Tuần qua, khi thế giới hứng chịu một trong những cuộc tấn công mạng lớn nhất trong lịch sử của ramsomware WannaCry thì một mã độc khác dựa trên cơ chế khai thác lỗ hổng Windows EternalBlue (MS17-010) cũng đang âm thầm lây lan với tốc độ chóng mặt. Theo một báo cáo của The Registrar hôm qua (17/05/2017), hàng chục nghìn máy tính trên toàn cầu đã bị ảnh hưởng bởi cuộc tấn công "Adylkuzz" nhằm mục đích khai thác sử dụng chúng như các mạng botnet sử dụng để đào tiền ảo Monero.
Monero - đang được phổ biến bởi các hacker liên quan đến Bắc Triều Tiên - là một loại tiền ảo mã nguồn mở được tạo ra vào tháng 4 năm 2014 tập trung vào sự riêng tư, phân quyền và khả năng mở rộng. Đây là một sự thay thế cho Bitcoin và đang được sử dụng để buôn bán ma túy, thẻ tín dụng bị đánh cắp và hàng giả.
Về mặt thiệt hại, mã độc này không trực tiếp gây ra các thiệt hại cho người dùng nạn nhân mà chỉ sử dụng hệ thống bị lây nhiễm của họ cho việc xây dựng các botnet nhằm tăng cường khả năng đào tiền ảo. Thậm chí người dùng có thể cảm thấy khá may mắn khi mã độc này còn tắt các kết nối mạng SMB để ngăn chặn sự lây nhiễm thêm của các phần mềm độc hại khác (bao gồm sâu WannaCry) thông qua lỗ hổng EternalBlue.
Nói cách khác, nếu một máy tính bị nhiễm Adylkuzz, thì theo cách nào đó nó có thể an tâm về khả năng kháng lại các tấn công sử dụng lỗ hổng EternalBlue khác. Rõ ràng điều này là có vẻ “có lợi” cho người dùng và họ hoàn toàn không ý thức được việc hệ thống của mình bị lây nhiễm. Tuy nhiên, khi trở thành một nạn nhân của Adylkuzz, người dùng đã trở thành một botnet trong mạng và sẽ trở thành một nguồn phát tán cho các cuộc tấn công không gian mạng được điều khiển bởi kẻ tấn công. Thậm chí, với các kết nối C&C được điều khiển bởi những kẻ tấn công thì dữ liệu trên máy của họ hoàn toàn có thể bị đánh cắp và sử dụng bất cứ khi nào.
Theo các nhà nghiên cứu, số lượng các cuộc tấn công Adylkuzz vẫn đang gia tăng. Thống kê ban đầu cho thấy, cuộc tấn công này có thể lớn hơn WannaCry, ảnh hưởng đến hàng trăm nghìn máy tính cá nhân và máy chủ trên toàn thế giới. Theo đội ngũ chuyên gia tại Proofpoint cho biết: "Khi bị lây nhiễm thông qua việc khai thác lỗ hổng "EternalBlue", botnet Adylkuzz đã được cài đặt và có thể được sử dụng để tạo ra các cuộc tấn công không gian mạng cho kẻ tấn công.
Chiến dịch Adylkuzz bắt đầu vào khoảng thời gian từ ngày 24 tháng 4 đến ngày 2 tháng 5. Vì nó bắt đầu trước khi WanaCryptor tấn công vào ngày 12 tháng 5, do đó các chuyên gia cho rằng một số công ty đã lầm tưởng rằng họ đang bị tấn công bởi ransomware WannaCry, nhưng trên thực tế nó là Adylkuzz.
Một số dấu hiệu để nghi ngờ rằng một hệ thống đang bị tấn công bởi phần mềm độc hại này bao gồm: mất quyền truy cập vào tài nguyên chia sẻ trên Windows; hiệu suất máy tính và mạng chậm hơn.
Giống như WannaCry, Adylkuzz tận dụng lỗ hổng Windows MS17-010 trên cổng TCP 445. Cuộc tấn công này bắt nguồn từ một số máy chủ cá nhân đang quét trên cổng 445 của nạn nhân. Một khi lỗ hổng EternalBlue tìm thấy trên một máy tính mục tiêu, nó sẽ cài đặt cửa hậu của DoublePulsar, sau đó tiêm nhiễm Adylkuzz vào máy nạn nhân.
Hãng bảo mật Proofpoint đã phát hiện ra vụ tấn công này khi họ đang tìm kiếm mã độc WannaCry bằng cách thiết lập một máy tính chứa lỗ hổng EternalBlue. Quá trình phân tích đã có thể đưa ra một số địa chỉ web nhận tiền gửi Monero bắt đầu từ ngày 24 tháng 4. Một giao dịch với số tiền Moreno có trị giá khoảng 43.000 đô la Mỹ đã được phát hiện.
Có thể thấy từ khi các lỗ hổng MS17-010 hay EternalBlue bị rò rỉ khỏi kho dữ liệu NSA thì WanaCrypt0r/WannaCry không phải là nhóm tội phạm duy nhất đưa DoublePulsar và EternalBlue sử dụng cho các mục đích phát tán tấn công. Do đó có thể thấy đây là một trong những lỗ hổng nghiêm trọng nhất hiện nay trên hệ điều hành Windows.
Để tránh bị khai thác tấn công, biện pháp đơn giản nhất với người dùng là đóng các cổng 445 hoặc nâng cấp các phiên bản mới của Windows hoặc tiến hành cập nhật các bản vá được cung cấp cho lỗ hổng này.
