Đang có vụ tấn công ransomware cực lớn
Chỉ 6 tiếng sau khi lây nhiễm tại Anh, mã độc tấn công đòi tiền chuộc (ransomware) mang tên WanaCrypt0r đã lan rộng ra 74 quốc gia với hơn 45 ngàn cuộc tấn công trên toàn thế giới.
Có thể xem đây là cuộc tấn công mạng khai thác giao thức P2P (Peer-to-Peer) lớn nhất trong một thập kỷ qua, sự lan truyền cực kỳ nhanh chóng của nó khiến các hệ thống máy tính quan trọng không kịp trở tay.
Theo Gizmodo, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) bắt đầu từ sáng hôm qua (chiều 12/5 theo giờ Việt Nam) từ hệ thống y tế của bệnh viện NHS đến từ Anh, 16 hệ thống của NHS sau đó đều bị lây nhiễm mã độc này. Không có bằng chứng cho thấy mã độc đã truy cập vào hồ sơ bệnh nhân, và NHS không phải mục đích tấn công duy nhất của WanaCrypt0r.
Chỉ chưa đầy 3 tiếng (chính xác là chưa đầy 2 tiếng kể từ lần tấn công đầu tiên), có hơn 11 quốc gia bị ảnh hưởng bởi mã độc này. Chưa hết, 6 tiếng sau (tức rạng sáng nay theo giờ Việt Nam), mã độc đã lan rộng ra 74 quốc gia với hơn 45 ngàn cuộc tấn công trên toàn thế giới.
Hiện tại, số lượng máy tính bị tấn công vẫn đang tăng nhanh. Costin Raiu, giám đốc nghiên cứu toàn cầu của Kaspersky cho biết, nhiều bệnh viện liên kết với NHS đều ngắt toàn bộ hệ thống máy tính quản lý của mình, sử dụng bút viết để theo dõi hồ sơ bệnh nhân.
Nga, Đài Loan và Tây Ban Nha là các quốc gia bị ảnh hưởng nặng nề nhất, bản đồ lây lan trên đây của MalwareTech cho thấy mã độc lan truyền đến hầu hết các lục địa đông dân, nhiều báo cáo cho biết WanaCrypt0r đã được tìm thấy tại Mỹ. Nguồn tin này cho biết mã độc được lan truyền thông qua giao thức mạng ngang hàng P2P (Peer-to-Peer) và được "tăng thêm sức mạnh" bởi một lỗ hổng trong hệ điều hành Windows được thiết kế bởi Cơ quan an ninh quốc gia Mỹ tên là EternalBlue.
WanaCrypt0r xuất phát từ 16 bệnh viện ở Anh và Telefonica, một nhà mạng ở Tây Ban Nha. Cũng giống như các ransomware khác, WanaCrypt0r sẽ mã hóa toàn bộ dữ liệu, tập tin được lưu trong máy rồi hiện thông báo yêu cầu trả tiền để nhận mã chuộc lại dữ liệu. Trong đó ghi nạn nhân chỉ có 3 ngày, sau 3 ngày giá tiền sẽ tăng gấp đôi, còn sau 7 ngày nếu vẫn không trả tiền, các file đó sẽ vĩnh viễn không thể phục hồi nữa.
Trong đoạn tweet trên, tính đến 10h tối qua đã có 36 ngàn vụ tấn công của WanaCrypt0r diễn ra.
Trong khi "tiền thân" của WanaCrypt0r là WannaCry không thể lây lan rộng vì nó chỉ hoạt động khi người dùng click vào một đường link giả mạo hay một tập tin giả, thì WanaCrypt0r lại tận dụng các lỗ hổng để lây lan rộng rãi. Thông qua việc khai thác EternalBlue, mã độc cài đặt một phần mềm backdoor NSA mang tên DoublePulsat, thông qua nó WannaCry được lây nhiễm vào, gây ra sự lây lan cực kỳ nhanh chóng và tự động đến các máy tính trong cùng một mạng, có thể lên đến hàng trăm máy cùng lúc.
Các nhà nghiên cứu phát hiện một số hệ thống liên kết ví bitcoin, trong đó có hàng ngàn USD từ nạn nhân đã được gửi qua nằm trong mã độc này.
Tính đến sáng nay, có rất nhiều doanh nghiệp, công ty đang phải đau đầu với WanaCrypt0r. Hãng vận chuyển FedEx xác nhận với BBC rằng một số hệ thống máy tính chạy Windows của mình đang bị ảnh hưởng do mã độc gây ra. FedEx cho biết sẽ thực hiện các biện pháp khắc phục nhanh nhất có thể. Theo SwiftOnSecurity, sau khi văn phòng tại Anh bị nhiễm mã độc, FedEx đã yêu cầu các đối tác Mỹ ngừng tất cả các hệ thống mạng quan trọng sử dụng Windows. Được biết, Bộ Nội vụ Nga rất có thể là cũng nạn nhân của vụ tấn công này.
Điều đáng quan tâm là tất cả những vấn đề trên đều có thể phòng tránh được bằng cách cài đặt bản vá bảo mật mới nhất được Microsoft phát hành ngày 14/3 (trừ Windows XP). Bạn đọc có thể vào đây để xem thông tin về các phiên bản Windows bị ảnh hưởng và tải về bản vá lỗi EternalBlue ngay lập tức (MS17-010), tất cả các hệ thống không được cài đặt bản vá lỗi MS17-010 đều có thể bị ảnh hưởng bất cứ lúc nào. Ngoài ra, luôn luôn kiểm tra cập nhật trên Windows Update để đảm bảo máy tính được cập nhật các phiên bản, bản vá lỗi mới nhất.
Có thể xem đây là cuộc tấn công mạng khai thác giao thức P2P (Peer-to-Peer) lớn nhất trong một thập kỷ qua, sự lan truyền cực kỳ nhanh chóng của nó khiến các hệ thống máy tính quan trọng không kịp trở tay.
Theo Gizmodo, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) bắt đầu từ sáng hôm qua (chiều 12/5 theo giờ Việt Nam) từ hệ thống y tế của bệnh viện NHS đến từ Anh, 16 hệ thống của NHS sau đó đều bị lây nhiễm mã độc này. Không có bằng chứng cho thấy mã độc đã truy cập vào hồ sơ bệnh nhân, và NHS không phải mục đích tấn công duy nhất của WanaCrypt0r.
Chỉ chưa đầy 3 tiếng (chính xác là chưa đầy 2 tiếng kể từ lần tấn công đầu tiên), có hơn 11 quốc gia bị ảnh hưởng bởi mã độc này. Chưa hết, 6 tiếng sau (tức rạng sáng nay theo giờ Việt Nam), mã độc đã lan rộng ra 74 quốc gia với hơn 45 ngàn cuộc tấn công trên toàn thế giới.
Hiện tại, số lượng máy tính bị tấn công vẫn đang tăng nhanh. Costin Raiu, giám đốc nghiên cứu toàn cầu của Kaspersky cho biết, nhiều bệnh viện liên kết với NHS đều ngắt toàn bộ hệ thống máy tính quản lý của mình, sử dụng bút viết để theo dõi hồ sơ bệnh nhân.
Nga, Đài Loan và Tây Ban Nha là các quốc gia bị ảnh hưởng nặng nề nhất, bản đồ lây lan trên đây của MalwareTech cho thấy mã độc lan truyền đến hầu hết các lục địa đông dân, nhiều báo cáo cho biết WanaCrypt0r đã được tìm thấy tại Mỹ. Nguồn tin này cho biết mã độc được lan truyền thông qua giao thức mạng ngang hàng P2P (Peer-to-Peer) và được "tăng thêm sức mạnh" bởi một lỗ hổng trong hệ điều hành Windows được thiết kế bởi Cơ quan an ninh quốc gia Mỹ tên là EternalBlue.
WanaCrypt0r xuất phát từ 16 bệnh viện ở Anh và Telefonica, một nhà mạng ở Tây Ban Nha. Cũng giống như các ransomware khác, WanaCrypt0r sẽ mã hóa toàn bộ dữ liệu, tập tin được lưu trong máy rồi hiện thông báo yêu cầu trả tiền để nhận mã chuộc lại dữ liệu. Trong đó ghi nạn nhân chỉ có 3 ngày, sau 3 ngày giá tiền sẽ tăng gấp đôi, còn sau 7 ngày nếu vẫn không trả tiền, các file đó sẽ vĩnh viễn không thể phục hồi nữa.
Trong đoạn tweet trên, tính đến 10h tối qua đã có 36 ngàn vụ tấn công của WanaCrypt0r diễn ra.
Trong khi "tiền thân" của WanaCrypt0r là WannaCry không thể lây lan rộng vì nó chỉ hoạt động khi người dùng click vào một đường link giả mạo hay một tập tin giả, thì WanaCrypt0r lại tận dụng các lỗ hổng để lây lan rộng rãi. Thông qua việc khai thác EternalBlue, mã độc cài đặt một phần mềm backdoor NSA mang tên DoublePulsat, thông qua nó WannaCry được lây nhiễm vào, gây ra sự lây lan cực kỳ nhanh chóng và tự động đến các máy tính trong cùng một mạng, có thể lên đến hàng trăm máy cùng lúc.
Các nhà nghiên cứu phát hiện một số hệ thống liên kết ví bitcoin, trong đó có hàng ngàn USD từ nạn nhân đã được gửi qua nằm trong mã độc này.
Tính đến sáng nay, có rất nhiều doanh nghiệp, công ty đang phải đau đầu với WanaCrypt0r. Hãng vận chuyển FedEx xác nhận với BBC rằng một số hệ thống máy tính chạy Windows của mình đang bị ảnh hưởng do mã độc gây ra. FedEx cho biết sẽ thực hiện các biện pháp khắc phục nhanh nhất có thể. Theo SwiftOnSecurity, sau khi văn phòng tại Anh bị nhiễm mã độc, FedEx đã yêu cầu các đối tác Mỹ ngừng tất cả các hệ thống mạng quan trọng sử dụng Windows. Được biết, Bộ Nội vụ Nga rất có thể là cũng nạn nhân của vụ tấn công này.
Điều đáng quan tâm là tất cả những vấn đề trên đều có thể phòng tránh được bằng cách cài đặt bản vá bảo mật mới nhất được Microsoft phát hành ngày 14/3 (trừ Windows XP). Bạn đọc có thể vào đây để xem thông tin về các phiên bản Windows bị ảnh hưởng và tải về bản vá lỗi EternalBlue ngay lập tức (MS17-010), tất cả các hệ thống không được cài đặt bản vá lỗi MS17-010 đều có thể bị ảnh hưởng bất cứ lúc nào. Ngoài ra, luôn luôn kiểm tra cập nhật trên Windows Update để đảm bảo máy tính được cập nhật các phiên bản, bản vá lỗi mới nhất.
Nhận xét
Đăng nhận xét