuy nhiên, các chuyên gia an ninh mạng dự báo, đầu tuần tới khi người dân đi làm trở lại, tốc độ lây nhiễm có thể sẽ tăng nhanh. Nguyên nhân là mã độc này có thể lây lan trực tiếp giữa các máy tính kết nối cùng mạng Internet có chứa lỗ hổng hệ điều hành mà không thông qua email hay đường dẫn.
Vì vậy, các cơ quan, tổ chức có nhiều máy tính kết nối mạng rất dễ bị tấn công bởi loại mã độc tống tiền này.
⚠️ Nên đọc:
Theo The Hacker News, Trend Micro và vnReview
