thế giới kinh hồn vì ransomware WannaCry
Theo Con số của Kaspersky và các hãng bảo mật khác những nước bị ảnh hưởng nặng nhất là Nga, Ukraina, Ấn Độ và Trung Quốc.
Tại Anh, có 48 trên tổng số 248 cơ sở thuộc hệ thống y tế công NHS (khoảng sắp 20%) bị tấn công gây tác động tới việc khám chữa bệnh và thăm nom bệnh nhân, giới chức nước này cho biết hôm thứ Bảy 13/5.
Bộ Nội vụ Nga song song công nhận hơn 1.000 máy tính chạy hệ điều hành Windows của họ bị lây truyền.
Tập đoàn dầu khí Trung Quốc PetroChina sở hữu 21.000 trạm xăng dầu cho biết một số trong đấy bị trục trệu khâu thanh toán tự động phải chuyển sang hình thức trả tiền bằng tiền mặt. 1 số trường đại học Trung Quốc cũng bị tấn công, theo tin của tạp chí nước này.
Tại Hàn Quốc, chuỗi rạp phim lớn nhất nước CJ CGV cho biết hệ thống máy chủ truyền bá và màn hình hiển thị ở các rạp chiếu phim đã bị ransomware truyền nhiễm.
Liên doanh cung cấp ôtô Renault và Nissan do lo ngại mã độc lây lan phải tạm đóng cửa một số nhà máy, tại Sandouville của hãng xe Pháp Renault và Sunderland (thuộc bắc vương quốc Anh) đối với hãng xe Nhật Bản Nissan.
Rộng rãi doanh nghiệp, tập đoàn to khác trên thế giới ghi nhận bị lây truyền mã độc, dù chưa tới mức bị ngắt quãng hoạt động, như doanh nghiệp tải đường sắt Deutsche Bahn của Đức, hãng viễn thông Tây Ban Nha Telefónica. Chính phủ Indonesia thông tin hai bệnh viện tại thủ đô Jakarta đã bị ảnh hưởng.
Tại Việt Nam, dù ít bị tác động nhưng theo đơn vị an ninh mạng Bkav cho biết, 52 phần trăm máy tính dính lỗ hổng EternalBlue có thể bị WannaCry khai thác tấn công bất cứ khi nào.
WannaCry - Lời cảnh báo đại dịch ransomware. trả tiền chuộc giả dụ không sẽ mất sạch dữ liệu, thậm chí tốn tiền theo bắt buộc cũng ko chắc sẽ...
Trung tuần tháng 5 mới đây, cả toàn cầu rúng động trước cuộc tấn công của mã độc tống tiền WannaCry. Thực tại ransomware (mã độc tống tiền) đã được nhận dạng là mối hiểm họa lớn nhất trên ko gian mạng, thế nhưng tốc độ lây lan nhanh và rộng khắp của WannaCry đã gây thất kinh cho cả toàn cầu. Cuộc tấn công dù không phức tạp, công nghệ cũng ko có gì mới mẻ nhưng đã được mô tả như là chưa có tiền lệ, hay lớn nhất từ trước tới nay.
WannaCry bùng phát hôm 12/5, với việc mã hóa dữ liệu trên máy tính nạn nhân xảy ra quá nhanh trước khả năng bảo vệ của các phần mềm bảo mật đã gây tác động đến 1 loạt tên tuổi lớn của Mỹ, châu Âu và lan sang châu Á với tốc độ chóng mặt. Hơn 300.000 máy tính ở 150 quốc gia đã bị tác động, cố vấn an ninh nội địa Mỹ Tom Bossert cho biết trong buổi họp báo đầu tuần vào hôm thứ 2 15/5/2017.
qua loa về WannaCry và cơn bùng phát mã độc
WannaCry (cũng có tên là Wanna Decrypt0r hay WannaCrypt) là bí quyết gọi chơi chữ của kẻ tấn công, hàm ý rằng người nào bị “dính” nó thì chỉ có nước khóc. Về mặt khoa học, ransomware WannaCry lúc lây truyền được vào máy tính sẽ mã hóa đa số những tập tin dữ liệu trên ổ cứng bằng thuật toán mã hóa AES và RSA, tức thị hacker có thể giải mã trực tiếp những file bị khóa bằng một khóa giải mã duy nhất. các file bị mã hóa có phần mở mang “.WCRY”và nạn nhân ko tài nào truy cập được nếu ko có chìa khóa giải mã.
Qua nghiên cứu và kiểm định các kết quả khác được công bố trên Internet, các chuyên gia bảo mật tại Chi hội an toàn thông tin phía Nam (VNISA phía Nam) cho biết, WannaCry sau khi lây truyền vào máy tính nạn nhân sẽ khởi tạo một cặp khóa RSA-2048. Mỗi tập tin được mã hoá bằng khóa bỗng dưng AES-128. Khóa private của mỗi nạn nhân mã hóa bởi public key của tin tặc. Sau đấy, mã độc WannaCry sẽ tiến hành mã hóa và xóa bỏ đông đảo những file nhất thời, thực thi tống tiền với phần mềm ẩn danh Tor và Bitcoin Wallet để nhận tiền chuộc dữ liệu mà ko bị truy vết.
WannaCry - Lời cảnh báo đại dịch ransomware
Giao diện tống tiền tài WannaCry với đồng hồ đếm ngược thời gian đề nghị nộp tiền chuộc gây hoang mang cho nạn nhân.
Nạn nhân của WannaCry nhận được thông báo phải nộp một khoản tiền chuộc bằng Bitcoin có giá trị tương đương 300 đô la, tất nhiên đấy là chỉ dẫn cách thức thanh toán để giải thoát dữ liệu đã bị “bắt cóc”. Trong vòng 3 ngày nếu nạn nhân không chịu “nộp phạt” thì trị giá tiền chuộc sẽ nâng cao gấp đôi, và lúc vượt quá thời hạn 7 ngày mà vẫn “bất hợp tác” sẽ bị hacker xóa sạch dữ liệu trên máy. Màn hình hiển thị cảnh báo cùng đồng hồ đếm ngược tạo ra ko khí gấp gáp, gây hoang mang để nạn nhân phải vội vàng nộp tiền chuộc.
Maya Horowitz, giám đốc lực lượng theo dõi hiểm họa tại hãng bảo mật Check Point, cho biết các nạn nhân WannaCry được đề nghị phải chuyển tiền chuộc vào một trong ba ví Bitcoin và sau đấy đợi chìa khóa giải mã. Theo ghi nhận của ba ví Bitcoin này, những nạn nhân đã chuyển số tiền chuộc khoảng 56.000 đô la Mỹ sau đợt đầu tấn công đầu vào ba ngày cuối tuần. Thống kê tổng ko dừng lại ở ấy. 10 ngày sau, tới ngày 25/5, đã có 314 giao dịch chuyển tiền chuộc, tổng cùng lên đến 50 BTC (tương đương 120.000 USD). Đây cũng là ngày đồng Bitcoin lập “đỉnh”, vượt mốc 2.500 USD/BTC.
Các nhà nghiên cứu tại những hãng bảo mật Avast, Proofpoint, Symantec và Kaspersky Đánh giá WannaCry cực kỳ hiểm nguy, vì nó ko chỉ mã hóa dữ liệu trên ổ cứng và tống tiền mà còn tự lây nhiễm ra toàn mạng qua lỗ hổng đã tồn tại trên số đông những hệ điều hành Windows có sử dụng giao thức san sớt file SMBv1 (Server Message Block 1.0). Đó là lỗ hổng bảo mật MS17-010, còn được biết dưới cái tên “EternalBlue”, vốn bị Cơ quan an ninh quốc gia Mỹ (NSA) phát hiện từ trước. Tài liệu về lỗ hổng này cộng dụng cụ khai thác đã bị rò rỉ hồi tháng 4 bởi nhóm hacker Shadow Brokers sau lúc đánh cắp từ Equation Group – 1 lực lượng gián điệp mạng được cho là có địa chỉ chặt chẽ với NSA.
Lỗi bảo mật này đã được Microsoft gán nhãn “nghiêm trọng” trong bản vá lỗi cho Windows phát hành vào ngày 14/3. Thậm chí hôm 15/5 hãng còn cấp tốc tung ra bản vá cho cả những phiên bản Windows cũ không còn được hỗ trợ, trong ấy có Windows XP và Windows Server 2003. Nhưng tất cả máy tính Windows cho đến thời khắc WannaCry bùng phát vẫn chưa được cập nhật bản vá vì rộng rãi lý do. Theo nhiều chuyên gia thì trong đấy có phần do quý khách Windows sử dụng phiên bản cũ không còn được hỗ trợ nữa hoặc vì dùng bản crack nên đã tắt tính năng upadate để né vấn đề bản quyền.
Không những thế, theo hãng bảo mật Kaspersky, trong đợt tiến công cách đây không lâu máy tính Windows 7 có tỷ lệ nhiễm WannaCry cao nhất, chiếm tới 97%. Khi mà đó hệ quản lý Windows XP bị “không đáng kể”. Bất kể vì lý do gì thì WannaCry cũng là bài học to mới nhất cho toàn toàn cầu về điều hành rủi ro trong bằng máy tính.
WannaCry - Lời cảnh báo đại dịch ransomware
cách lây truyền của WannaCry
Theo những chuyên gia bảo mật, WannaCry tấn công lây nhiễm bằng phổ quát con đường: qua email lừa đảo, trang web độc hại, nguy hiểm hơn nữa là khả năng quét mua trên mạng các máy tồn tại lỗ hổng MS17-010 để tự lây lan.
VNISA phía na mô tả giai đoạn WannaCry lây truyền qua phát tán các email có đính kèm những tập tin .rtf hoặc HTA, cũng có thể là tập tin nén có mật khẩu: Sau khi đột nhập thành công máy tính nạn nhân, WannaCry sẽ tiến hành hai nhiệm vụ, trước hết là dò quét cổng TCP/445 trên toàn mạng và mua cách khai thác lỗ hổng MS17-010 để lây truyền qua những máy khác. (Lỗ hổng này cho phép thực thi mã từ xa phê chuẩn nhà sản xuất san sớt tập tin SMBv1 trên hệ điều hành Windows). Sau đấy, mã hóa dữ liệu và kích hoạt cơ chế đòi tiền chuộc.
May mắn trong đợt tấn công trước hết của WannaCry, một khoa học viên 22 tuổi sống ở Anh, Marcus Hutchins, đã phát hiện cơ chế “kill switch” và kịp thời kích hoạt chế độ dừng tiến công, góp phần quan trọng ngăn chặn mã độc lây truyền tràn lan qua mạng.
Marcus Hutchins, có bí danh MalwareTech, bỗng dưng nhận thấy WannaCry trong thời kỳ thực thi sẽ kiếm tìm tên miền định trước và sẽ ngừng lây lan nếu phát hiện liên hệ tên miền này. Với việc bỏ ra 10 đô la để mua lại tên miền tiêu chí tìm kiếm của WannaCry, Hutchins đã khiến cho chậm giai đoạn lây lan WannaCry phiên bản trước tiên. Các chuyên gia bảo mật không rõ đây là lỗi lập trình hay tác giả mã độc cố tình tạo ra phương thức dừng cuộc tấn công. ngoài ra những phiên bản sau không còn sử dụng cơ chế này và nguy cơ những biến thể của WannaCry tiếp tục phát tán vẫn còn đó.
Mới chỉ là màn bắt đầu
Khi mà giới bảo mật đang bận rộn với các cuộc tấn công ransomware thì Catalin Cosoi, chiến lược gia an ninh mạng bậc nhất của Bitdefender, lại cảnh báo về 1 nguy cơ tiềm tàng khác. Ông tin rằng các đội ngũ điệp viên trên ko gian mạng do nhà nước bảo trợ cũng có thể lợi dụng lỗ hổng SMB để “cấy” backdoor tàng hình trên máy tính.
Hãng bảo mật BinaryEdge tiến hành quét Internet phát hiện hơn một triệu máy tính chạy Windows tồn tại dịch vụ SMB phơi bày trên Internet. ấy là một Báo cáo cao hơn đáng nói so với 300.000 máy bị tác động bởi WannaCry, bởi thế khả năng sẽ có nhiều vụ tiến công và nạn nhân hơn nữa.
Sự thành công của WannaCry, ít ra là về tốc độ lây lan, chứng tỏ có số đông máy tính trong mạng doanh nghiệp dễ bị tổn thương. Thực tế là còn quá rộng rãi tổ chức chậm cập nhật những bản vá lỗi và rộng rãi hệ thống đang chạy các phiên bản Windows cũ. Điều này không khó hiểu, vì việc triển khai các bản vá lỗi trong những công ty, đơn vị với lượng máy tính lớn không hề là công tác dễ dàng. Về căn bản, những tổ chức cần thử nghiệm bản vá trước lúc cài đặt đa dạng để đảm bảo chúng tương hợp với các vận dụng và không ảnh hưởng đến thứ tự khiến cho việc hiện tại của đơn vị.
Có các tổ chức, đơn vị vẫn phải tiêu dùng những phiên bản Windows cũ không còn được Microsoft tương trợ vì chưa có nguồn vốn đầu tư để nâng cấp lên phiên bản mới hơn. các hệ thống đang chạy Windows cũ có thể thấy khắp nơi, như máy ATM, đồ vật trong y tế, máy bán vé tự động, các kiosk điện tử tự dùng cho như những quầy check in tự động ở trường bay, thậm chí các máy chủ phục vụ nhà sản xuất với các ứng dụng cũ chưa thể đơn vị lại.
Đương nhiên có thể cô lập những hệ thống cũ này trong các mạng mà quyền truy cập được kiểm soát chặt chẽ hơn hoặc bằng cách thức vô hiệu các giao thức và nhà cung cấp không cấp thiết. Nhưng nhận thức được điều đó và thực thi là cả 1 quá trình, khi mà tin tặc không hề có ý định chờ đợi.
WannaCry - Lời cảnh báo đại dịch ransomware
ứng phó với WannaCry và “đại dịch” ransomware
Tấn công bằng mã độc tống tiền đã thành lĩnh vực công nghiệp tỷ đô và qui mô đang mở rộng vì đem đến lợi nhuận quá lớn cho những kẻ tiến công, trong khi đấy khách hàng vẫn chưa nhận thức số đông hiểm họa đáng sợ này. Con số từ hệ thống giám sát virus của Bkav trong năm 2016 cho thấy, có đến 16% lượng email lưu chuyển phát tán ransomware. như vậy cứ nhận được 10 email, người tiêu dùng sẽ gặp một,6 email đựng ransomware.
Cho dù ko mong muốn nhưng 1 ngày nào đấy có thể bạn sẽ bị “dính” WannaCry, CryptoLocker, hay một mẫu ransomware khác. khi đấy bạn sẽ làm gì để giải thoát dữ liệu bị “bắt cóc”?
trả tiền hay ko trả tiền?
Trong năm 2016 một bệnh viện ở Hollywood thừa nhận đã phải chi trả 17.000 đô la Mỹ tiền chuộc để lấy lại những tập tin giấy má bệnh nhân. Được biết, tù đã giải mã phần đông các file dữ liệu sau vụ tấn công 10 ngày. Ngoài ra, phổ thông trường hợp nạn nhân trả tiền rồi vẫn không nhận được chìa khóa giải mã, hoặc chỉ khôi phục được 1 phần dữ liệu, và phổ thông nạn nhân sợ ảnh hưởng tên tuổi đã không công khai vụ việc can dự. Cho dù còn nhiều tranh biện thì vẫn luôn có nạn nhân ransomware hài lòng trả tiền, có thể do tính chất thúc bách của công việc không thể thiếu dữ liệu quan trọng. Nhưng theo các chuyên gia bảo mật thì nguy cơ tin tặc quay lại tiến công lần sau là rất cao.
Dù sao nếu lỡ điều tồi tệ xảy ra, dữ liệu trên ổ cứng bị mã khóa, trước tiên bạn nên tìm kiếm sự tương trợ từ những giải pháp miễn phí có sẵn, theo lời khuyên của nhiều chuyên gia. 1 nơi đáng tin cậy là trang www.nomoreransom.org thuộc Dự án “No More Ransom” do những công ty bảo mật hợp sức xây dựng trong phấn đấu chung chống lại nạn ransomware trên thế giới, trong ấy có Intel Security, Kaspersky, Avast, Bitdefender và Trend Micro, cộng với sự tham gia của 1 số đơn vị thực thi luật pháp như Europol.
“Đừng để mất bò mới lo làm chuồng”, các chuyên gia khuyên các bạn hãy ứng phó với “đại dịch” ransomware bằng các hành động cụ thể:
- Sao lưu giữ liệu an toàn thường xuyên và có phiên bản để riêng trên đồ vật lưu trữ không nối mạng. Với lưu trữ đám mây hãy kiên cố lấy được dữ liệu sạch từ phiên bản cũ hơn nếu chẳng may những file trên mây bị dịch vụ đồng bộ tập tin ghi đè file mã hóa từ ổ cứng.
- Luôn cập nhật hệ quản lý và các phần mềm trên máy.
- vật dụng phần mềm chống virus/malware uy tín và cập nhật thường xuyên. Bật tính năng kiểm soát an ninh theo thời kì thực.
- chăm chút với các tập tin đính kèm cũng như những đường link trong email, nhắc cả từ địa chỉ thân thuộc gửi đến vì có thể kém chất lượng mạo; hạn chế truy cập trang web lạ, đáng ngờ.
- Tạo những điểm bình phục cho Windows cũng là phương pháp để mau chóng làm cho sạch hệ thống khi cần. Với máy đã nhiễm thì thấp nhất là format lại số đông ổ đĩa, tất nhiên dữ liệu phải backup từ trước.
WannaCry - Lời cảnh báo đại dịch ransomware
Tắt tương trợ SMBv1 bằng Windows Features.
Đối với WannaCry, VNISA phía Nam và phổ biến chuyên gia bảo mật còn khuyến nghị người dùng tắt chế độ hỗ trợ SMBv1 trên máy tính bằng Windows Features (với Windows 7 trở lên) hoặc PowerShell Command. Với doanh nghiệp, tạm thời disable nhà cung cấp SMBv1 cho tới khi cập nhật các bản vá lỗi cho MS17-010 đầy đủ; sử dụng MSBA hoặc công cụ khác tương tự để kiểm tra lại hiện trạng cập nhật các bản vá lỗi của những máy tính trong toàn hệ thống. Sau ấy, dùng Windows Update để tiến hành cập nhật những bản vá lỗi. Cập nhật Antivirus đang sử dụng và tiến hành quét đầy đủ hệ thống. Windows Defender và những Antivirus danh tiếng đều đã được cập nhật chống WannaCry.
