Hé lộ cách tin tặc tấn công mạng khóa dữ liệu để tống tiền trên toàn cầu
Công nghệ - Ngày đăng : 09:42, 13/05/2017
Hình ảnh về vụ tấn công mạng trên màn hình máy tính của NHS ở London ngày 12/5. Ảnh: EPA/TTXVN |
Thủ phạm thực hiện vụ tấn công này được cho là ransomware - mã độc tống tiền. Ransomware mã hóa, khóa dữ liệu trong máy tính, yêu cầu người dùng phải trả từ 300-600 USD để được truy cập. Các nhà nghiên cứu an ninh cho biết họ quan sát thấy một vài nạn nhân đã trả tiền qua bitcoin.
Ransomware thường thay đổi theo thời gian để tìm nhiều cách đột nhập vào máy tính và tránh file sửa lỗi phần mềm.
Reuter dẫn nhận xét của các nhà nghiên cứu cho rằng tin tặc trong vụ tấn công toàn cầu ngày 12-5 (ngày 13-5 theo giờ VN) dường như đã tạo ra “sâu máy tính” hoặc phần mềm độc hại tự phát tán qua việc khai thác một phần bộ mã của NSA có tên “Eternal Blue” bị đánh cắp và công khai trong tháng trước bởi nhóm tin tặc Shadow Brokers.
Shadow Brokers đã công khai “Eternal Blue” như một phần trong kho công cụ đột nhập mạng mà chúng khẳng định rằng thuộc về NSA. Shadow Brokers cho biết đã lấy cắp được chúng từ máy chủ bí mật của NSA.
Reuters dẫn nhận định của các nhà nghiên cứu tại Avast cho biết đã có 57.000 trường hợp bị tấn công mạng trên 99 quốc gia trong đó Nga, Ukraine và Đài Loan (Trung Quốc) là mục tiêu hàng đầu. Tại Anh, hệ thống mạng Dịch vụ Y tế Quốc gia (NHS) đã bị tấn công khiến bệnh viện và phòng khám phải từ chối bệnh nhân do không thể truy cập được vào máy tính.
Nhà nghiên cứu Vikram Thakur tại Symantec nhận định Mỹ không chịu “chấn thương mạnh” trong cuộc tấn công mạng này bởi ban đầu tin tặc đã nhắm đến châu Âu. Khi những tên tin tặc chuyển hướng hang Mỹ thì các bộ lọc spam tại đây đã phát hiện ra mối đe dọa mới này và đánh dấu các ransomware.
Bộ An ninh nội địa Mỹ vào ngày 12-5 khẳng định đã biết về vụ tấn công mạng và đang chia sẻ thông tin với những đối tác nội địa, nước ngoài đồng thời sẵn sàng hỗ trợ kỹ thuật.
Bản đồ các quốc gia chịu ảnh hưởng bởi vụ tấn công mạng toàn cầu ngày 12-5, thể hiện qua màu vàng và đỏ. Nga được cho là quốc gia bị ảnh hưởng nặng nề nhất.
Các công ty tư nhân xác định ransomware trong vụ việc là biến thể của "WannaCry" có khả năng phát tán tự động qua các hệ thống rộng lớn bằng cách lợi dụng lỗi kỹ thuật trong hệ điều hành Windows của Microsoft.
Nhà nghiên cứu tại công ty an ninh mạng CrowdStrike nhận xét: “Một khi đã xâm nhập, nó sẽ di chuyển khắp hệ thống cơ sở hạ tầng của máy và không có gì có thể ngăn nó lại”.
Cùng ngày 12-5, Microsoft tuyên bố đang đẩy mạnh cập nhật Windows tự động để bảo vệ khách hàng khỏi WannaCry. Trước đó, ngày 14-3, Microsoft đã công bố file sửa lỗi phần mềm để bảo vệ khách hàng khỏi “Eternal Blue”.
Hiện cả NSA và Microsoft đều chưa đưa ra bình luận chính thức về vụ tấn công mạng toàn cầu hôm 12-5.
WannaCry còn được biết đến với tên WanaCrypt0r 2.0, WannaCry và Wcry. WannaCry là một dạng của ransomware chuyên khóa các file trong máy tính của người dùng và mã hóa chúng khiến người dùng không thể truy cập. WannaCry không chỉ là ransomware mà còn là sâu máy tính. Các chuyên gia an ninh mạng cảnh báo rằng ngay cả khi đã trả bằng tiền ảo, chưa chắc người sử dụng có thể truy cập lại vào file đã bị khóa. Dấu hiệu bị nhiễm bao gồm máy tính của bạn bị khóa hoàn toàn, chỉ hiện lên tin nhắn yêu cầu trả tiền để được truy cập hoặc có các quảng cáo xuất hiện, rất khó để đóng… |