Eternal Blue: Virus đòi tiền chuộc tấn công mạng toàn cầu

0
Một đợt tấn công mạng toàn cầu bao gồm mã Eternal blue, ảnh PCmag

Một cuộc tấn công mạng lớn trên thế giới đã làm gián đoạn các máy tính của công ty dầu lớn nhất nước Nga, các ngân hàng Ucraina và các công ty đa quốc gia đã bị nhiễm một loại vi rút tương tự như virus đòi tiền chuộc tháng trước, với tổng số nhiễm trên 300.000 máy tính.

Chiến dịch đang lan rộng nhanh chóng đã làm tăng mối quan ngại rằng các doanh nghiệp đã thất bại trong việc bảo vệ mạng của họ đối với các hacker ngày càng hung hãn, những người cho thấy họ có khả năng tắt các cơ sở hạ tầng quan trọng và làm tê liệt các mạng lưới công ty và chính phủ.

Chiến dịch bao gồm mã được gọi là “Eternal Blue”, mà các chuyên gia bảo mật trên mạng tin rằng nó đã bị đánh cắp từ Cơ quan An ninh Quốc gia Hoa Kỳ và cũng được sử dụng trong cuộc tấn công ransomware tháng trước, tên là “WannaCry”.

Kevin Johnson, giám đốc điều hành của công ty an ninh mạng Safety Ideas, nói: “Các cuộc tấn công bằng máy tính có thể chỉ đơn giản là tiêu diệt chúng ta”. “Các công ty không làm những gì họ phải làm để khắc phục vấn đề.”

Virus ransomware đã làm tê liệt các máy tính chạy Windows của Microsoft Corp bằng cách mã hóa ổ đĩa cứng và ghi đè lên các tệp tin, sau đó đòi 300 đô la thanh toán bằng bitcoin để khôi phục quyền truy cập. Hơn 30 nạn nhân đã trả vào tài khoản bitcoin liên quan đến cuộc tấn công, theo một sổ  các giao dịch được công khai liệt kê trên blockchain.info.

Microsoft cho biết virus có thể lây lan qua một lỗ hổng đã được vá trong bản cập nhật bảo mật hồi tháng 3.

“Chúng tôi đang tiếp tục điều tra và sẽ có hành động thích hợp để bảo vệ khách hàng”, một phát ngôn viên của công ty cho biết thêm rằng phần mềm chống virus của Microsoft có thể phát hiện và gỡ bỏ nó.

Theo Kaspersky Lab, khoảng 2.000 cuộc tấn công đã được quan sát vào giữa trưa tại New York hôm thứ ba. Nga và Ukraine bị ảnh hưởng nhiều nhất, với sự lây lan khắp các nước khác như Anh, Pháp, Đức, Ý, Ba Lan và Hoa Kỳ.

Các chuyên gia bảo mật cho biết họ mong đợi tác động sẽ nhỏ hơn WannaCry vì nhiều máy tính đã được vá với các bản cập nhật của Windows sau WannaCry hồi tháng trước để bảo vệ chúng chống lại các cuộc tấn công sử dụng mã Eternal Blue.

Tuy nhiên, cuộc tấn công có thể gây nguy hiểm hơn các ransomware truyền thống vì nó làm cho máy tính không trả lời và không thể khởi động lại, Juniper Networks cho biết trong một bài đăng trên blog về việc phân tích cuộc tấn công này.

Các nhà nghiên cứu cho biết cuộc tấn công có thể đã mượn mã độc hại được sử dụng trong các chiến dịch ransomware trước đây gọi là “Petya” và “GoldenEye”.

Sau cuộc tấn công hồi tháng trước, các chính phủ, các công ty an ninh và các nhóm công nghiệp đã tư vấn mạnh mẽ cho các doanh nghiệp và người tiêu dùng để đảm bảo rằng tất cả máy tính của họ đều được cập nhật với các bản vá lỗi của Microsoft để chống lại mối đe dọa này.

Bộ An ninh Nội địa Hoa Kỳ cho biết họ đang giám sát các cuộc tấn công và phối hợp với các quốc gia khác. Họ khuyến cáo các nạn nhân không trả tiền chuộc, nói rằng làm như vậy không đảm bảo quyền truy cập sẽ được khôi phục.

NSA đã không trả lời yêu cầu bình luận. Cơ quan gián điệp đã không công khai cho biết liệu nó đã xây dựng Eternal Blue và các công cụ hacking khác bị rò rỉ trực tuyến bởi một thực thể được gọi là Shadow Brokers.

Một số chuyên gia bảo mật tư nhân cho biết họ tin rằng Shadow Brokers gắn liền với chính phủ Nga, và chính phủ Triều Tiên đã đứng sau WannaCry. Cả hai chính phủ của các quốc gia đều bác bỏ cáo buộc họ tham gia vào việc hack.

‘Đừng lãng phí thời gian’

Các cuộc tấn công đầu tiên được báo cáo bởi Nga và Ukraine.

Rosneft của Nga, một trong những nhà sản xuất dầu lớn nhất thế giới về khối lượng, cho biết hệ thống của họ đã phải chịu những “hậu quả nghiêm trọng”, nhưng sản lượng dầu mỏ không bị ảnh hưởng bởi vì nó chuyển sang hệ thống dự phòng.

Phó Thủ tướng Ucraina Pavlo Rozenko cho biết mạng máy tính của chính phủ đã giảm và ngân hàng trung ương cho biết hoạt động gián đoạn tại các ngân hàng và công ty bao gồm nhà phân phối điện của bang.

Tập đoàn vận tải Đan Mạch A.P. Moller-Maersk cho biết, họ nằm trong số các nạn nhân, báo cáo sự cố trong nhà ga Los Angeles.

WPP, cơ quan quảng cáo lớn nhất thế giới, nói rằng họ cũng bị nhiễm virus. Một nhân viên của WPP, người yêu cầu không công bố tên, nói rằng các công nhân đã được yêu cầu tắt máy tính của họ: “Tòa nhà đã dừng hoạt động.”

Một công ty truyền thông của Ucraina cho biết máy tính của họ đã bị chặn và yêu cầu phải trả 300 đô la bằng bitcoin để lấy lại quyền truy cập.

“Có lẽ bạn đang bận tìm kiếm một cách để khôi phục các tệp tin của mình, nhưng đừng lãng phí thời gian của bạn. Không ai có thể phục hồi các tệp của bạn mà không có dịch vụ giải mã của chúng tôi”, theo một bức ảnh chụp màn hình được đăng trên Kênh 24 của Ukraine.

Ngân hàng trung ương Nga cho biết đã có những trường hợp bị cô lập hệ thống CNTT của các bên cho vay do bị nhiễm. Một nhà cho vay tiêu dùng, Home Credit, đã phải đình chỉ hoạt động của khách hàng.

Các công ty khác tự xác định mình là nạn nhân bao gồm công ty sản xuất vật liệu xây dựng Pháp Saint Gobain, nhà sản xuất thức ăn cho vật nuôi Royal Canin của Merck và của công ty Mars Inc.

Các nhân viên ở Beiersdorf ở Ấn Độ, các nhà sản xuất sản phẩm chăm sóc da Nivea, và Reckitt Benckiser, công ty sở hữu Enfamil và Lysol, nói với Reuters rằng vụ tấn công đã ảnh hưởng đến một số hệ thống của họ ở nước này.

Theo báo cáo của các phương tiện truyền thông địa phương, toàn bộ mạng lưới Hệ thống Y tế Thung lũng Thiên niên kỷ Pennsylvania của Western Pennsylvania đã bị đóng cửa bởi một cuộc tấn công mạng.

Cuộc tấn công bằng WannaCry diễn ra hồi tháng trước đã bị chặn sau khi một nhà nghiên cứu bảo mật Markus Hutchins, 22 tuổi người Anh, đã tạo ra cái gọi là “kill-switch” mà các chuyên gia ca ngợi là bước quyết định để làm chậm cuộc tấn công.

Các chuyên gia bảo mật cho biết họ không tin rằng ransomware được phát hành vào thứ ba đã có một nút chặn như vậy, có nghĩa là nó có thể khó dừng lại.

Công ty tình báo Cyberpoint Flashpoint cho biết họ tin rằng vụ tấn công  bùng nổ bắt đầu ở Ukraine, nơi những kẻ tấn công đã nạp tiền chuộc vào máy tính khi họ yêu cầu cập nhật chương trình phần mềm kế toán được sử dụng rộng rãi.

Một cố vấn cho Bộ trưởng Nội vụ Ukraine đã phát biểu trước đó rằng virus đã xâm nhập vào hệ thống máy tính thông qua email “phishing” được viết bằng tiếng Nga và tiếng Ukraina được thiết kế để thu hút nhân viên mở chúng.

Theo cơ quan an ninh quốc gia, email chứa các tài liệu Word Word hoặc tệp PDF có thể đính kèm các mã độc.

BÌNH LUẬN

Please enter your comment!
Please enter your name here