Các cuộc tấn công bằng mã độc tống tiền không chỉ gia tăng mà còn trở nên nổi bật hơn.Không chỉ các công ty lớn phải chịu những vi phạm an ninh mạng này.
Các doanh nghiệp nhỏ cũng là mục tiêu của ransomware và có thể khó tồn tại hơn vì họ thường có ít tài nguyên hơn các công ty lớn hơn để phục hồi. Sau cuộc tấn công WannaCry xảy ra trên toàn cầu vào năm 2017, nhiều loại ransomware khác đã xuất hiện trong những năm kể từ đó. Chúng ta hãy xem WannaCry và tại sao nó lại là một sự cố mạng nghiêm trọng như vậy.
Chính xác thì WannaCry là gì?
“Ooops, your important files are encrypted.”
Chào mừng bạn đến với WannaCry, một loại vi-rút mà bọn tội phạm mã hóa các tệp của bạn và yêu cầu tiền mặt để giải mã chúng. Nếu bạn nhận được thông báo này, máy tính của bạn đã bị tấn công bằng WannaCry hoặc một loại phần mềm tống tiền tương tự.
Ransomware, như tên gọi của nó, là phần mềm độc hại mã hóa các tệp và yêu cầu thanh toán – một khoản tiền chuộc – để giải mã chúng. WannaCry vẫn là Ransomware – một trong những trường hợp ransomware nổi tiếng nhất. Tại sao? Có một vài lý do tại sao WannaCry lại nổi tiếng như vậy:
- Nó là lỗ hổng Wormable, nghĩa là nó có thể tự động lây lan giữa các máy tính và mạng (không cần sự tương tác của con người).
- WannaCry dựa trên một khai thác Windows khiến hàng triệu người bị xâm tấn công các phần mềm và dữ liệu .
- Nó dẫn đến thiệt hại hàng trăm triệu (thậm chí hàng tỷ đô la).
- Chủng Ransomware lây lan nhanh chóng và dữ dội.
- Cái tên hấp dẫn (và phù hợp) của nó cũng khiến nó trở nên đáng nhớ; liệu bạn có muốn khóc khi thấy tất cả các tệp quan trọng của mình bị khóa không ?
Những “hacker” này đã tính phí nạn nhân 300 đô la bitcoin để phát hành tệp của họ. Những người không thanh toán kịp thời phải đối mặt với khoản phí gấp đôi cho khóa giải mã. Việc sử dụng tiền điện tử, kết hợp với hành vi giống như sâu của nó, đã mang lại cho WannaCry sự khác biệt của một loại virus tiền điện tử.
Cuộc tấn công WannaCry bùng nổ vào tháng 5 năm 2017, đánh chiếm một số mục tiêu đáng chú ý như Dịch vụ Y tế Quốc gia của Vương quốc Anh. Nó lan nhanh như cháy rừng, lây nhiễm hơn 230.000 máy tính trên 150 quốc gia chỉ trong một ngày.
Xem thêm: Tấn Công Brute Force là gì? Tại Sao Xảy Ra Tấn Công Brute Force?
Virus WannaCry lây lan như thế nào?
WannaCry lây lan bằng cách sử dụng lỗ hổng Windows được gọi là MS17-010, lỗ hổng mà tin tặc có thể tận dụng bằng cách khai thác EternalBlue . NSA đã phát hiện ra lỗ hổng phần mềm này và thay vì báo cáo cho Microsoft, họ đã phát triển mã để khai thác nó. Mã này sau đó đã bị đánh cắp và xuất bản bởi một nhóm tin tặc bóng tối có tên thích hợp là The Shadow Brokers. Microsoft thực sự đã biết về EternalBlue và phát hành một bản vá (bản cập nhật phần mềm để khắc phục lỗ hổng). Tuy nhiên, những người không áp dụng bản vá (hầu hết mọi người) vẫn dễ bị tấn công bởi EternalBlue.
WannaCry nhắm mục tiêu các mạng sử dụng SMBv1, một giao thức chia sẻ tệp cho phép PC giao tiếp với máy in và các thiết bị khác được kết nối với cùng một mạng. WannaCry hoạt động giống như một phần mềm máy tính độc hại, có nghĩa là nó có thể lây lan qua các mạng. Sau khi được cài đặt trên một máy, WannaCry có thể quét mạng để tìm các thiết bị dễ bị tấn công hơn. Nó xâm nhập bằng cách khai thác EternalBlue và sau đó sử dụng một công cụ cửa sau có tên DoublePulsar để tự cài đặt và thực thi. Do đó, nó có thể tự lan truyền mà không cần sự tương tác của con người và không yêu cầu tệp máy chủ hoặc chương trình, phân loại nó là sâu chứ không phải vi rút.
Nguồn gốc của WannaCry đến từ đâu?
Mặc dù không chắc chắn 100% ai đã tạo ra WannaCry, nhưng cộng đồng an ninh mạng cho rằng phần mềm tống tiền WannaCry là do Triều Tiên và nhóm tin tặc của nước này là Lazarus Group. FBI cùng với các nhà nghiên cứu an ninh mạng đã tìm thấy manh mối ẩn trong nền mã đề xuất những nguồn gốc này.
Cuộc tấn công ransomware WannaCry là gì?
Cuộc tấn công ransomware WannaCry là một đại dịch toàn cầu diễn ra vào tháng 5 năm 2017. Cuộc tấn công ransomware này lây lan qua các máy tính chạy Microsoft Windows. Các tệp của người dùng đã bị giữ làm con tin và một khoản tiền chuộc Bitcoin đã được yêu cầu để trả lại.
Nếu không phải vì việc tiếp tục sử dụng các hệ thống máy tính lỗi thời và giáo dục kém xung quanh nhu cầu cập nhật phần mềm, thiệt hại do cuộc tấn công này gây ra có thể tránh được.
Điều gì đã xảy ra nếu tiền chuộc WannaCry không được trả?
Những kẻ tấn công yêu cầu bitcoin trị giá 300 đô la và sau đó tăng nhu cầu tiền chuộc lên 600 đô la bitcoin. Nếu nạn nhân không trả tiền chuộc trong vòng ba ngày, nạn nhân của cuộc tấn công ransomware WannaCry được thông báo rằng các tệp của họ sẽ bị xóa vĩnh viễn.
Lời khuyên khi nói đến thanh toán tiền chuộc là không nên vội vàng trả tiền chuộc. Luôn tránh trả tiền chuộc, vì không có gì đảm bảo rằng dữ liệu của bạn sẽ được trả lại và mọi khoản thanh toán đều xác nhận mô hình kinh doanh của bọn tội phạm, khiến các cuộc tấn công trong tương lai có nhiều khả năng xảy ra hơn.
Lời khuyên này đã được chứng minh là khôn ngoan trong cuộc tấn công WannaCry vì theo báo cáo, mã hóa được sử dụng trong cuộc tấn công bị lỗi. Khi nạn nhân trả tiền chuộc, những kẻ tấn công không có cách nào liên kết khoản thanh toán với máy tính của một nạn nhân cụ thể.
Những tổ chức nào đã bị nhắm đến trong cuộc tấn công WannaCry
Mặc dù WannaCry dường như không nhắm mục tiêu cụ thể vào bất kỳ ai, nhưng nó đã nhanh chóng lan rộng ra 150 quốc gia, với hầu hết các sự cố xảy ra ở Nga, Trung Quốc, Ukraine, Đài Loan, Ấn Độ và Brazil. Nhiều cá nhân và tổ chức khác nhau đã bị tấn công, bao gồm:
- Công ty: FedEx, Honda, Hitachi, Telefonica, O2, Renault
- Các trường đại học: Đại học Công nghệ Điện tử Quế Lâm, Đại học Công nghệ Hàng không Vũ trụ Quế Lâm, Đại học Hàng hải Đại Liên, Cao đẳng Cambrian, Đại học Aristotle Thessaloniki, Đại học Montreal
- Công ty vận tải: Deutsche Bahn, LATAM Airlines Group, Đường sắt Nga
- Các cơ quan chính phủ: Cảnh sát Andhra Pradesh, văn phòng công an Trung Quốc, Instituto Nacional de Salud (Colombia), Dịch vụ Y tế Quốc gia (Anh), NHS Scotland, Tòa án Tư pháp Sao Paulo, chính quyền một số bang của Ấn Độ (Gujarat, Kerala, Maharashtra, Tây Bengal )
Làm Thế Nào Mà Cuộc Tấn Công Dừng Lại?
Nhà nghiên cứu an ninh mạng Marcus Hutchins đã phát hiện ra rằng sau khi WannaCry tấn công một hệ thống, nó sẽ cố gắng tiếp cận một URL cụ thể. Nếu không tìm thấy URL, phần mềm tống tiền sẽ tiến hành lây nhiễm vào hệ thống và mã hóa các tệp. Hutchins đã có thể đăng ký một tên miền để tạo lỗ hổng DNS có chức năng như một công tắc tiêu diệt và tắt WannaCry. Anh ấy đã trải qua một vài ngày căng thẳng khi tin tặc tấn công URL của anh ấy bằng một biến thể botnet Mirai (cố gắng tấn công DDoS để hạ gục URL và hủy chuyển đổi).
Hutchins đã có thể bảo vệ miền bằng cách sử dụng phiên bản được lưu trong bộ nhớ cache của trang web có thể xử lý các mức lưu lượng truy cập cao hơn và công tắc tiêu diệt diễn ra nhanh chóng. Không rõ tại sao kill switch lại có trong mã của WannaCry và liệu nó vô tình được thêm vào hay tin tặc muốn có khả năng ngăn chặn cuộc tấn công.
Cách phòng chống WannaCry và các chủng ransomware tương tự
Các chuyên gia đã khuyến nghị những phương pháp phòng tránh WannaCry như sau:
Luôn cập nhật phần mềm của bạn
Mặc dù Microsoft đã vá lỗ hổng EternalBlue nhưng hàng triệu người đã không áp dụng bản cập nhật. Nếu họ cập nhật, WannaCry sẽ không thể lây nhiễm cho họ. Vì vậy, việc cập nhật tất cả phần mềm của bạn là vô cùng quan trọng.
Tránh mở email từ những người gửi không xác định
Có rất nhiều trò gian lận ngoài kia và email vẫn là phương thức gửi phổ biến nhất đối với tội phạm mạng. Bạn nên cảnh giác với email từ những người gửi không xác định và bạn đặc biệt nên tránh nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp đính kèm nào trừ khi bạn chắc chắn 100% rằng chúng là thật.
Coi chừng các trang web bị nhiễm
Quảng cáo độc hại, ẩn quảng cáo bị nhiễm trong cửa sổ bật lên hoặc biểu ngữ, đang nằm chờ trên nhiều trang web. Đảm bảo xác minh rằng trang web an toàn trước khi bạn sử dụng, đặc biệt là đối với bất kỳ hình thức mua sắm hoặc phát trực tuyến nào.
Thường xuyên sao lưu tất cả dữ liệu quan trọng
Nếu bạn đã sao lưu tất cả các tệp của mình, phần mềm tống tiền sẽ mất sức mạnh: bạn chỉ cần xóa phần mềm độc hại và sau đó khôi phục hệ thống của mình về phiên bản cũ hơn mà không bị lây nhiễm. Bạn nên thường xuyên sao lưu tất cả các tài liệu và tệp quan trọng của mình để luôn có phiên bản sạch của chúng mà bạn có thể sử dụng nếu chúng được mã hóa. Tốt nhất là lưu dữ liệu của bạn trên cả đám mây và lưu trữ vật lý, đề phòng.
Kết luận
Trên đây LANIT đã giải đáp rất chi tiết Wannacry Ransomware là gì và những thiệt hại mà Wannacry Ransomware gây ra thật khủng khiếp mặc dù những bên liên quan đã cố gắng ngăn chặn. Hy vọng bài viết mang lại những thông tin hữu ích cho bạn về WannaCry.
