Hai năm sau WannaCry, một triệu máy tính vẫn gặp rủi ro

0
20

Hai năm trước, ngày nay, ransomware mạnh mẽ bắt đầu lan rộng khắp thế giới.

WannaCry lây lan như cháy rừng, mã hóa hàng trăm nghìn máy tính ở hơn 150 quốc gia chỉ trong vài giờ. Đây là lần đầu tiên ransomware, phần mềm độc hại mã hóa tệp của người dùng và yêu cầu tiền mã hóa để mở khóa chúng, lan truyền trên toàn thế giới theo kiểu giống như một cuộc tấn công mạng phối hợp.

Mối đe dọa gây ra bởi các công cụ NSA bị rò rỉ vẫn là một mối quan tâm

Các bệnh viện trên khắp Vương quốc Anh đã thông báo về một “sự cố lớn” sau khi chúng bị phần mềm độc hại ngoại tuyến hạ gục. Hệ thống chính phủ, đường sắt và các công ty tư nhân cũng bị ảnh hưởng.

636304584845451124-EPA-TAIWAN-CYBER-ATTACK

Các nhà nghiên cứu bảo mật nhanh chóng nhận ra rằng phần mềm độc hại lây lan giống như một con sâu máy tính trên các máy tính và qua mạng bằng giao thức Windows SMB. Mối nghi ngờ sớm rơi vào một lô hàng gồm các công cụ hack cao cấp do Cơ quan An ninh Quốc gia phát triển đã bị đánh cắp vài tuần trước và được công bố trực tuyến cho bất kỳ ai sử dụng.

Kevin Beaumont, một nhà nghiên cứu bảo mật tại Vương quốc Anh cho biết: “Đó là sự thật. “Shit sắp đạt phong cách tuyệt vời của fan.”

WannaCry dựa vào các khai thác bị đánh cắp do NSA phát triển, DoublePulsar và EternalBlue, để hack máy tính Windows và lây lan trên mạng (Ảnh: tệp ảnh)

Một nhóm hacker không rõ danh tính, sau này được cho là đã làm việc cho Triều Tiên, đã lấy các vũ khí mạng của NSA được công bố này và tiến hành cuộc tấn công của chúng, có lẽ không nhận ra sự phổ biến vũ khí này sẽ đi bao xa. Các tin tặc đã sử dụng cửa sau của NSA, DoublePulsar, để tạo một cửa sau vĩnh viễn được sử dụng để phát tán virus WannaCry ransomware. Sử dụng phương thức khai thác foreverBlue, ransomware đã lây lan sang mọi máy tính thông thường khác trên mạng.

Một kẻ dễ bị tấn công và hệ thống Internet đã đủ để tàn phá.

Microsoft, đã biết về hành vi trộm cắp các công cụ tấn công nhắm vào hệ điều hành của mình, đã phát hành các bản vá. Nhưng người tiêu dùng và các công ty đang di chuyển quá chậm để sửa chữa hệ thống của họ.

Chỉ trong vài giờ, ransomware đã gây thiệt hại hàng tỷ đô la. Ví bitcoin liên quan đến ransomware đã lấp đầy nạn nhân để lấy lại tệp của họ – thường xuyên hơn là vô ích.

>>> Ransomware Wannacry là gì? Cơ chế làm việc của nó ra sao

Marcus Hutchins, một nhà nghiên cứu bảo mật và kỹ sư phần mềm độc hại đảo ngược, đang đi nghỉ khi cuộc tấn công diễn ra. “Tôi đã chọn một tuần địa ngục để quay công việc,” anh ấy tweet. Nghỉ ngơi một thời gian sau kỳ nghỉ của mình, anh ấy bắt đầu với máy tính của mình. Sử dụng dữ liệu từ hệ thống theo dõi phần mềm độc hại của mình, anh ấy phát hiện ra thứ đã trở thành công cụ tiêu diệt WannaCry – một tên miền được nhúng trong mã mà khi anh ấy đăng ký, ngay lập tức số lần lây nhiễm đã dừng lại. Hutchins, người đã nhận tội liên quan đến tội phạm máy tính vào tháng trước, đã được ca ngợi như một anh hùng vì đã ngăn chặn sự lây lan của cuộc tấn công. Nhiều người đã kêu gọi sự khoan hồng, nếu không phải là một tổng thống ân xá hoàn toàn, cho những nỗ lực của ông.

Niềm tin vào các dịch vụ bảo mật đã sụp đổ chỉ sau một đêm. Các nhà lập pháp yêu cầu biết NSA có kế hoạch như thế nào để dọn dẹp thiệt hại do cơn bão gây ra. Ông cũng đưa ra một cuộc tranh luận sôi nổi về cách chính phủ tích trữ các lỗ hổng để sử dụng như một vũ khí tấn công để giám sát hoặc gián điệp – hoặc khi nào họ nên tiết lộ lỗi cho các nhà cung cấp để sửa chúng.

Một tháng sau, thế giới chuẩn bị cho một đợt tấn công mạng thứ hai mà họ tin rằng sẽ sớm trở thành tiêu chuẩn.

NotPetya, một ransomware khác mà các nhà nghiên cứu cũng đã tìm thấy một công tắc tiêu diệt, đã sử dụng cùng cách khai thác DoublePulsar và EternalBlue của những gã khổng lồ vận chuyển thú vị, siêu thị và đại lý quảng cáo bị quay cuồng vì các cuộc tấn công.

Hai năm sau, mối đe dọa do các công cụ NSA bị rò rỉ vẫn còn là một mối lo ngại.

Theo dữ liệu mới nhất, có tới 1,7 triệu thiết bị đầu cuối kết nối với Internet vẫn dễ bị khai thác. Dữ liệu được tạo ra bởi Shodan, một công cụ tìm kiếm cơ sở dữ liệu và thiết bị mở, xếp nó vào hàng triệu – với các thiết bị dễ bị tấn công nhất ở Mỹ. Nhưng điều đó chỉ giải thích các thiết bị được kết nối trực tiếp với Internet chứ không phải hàng triệu thiết bị có khả năng kết nối với các máy chủ bị nhiễm này. Số lượng thiết bị dễ bị tấn công có thể sẽ cao hơn nhiều.

WannaCry tiếp tục lây lan và đôi khi vẫn lây nhiễm các mục tiêu của nó. Beaumont cho biết trong một tweet hôm Chủ nhật rằng ransomware phần lớn vẫn bị thiến, không thể giải nén và bắt đầu mã hóa dữ liệu, vì những lý do vẫn còn là một bí ẩn.

Nhưng các công cụ mở của NSA vẫn miễn phí và có khả năng lây nhiễm cho các máy tính dễ bị tấn công vẫn tiếp tục được sử dụng để cung cấp tất cả các loại phần mềm độc hại – và các nạn nhân mới tiếp tục xuất hiện.

Chỉ vài tuần trước khi thành phố Atlanta bị tấn công bởi ransomware, chuyên gia an ninh mạng Jake Williams đã phát hiện ra rằng mạng của ông đã bị nhiễm các công cụ của NSA. Gần đây hơn, các công cụ của NSA đã được sử dụng lại để lây nhiễm các mạng bằng mã khai thác tiền điện tử để tạo ra tiền từ nguồn sức mạnh tính toán khổng lồ. Những người khác đã sử dụng khai thác để bí mật che giấu hàng nghìn máy tính nhằm sử dụng băng thông của họ để thực hiện các cuộc tấn công từ chối dịch vụ phân tán, đánh bại các hệ thống khác với lượng truy cập internet khổng lồ.

WannaCry gây ra sự hoảng loạn. Hệ thống bị trục trặc, dữ liệu bị mất và phải chi tiền. Đó là một lời cảnh tỉnh rằng xã hội cần phải làm tốt hơn nữa trong vấn đề an ninh mạng cơ bản.

Nhưng với hơn một triệu thiết bị không yêu thích vẫn có nguy cơ bị lạm dụng, vẫn còn rất nhiều chỗ để tiếp tục lạm dụng. Những gì chúng ta có thể không quên trong hai năm sau, rõ ràng có thể làm nhiều hơn nữa để học hỏi từ những thất bại trong quá khứ.

LEAVE A REPLY

Please enter your comment!
Please enter your name here