Gần đây, hàng loạt mã độc tống tiền liên tục xuất hiện với quy mô lớn xảy ra trên toàn cầu, gây hậu quả nặng nề cho nhiều quốc gia. Các mã độc xuất hiện với các biến thể tinh vi cả về phương thức hoạt động và cách lây nhiễm.
Mã độc tống tiền WannaCry
Ngày 12/5/2017 mã độc tống tiền (ransomware) WannaCry (còn được gọi là WannaCrypt, WCrypt, Wanacrypt0r, WCry) đã lây nhiễm và lây lan trên 70 quốc gia chỉ sau vài giờ phát tán, sau đó đã lây lan ở hơn 100 quốc gia trên khắp các châu lục. Châu Âu là nơi bị ảnh hưởng nặng nề nhất của mã độc này. Tại Việt Nam, theo thống kê từ Hệ thống giám sát virus của Bkav, đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền này. Trong đó, khoảng 1.600 máy tính được ghi nhận tại 243 cơ quan, doanh nghiệp và khoảng 300 máy tính là của người dùng cá nhân.
Cuộc tấn công của mã độc tống tiền WannaCry được xem là cuộc tấn công mạng lớn nhất từ trước đến nay, gây hậu quả nặng nề cho nhiều tổ chức, doanh nghiệp và cá nhân trên khắp thế giới. Khi được cài đặt vào máy tính, WannaCry sẽ tìm thấy các tập tin trong ổ cứng và mã hóa chúng và để lại cho chủ sở hữu một thông báo trả tiền chuộc nếu muốn giải mã dữ liệu.
WannaCry và các biến thể của nó khai thác lỗ hổng trên hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) nắm giữ. Tội phạm mạng đã sử dụng chính những công cụ của NSA để lây lan mã độc.
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện ra đến khi nhận được thông báo cho biết máy tính đã bị khóa, mọi tập tin bị mã hóa. Người dùng muốn khôi phục dữ liệu cần phải trả một khoản tiền ảo Bitcoin trị giá 300 USD cho tin tặc. Sau 3 ngày nếu không thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và hết thời hạn 7 ngày thì dữ liệu của người dùng sẽ bị mất. Mã độc ghi đầy đủ thông tin thanh toán, đếm lùi thời gian và được thể hiện bằng 28 ngôn ngữ khác nhau.
Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một số lỗi lập trình trong mã độc WannaCrypt, có thể cho phép người dùng khôi phục các tập tin bị mã hóa mà không cần mua khóa giải mã của tin tặc. Tuy có tốc độ lây lan rất cao, nhưng WannaCry không hẳn là một mã độc tống tiền quá phức tạp.
Theo các nhà nghiên cứu, lỗ hổng nằm ở cách WannaCry xóa các tập tin gốc sau khi mã hóa. Nhìn chung, cơ chế mã hóa của WannaCry như sau: đầu tiên, đổi tên các tập tin để thay đổi phần mở rộng sang “.WCRCR”; sau đó, mã hóa các tập tin; cuối cùng, xóa các tập tin gốc.
Các lỗ hổng trong mã nguồn của WannaCry đem lại nhiều hy vọng cho các nạn nhân. Một số công cụ miễn phí có thể giải mã các tập tin bị mã hóa bởi WannaCry cũng đã được một số nhà nghiên cứu cho ra mắt như WanaKiwi hay WannaKey. Tuy nhiên không phải trường hợp nào cũng có thể sử dụng được. Vì thế, người dùng nên tự bảo vệ mình bằng các biện pháp phòng chống mã độc tống tiền cơ bản như sử dụng bức tường lửa, các chương trình Anti-Virus, Internet Security; cập nhật bản mới nhất của hệ điều hành; kiểm tra kỹ các đường liên kết trước khi nhấp chuột; sao lưu các dữ liệu quan trọng….
Mã độc Adylkuzz
Công ty an ninh mạng toàn cầu Proofpoint (Mỹ) cho biết, hàng chục nghìn máy tính trên toàn cầu đã bị ảnh hưởng bởi cuộc tấn công Adylkuzz nhằm mục đích khai thác sử dụng chúng như các mạng botnet sử dụng để “đào” tiền ảo Monero.
Về mặt thiệt hại, mã độc này không trực tiếp gây ra các thiệt hại cho người dùng mà chỉ sử dụng hệ thống bị lây nhiễm của họ cho việc xây dựng các botnet nhằm tăng cường khả năng đào tiền ảo. Thậm chí người dùng có thể cảm thấy khá may mắn khi mã độc này còn tắt các kết nối mạng SMB để ngăn chặn sự lây nhiễm thêm của các phần mềm độc hại khác (bao gồm WannaCry) thông qua lỗ hổng EternalBlue.
Nếu một máy tính bị nhiễm Adylkuzz, thì theo cách nào đó nó có thể “an tâm” về khả năng kháng lại các tấn công sử dụng lỗ hổng EternalBlue khác. Rõ ràng điều này là có vẻ “có lợi” cho người dùng và họ hoàn toàn không ý thức được việc hệ thống của mình bị lây nhiễm. Tuy nhiên, khi trở thành một nạn nhân của Adylkuzz, người dùng đã trở thành một botnet trong mạng và sẽ trở thành một nguồn phát tán cho các cuộc tấn công không gian mạng được điều khiển bởi kẻ tấn công. Thậm chí, với các kết nối C&C được điều khiển bởi những kẻ tấn công thì dữ liệu trên máy của họ hoàn toàn có thể bị đánh cắp và sử dụng bất cứ khi nào.
Theo các nhà nghiên cứu, số lượng các cuộc tấn công Adylkuzz vẫn đang gia tăng. Thống kê ban đầu cho thấy, cuộc tấn công này có thể lớn hơn WannaCry, ảnh hưởng đến hàng trăm nghìn máy tính cá nhân và máy chủ trên toàn thế giới. Theo đội ngũ chuyên gia tại Proofpoint cho biết: "Khi bị lây nhiễm thông qua việc khai thác lỗ hổng "EternalBlue", botnet Adylkuzz đã được cài đặt và có thể được sử dụng để tạo ra các cuộc tấn công không gian mạng cho kẻ tấn công.
Chiến dịch Adylkuzz bắt đầu vào khoảng thời gian từ ngày 24/4 đến ngày 2/5. Vì nó bắt đầu trước khi WanaCryptor tấn công vào ngày 12/5, do đó các chuyên gia cho rằng một số công ty đã lầm tưởng rằng họ đang bị tấn công bởi mã độc WannaCry, nhưng trên thực tế nó là Adylkuzz.
Một số dấu hiệu để nghi ngờ rằng một hệ thống đang bị tấn công bởi phần mềm độc hại này bao gồm: mất quyền truy cập vào tài nguyên chia sẻ trên Windows; hiệu suất máy tính và mạng chậm hơn.
Giống như WannaCry, Adylkuzz tận dụng lỗ hổng Windows MS17-010 trên cổng TCP 445. Cuộc tấn công này bắt nguồn từ một số máy chủ cá nhân đang quét trên cổng 445 của nạn nhân. Một khi lỗ hổng EternalBlue tìm thấy trên một máy tính mục tiêu, nó sẽ cài đặt cửa hậu của DoublePulsar, sau đó tiêm nhiễm Adylkuzz vào máy nạn nhân.
Để tránh bị tấn công, biện pháp đơn giản nhất với người dùng là đóng các cổng 445 hoặc nâng cấp các phiên bản mới của Windows hoặc tiến hành cập nhật các bản vá cho lỗ hổng này.
Mã độc Sorebrect
Không giống như mã độc tống tiền đã được biết, mã độc Sorebrect được thiết kế để nhằm đến các máy chủ và thiết bị đầu cuối của doanh nghiệp. Mã độc sau khi được chèn vào máy tính nạn nhân và được kích hoạt sẽ khởi động quá trình mã hóa tệp trên máy nội bộ và lây nhiễm qua các mạng chia sẻ. Mã độc này sử dụng tiện ích dòng lệnh Sysinternals PsExec của Microsoft để mã hóa các tệp.
Theo hãng Trend Micro, PsExec có thể cho phép tin tặc chạy các lệnh được thực hiện từ xa, thay vì cung cấp và sử dụng toàn bộ phiên đăng nhập tương tác, hoặc tự chuyển phần mềm độc hại vào một máy từ xa, giống như trong RDPs.
Mã độc Sorebrect cũng quét các máy tính kết nối cục bộ khác và khóa các tệp đã được chia sẻ trên các máy tính đó. Mã độc này khó được phát hiện, do chúng sẽ xóa tất cả các bản ghi sự kiện bằng cách sử dụng file thực thi wevtutil.exe và các bản sao tạm thời sử dụng vssadmin trên máy tính bị nhiễm, để xoá hết các chứng cứ điều tra như các tập tin thực thi trên hệ thống và tem thời gian.
Giống như hầu hết các phần mềm độc hại khác, Sorebrect cũng sử dụng giao thức mạng Tor để ẩn danh giao tiếp với máy chủ ra lệnh và kiểm soát (C&C).
Các chuyên gia cho rằng, mã độc Sorebrect được thiết kế để nhằm mục tiêu các hệ thống từ nhiều ngành công nghiệp khác nhau bao gồm sản xuất, công nghệ và viễn thông.
Theo nguồn tin của Trend Micro, Sorebrect ban đầu nhằm vào các quốc gia Trung Đông như: Kuwait và Lebanon. Nhưng từ tháng 5/2017, mã độc đã bắt đầu lây nhiễm sang Canada, Trung Quốc, Croatia, Ý, Nhật, Mexico, Nga, Đài Loan và Hoa Kỳ.
Các chuyên gia nhận định, với tác động tiềm năng và khả năng sinh lời của mã độc tống tiền, mã độc Sorebrect sẽ lây lan sang những khu vực khác trên thế giới.
Do mã độc Sorebrect không nhằm vào người dùng cá nhân, nên các tổ chức, quản trị viên và các chuyên gia bảo mật cần bảo vệ các hệ thống bằng cách: Hạn chế quyền ghi, sửa đổi của người dùng trong hệ thống; Giới hạn đặc quyền cho PsExec và chỉ cho phép quyền thực thi đối với các quản trị viên hệ thống; Luôn cập nhật hệ điều hành, phần mềm; Sao lưu dữ liệu thường xuyên, đặc biệt là với các tệp tin và tài liệu quan trọng; cập nhật thường xuyên thông tin về phần mềm độc hại và biện pháp bảo mật trong hệ thống, tuyên truyền và đào tạo cho toàn cán bộ, nhân viên để có nhận thức đúng về mã độc, nguy cơ và mức độ huy hiểm của mã độc cũng như vai trò rất quan trọng của an toàn, an ninh thông tin đối với mỗi tổ chức, doanh nghiệp.
Mã độc Petya
Ngày 27/6/2017, các hãng thông tấn trên thế giới đồng loạt đưa tin về một mã độc mới thuộc họ ransomware Petya (còn gọi là Petrwrap) lần đầu tiên được phát hiện trên các máy tính ở Ukraine và sau đó là các hệ thống ở Tây Ban Nha, Đức, Israel, Anh, Hà Lan và Hoa Kỳ.
Mã độc Petya xuất hiện đã ảnh hưởng đến nhiều công ty và các tổ chức khác nhau gồm các cơ quan chính phủ, các công ty vận tải, tập đoàn dầu mỏ và thậm chí cả hệ thống của lò phản ứng hạt nhân Chernobyl của Ukraina. Các chuyên gia nghiên cứu cho rằng mã độc này nhắm đến các mục tiêu là các hệ thống công nghiệp và vận tải tại các quốc gia phát triển và lây lan với tốc độ cực kỳ khủng khiếp. Các trường hợp ghi nhận đầu tiên chủ yếu xảy ra ở Ukraine, Liên bang Nga và Ba Lan.
Khi một máy tính bị nhiễm, dữ liệu của người dùng sẽ bị mã hóa và họ buộc phải trả một số tiền Bitcoin có giá trị tương đương 300 đô la để giải mã hệ thống bị lây nhiễm. Ví Bitcoin được liệt kê trong yêu cầu thanh toán của mã độc đã nhận được nhiều khoản thanh toán với số lượng khoảng 5.800 bảng Anh. Tuy nhiên, hệ thống email Posteo, nơi lưu trữ tài khoản mà các khoản thanh toán Bitcoin được yêu cầu gửi đến đã đóng địa chỉ được liệt kê nhằm tránh sự lợi dụng của kẻ tấn công. Điều này có nghĩa là những người đang cố liên lạc hoặc trả tiền cho những người đứng sau cuộc tấn công sẽ không thể thực hiện được.
Mã độc Petya đã tồn tại từ năm 2016, tuy nhiên, Symantec cho biết phiên bản mới hiện nay được sử dụng trong cuộc tấn công không gian mạng này đã được sửa đổi và có thể lây lan thông qua cách thức như một sâu máy tính.
Không giống như các ransomware khác, thay vì mã hóa từng tệp một, Petya sẽ ngăn cản truy cập vào toàn bộ hệ thống bằng cách tấn công cấu trúc cấp thấp trên đĩa. Những tin tặc tạo ra ransomware này đã tạo ra một trình boot loader riêng đóng vai trò như một kernel kích thước nhỏ nhằm điều khiển hoạt động của hệ thống với kích thước 32 sector.
Dropper của Petya ghi mã độc vào vị trí đầu tiên của đĩa. MBR (Master Boot Record) của hệ thống bị ảnh hưởng được ghi đè bởi bộ boot loader của mã độc và tải vào một trình kernel có kích thước nhỏ do mã độc tạo ra. Sau đó, phần kernel này tiến hành mã hóa thêm các tệp tin và ổ đĩa trên hệ thống. Thông báo về yêu cầu trả tiền chuộc của Petya cho thấy nó mã hóa toàn bộ đĩa, nhưng điều này là không đúng. Thay vào đó, nó mã hóa các bảng tập tin chủ (MFT – Master File Table) để hệ thống tập tin không thể đọc được.
Mặc dù biến thể này thuộc họ Petya đã xuất hiện từ đầu năm 2016, tuy nhiên trong quá trình dịch ngược có thể thấy nó có rất ít điểm tương đồng với phiên bản trước đó. Tương tự như WannaCry, biến thể Petya có khả năng phát tán cực kỳ nhanh chóng thông qua khai thác lỗ hổng EternalBlue (MS17-010) trên mạng sử dụng thông tin của người dùng đăng nhập. Phần payload của mã độc sử dụng giao diện dòng lệnh Windows Management Instrumentation (WMIC) để di chuyển ngang qua SMB. Điều này giải thích lý do tại sao cuộc tấn công này vẫn thành công hơn một tháng sau khi mã độc WannaCry bùng nổ dưới đòn bẩy của mã khai thác EternalBlue (MS17-010) mà đã được vá trên hầu hết các hệ thống hiện tại.
Cần áp dụng các phiên bản cập nhật vá lỗi của Microsoft Windows cho các lỗi MS17-010 và CVE-2017-0199; Loại bỏ các giao thức kết nối thừa kế như SMBv1 trên mạng nội bộ; Vô hiệu hóa WMIC trên mạng nội bộ; Loại bỏ kết nối trên các cổng 135, 139, 445 trên tường lửa; Cập nhật các ứng dụng antivirus mới nhất.
Mã độc WannaCry đã khởi đầu cho một kỷ nguyên mới của các biến thể mã độc tống tiền tự phát tán thông qua các lỗ hổng hệ thống. Petya tiếp nối khả năng đó bằng cách thêm vào các vector giao diện WMI để vượt qua các cơ chế kiểm soát đã được vá. Điều này làm dấy lên những lo ngại về các biến thể khác sử dụng các cơ chế tấn công tương tự nhưng phức tạp hơn trong tương lai gần.
Trong nửa cuối năm 2017, các chuyên gia của CMC InfoSec và Bkav đều có chung nhận định, mã độc tống tiền sẽ tiếp tục diễn biến phức tạp và tin tặc không chỉ dừng lại ở mục đích tống tiền, phá dữ liệu mà còn nhằm che giấu các cuộc tấn công có chủ đích.
