WannaCry là gì?

WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau như WannaCrypt0r 2.0 hay WCry. Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc. Các chuyên gia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm “con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp. Việc làm này được cho là hiệu quả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính.

Cơ chế hoạt động của WannaCry

Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là các tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông báo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc WannaCry khai thác lỗ hổng của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc.

Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu, người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công. Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữ liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện bằng 28 ngôn ngữ khác nhau.

Cách WannaCry lây nhiễm trên diện rộng

WannaCry có 2 cách thức lây lan chính:

Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa” của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc. Về mặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác Exploit Kit.

Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trên toàn thế giới.

Nhiều quốc gia bị tấn công liên tục

Cuộc tấn công mã độc này đã làm ảnh hưởng đến hàng triệu người dùng. Theo số liệu được công bố trên kênh truyền hình BBC của Anh, chỉ trong thời gian ngắn, cuộc tấn công này đã gây ảnh hưởng tới hơn 150 quốc gia trên thế giới, khiến khoảng 200 nghìn hệ thống mạng bị ảnh hưởng, trong đó có Việt Nam. Đây được coi là một trong những cuộc tấn công mạng gây thiệt hại lớn nhất từ trước tới nay.

Mạng lưới dịch vụ y tế quốc gia Anh (NHS) bị tê liệt trên quy mô lớn vào ngày 12/5/2017 khi bị tấn công bởi mã độc WannaCry. Vụ tấn công gây xáo trộn các hoạt động của NHS trong việc chăm sóc sức khỏe các bệnh nhân. Cơ sở dữ liệu của mạng lưới NHS bị đóng băng, các nhân viên y tế không thể truy cập đến dữ liệu của các bệnh nhân. Lịch hẹn của rất nhiều bệnh nhân đều bị hủy bỏ. Tin tặc yêu cầu mạng lưới này phải trả 230 bảng Anh cho mỗi máy tính để mở khóa và trong thời hạn 7 ngày, nếu không chi trả, các dữ liệu sẽ bị xóa. Ngày 13/5/2017, Chính phủ Anh công bố, 97% cơ sở thuộc mạng lưới NHS đã được khôi phục và NHS đã hoạt động trở lại bình thường.

Đức, Nga, Tây Ban Nha, Mỹ... là những quốc gia cũng bị ảnh hưởng nặng nề bởi các cuộc tấn công mạng trên quy mô lớn. Tại Đức, mã độc này tấn công vào ngành đường sắt gây ảnh hưởng cho một số nhà ga và quầy bán vé. Tại Nga, mã độc này đã tấn công hệ thống công nghệ thông tin ngành đường sắt, nhưng chưa gây ảnh hưởng đến vận hành. Mã độc này cũng lây nhiễm vào một số ngân hàng ở Nga, nhưng chưa có phát hiện nào cho thấy rò rỉ thông tin dữ liệu khách hàng.

Riêng với Tây Ban Nha, mã độc này đã nhằm đến một hãng viễn thông lớn là Telefonica, ảnh hưởng đến một số máy tính của nhà mạng này. Tuy vậy, đại diện hãng này cho biết, vụ tấn công vẫn chưa ảnh hưởng đến thông tin dữ liệu của khách hàng.

Theo bản đồ theo dõi các vùng bị WannaCry tấn công do Intel lập, các quốc gia bị ảnh hưởng nghiêm trọng bao gồm các nước thuộc khu vực ở Châu Âu, Mỹ và Trung Quốc.... Tại Việt Nam, Hà Nội và TP. Hồ Chí Minh cũng xuất hiện trên bản đồ khu vực bị ảnh hưởng.

Ngày 13/5/2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã có công văn gửi các đơn vị chuyên trách về an toàn thông tin về việc theo dõi, ngăn chặn kết nối máy chủ điều khiển mã độc WannaCry.

Ngày 16/5/2017, theo thống kê từ Hệ thống giám sát virus của Bkav, tại Việt Nam đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry. Trong đó, gần 1.600 máy tính được ghi nhận thuộc 243 tổ chức, doanh nghiệp và gần 300 máy tính là của người sử dụng cá nhân.

Các chuyên gia Bkav cho biết, với khoảng 52% máy tính tại Việt Nam (tức gần 4 triệu máy tính) chưa được vá lỗ hổng EternalBlue, các máy tính này có thể bị nhiễm WannaCry nếu tin tặc mở rộng việc tấn công.

Cảnh báo và khuyến nghị

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã đưa ra hướng dẫn cách ngăn ngừa và giảm thiểu thiệt hại do WannaCry gây ra như sau:

Đối với cá nhân:

- Thực hiện cập nhật hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho phiên bản này, hoặc tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft. 

- Cập nhật các chương trình antivius đang sử dụng. Đối với các máy tính chưa có phần mềm antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm antivirus có bản quyền.

- Cẩn trọng khi nhận được email có đính kèm và các đường dẫn lạ được gửi trong email, trên các mạng xã hội, công cụ chat....

- Cần thận trọng khi mở các tệp tin đính kèm tệp ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở chúng.

- Không mở các đường dẫn có đuôi .hta hoặc đường dẫn có cấu trúc không rõ ràng, các đường dẫn rút gọn.

- Thực hiện biện pháp sao lưu (dự phòng) dữ liệu quan trọng. 

Đối với tổ chức, doanh nghiệp:

Các quản trị viên hệ thống cần thực hiện các nội dung sau:

- Kiểm tra các máy chủ và tạm thời khóa (block) các dịch vụ đang sử dụng các cổng 445/137/138/139.

- Tiến hành các biện pháp cập nhật sớm, phù hợp theo đặc thù các máy chủ Windows của tổ chức. Tạo các bản snapshot đối với các máy chủ ảo đề phòng việc bị tấn công.

- Có biện pháp cập nhật các máy trạm đang sử dụng hệ điều hành Windows.

- Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật ngay cho các máy trạm.

- Tận dụng các giải pháp đảm bảo an toàn thông tin đang có sẵn trong tổ chức như Firewall, IDS/IPS, SIEM... để theo dõi, giám sát và bảo vệ hệ thống trong thời điểm nhạy cảm này. Cập nhật các bản vá từ các hãng bảo mật đối với các giải pháp đang có sẵn. Thực hiện ngăn chặn, theo dõi các tên miền được mã độc WannaCry sử dụng để xác định được các máy tính bị nhiễm trong mạng để có biện pháp xử lý kịp thời.

- Thực hiện các biện pháp lưu trữ dữ liệu quan trọng. 

- Liên hệ với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.