Petya (malware)

Petya là một nhóm phần mềm ác ý ransomware được phát hiện lần đầu tiên vào năm 2016. Phần mềm độc hại này nhắm vào hệ điều hành Microsoft Windows, lây nhiễm vào master boot record để thực hiện một payload mã hóa bảng tập tin NTFS, rồi đòi hỏi một khoản tiền chuộc bằng Bitcoin để được trả lại quyền truy cập vào hệ thống.

Petya (malware)

Bí danh	GoldenEye
Phân loại	Trojan horse
Kiểu	Ransomware
Kiểu con	Cryptovirus
Hệ điều hành ảnh hưởng	Windows

Các biến thể Petya đầu tiên được nhận diện vào tháng 3 năm 2016, lan truyền thông qua e-mail có đính kèm tập tin có chứa phần mềm độc hại. Vào tháng 6 năm 2017, một biến thể mới của Petya được sử dụng cho một cuộc tấn công mạng toàn cầu lớn, lợi dụng lỗ hổng EternalBlue mà trước đây được sử dụng bởi WannaCry cách đây chưa tới 2 tháng. Cuộc tấn công lần này mục tiêu chính là Ukraina. Dường như việc tống tiền chỉ là cái cớ, mục đích chính là gây ra hỗn loạn, làm tê liệt các hãng xưởng. Kaspersky Lab gọi biến thể này là NotPetya để làm rõ sự khác biệt với các biến thể 2016. Ngoài ra, mặc dù nó có nội dung là một mã tống tiền, nó không thể dựt ngược lại những biến đổi nó gây ra.

Lịch sử

Petya được phát hiện lần đầu tiên vào tháng 3 năm 2016;^[1] Check Point ghi nhận, trong khi nó ít nhiễm các máy tính hơn các mã độc tống tiền khác hoạt động vào đầu năm 2016: như CryptoWall, nó có sự khác biệt đáng chú ý trong hoạt động khiến cho nó được xem là bước tiến trong quá trình tiến hóa mã độc tống tiền.^[2] Một biến thể của Petya phát hiện tháng 5 năm 2016 chứa đựng một payload thứ 2 được sử dụng nếu phần mềm độc hại không thể đạt được quyền truy cập admin.^[1]

Cuộc tấn công máy tính 2017

Bài chi tiết: Cuộc tấn công máy tính Ukraina 2017

Vào ngày 27 Tháng 6 năm 2017, một cuộc tấn công mạng lớn toàn cầu bắt đầu (các công ty Ukraina cho biết đầu tiên là họ bị tấn công)^[3], sử dụng một biến thể mới của Petya. Kaspersky Lab thông báo các vụ nhiễm mã độc ở Pháp, Đức, Ý, Ba Lan, Vương quốc Anh và Hoa Kỳ, nhưng phần lớn các vụ nhiễm nhắm vào Nga và Ukraine, nơi có hơn 80 công ty ban đầu bị tấn công, bao gồm Ngân hàng Quốc gia Ukraina.^[3][4] Chuyên gia Christiaan Beek của McAfee cho biết, biến thể này được thiết kế để phát tán một cách nhanh chóng, và nó nhắm vào các "công ty năng lượng, mạng lưới điện, trạm xe buýt, trạm xăng, sân bay, và các ngân hàng" ^[3][5] ESET ước lượng vào ngày hôm sau là 80% của tất cả các máy bị nhiễm là ở Ukraina, Đức đứng thứ 2 với khoảng 9%.^[6] Cùng ngày, bí thư báo chí cho tổng thống Nga Vladimir Putin, Dmitry Peskov, cho biết cuộc tấn công của phần mềm độc hại không gây hư hại đáng kể ở Nga.^[6] Kaspersky mệnh danh biến thể này là "NotPetya", vì nó có sự khác biệt lớn trong các hoạt động của nó so với các phiên bản trước đây.^[3]

Bộ phận an ninh của Cisco, Talos, tin rằng một số trường hợp nhiễm virus có liên quan đến các hệ thống cập nhật phần mềm cho một trình kế toán thuế Ukraina gọi là MeDoc và phương pháp mà nạn nhân có thể trả chi phí tiền chuộc đã bị vô hiệu hóa vào ngày 27 tháng 6 năm 2017 ^[7]. Các chuyên gia tin rằng, đây là một cuộc tấn công có động cơ chính trị vào Ukraina^[7][8] Hỗ trợ cho lý thuyết này là ngày 28 tháng 6 ngày lễ Hiến pháp Công dân Ukraina.^[7][8] MeDoc khẳng định nó không phải là nguồn gốc của mã độc tống tiền, xác nhận các văn phòng của chính nó đã bị ảnh hưởng bởi cuộc tấn công này.^[9] Vào ngày 28 tháng 6 năm 2017, càng ngày càng có nhiều chuyên gia bảo mật cho rằng có các tập tin ghi nhận (log file) cho thấy MEDoc là nguồn lây nhiễm ^[6]. Chuyên gia về phần mềm độc hại của Anh, Marcus Hutchins, đã kết thúc vụ bộc phát vụ ransomware WannaCry - tuyên bố "Có vẻ như hệ thống cập nhật tự động của phần mềm đã bị xâm nhập và bị sử dụng để tải về và chạy phần mềm độc hại thay vì cập nhật phần mềm." ^[6] Mikko Hyppönen, chuyên gia an toàn máy tính tại F-Secure, sau khi nghiên cứu nhiều công ty bị ảnh hưởng đã phát hiện ra rằng một số người đã thực sự sử dụng phần mềm MeDoc, tuyên bố, "Nếu bạn kinh doanh ở Ukraina, hầu như bạn đều sử dụng phần mềm này".^[6]

Hoạt động

Cả hai phiên bản của Petya đều sử dụng một payload lây nhiễm bản ghi khởi động chính (master boot record) của máy tính, ghi đè bộ nạp khởi động (bootloader) Windows, và sau đó kích hoạt khởi động lại. Trong lần khởi động tiếp theo, payload được thực hiện, nó mã hóa Master File Table của hệ thống tập tin NTFS, và sau đó hiển thị thông báo đòi tiền chuộc yêu cầu thanh toán bằng Bitcoin ^[1][10][11]. Trong quá trình này, một mô phỏng của trình chkdsk (Check Disk), máy quét hệ thống tập tin của Windows, được hiển thị trên màn hình, cho thấy rằng ổ cứng đang được sửa chữa.^[2]

Tải trọng nguyên gốc đòi hỏi người dùng cấp đặc quyền quản trị; Một biến thể của Petya được kèm với một tải trọng khác gọi là Mischa, được sử dụng nếu Petya không cài đặt được. Mischa là một payload ransomware thông thường hơn, nó mã hóa các tài liệu người dùng, cũng như các tập tin thực thi, và không cần quyền quản trị để thực thi.^[1] Các phiên bản trước đó của Petya cải trang tải trọng của nó như là một tập tin PDF, kèm theo trong một e-mail.^[1] Phiên bản "NotPetya" được sử dụng trong cuộc tấn công năm 2017 sử dụng cùng một lỗ hổng EternalBlue mà WannaCry đã sử dụng.^[11]

Nhà cung cấp dịch vụ E-mail Posteo của Đức trong cuộc tấn công Petya hiện thời đã khóa một địa chỉ E-mail được dùng để liên lạc với các kẻ tống tiền. Trên máy bị nhiễm, nạn nhân bị yêu cầu phải trả 300 dollars bitcoin, rồi liên lạc với địa chỉ trên để được chỉ dẫn cách cứu tập tin. Tới giờ đã có khoảng 3.600 Euro được trả vào tài khoản bitcoin đó.^[12]

Các nhà nghiên cứu bảo mật của McAfee đã phân tích sự lây lan của các Trojan, mà hoạt động rất tinh vi. Khi lọt vào hệ thống máy của nạn nhân, phần mềm độc hại quét ngay lập tức mạng xung quanh máy chủ. Không giống như WannaCry nó hoạt động rất có phương pháp. Đầu tiên NotPetya, cố gắng tìm một máy chủ tên miền (Domain Server). Từ máy chủ đó các mã độc hại sau đó thu thập một danh sách các máy tính trên mạng để nhiễm vào. Điều này tạo ra lưu lượng giao thông ít hơn nhiều trên mạng so với lối phát các gói dữ liệu bừa bãi của WannaCry hoặc Conficker.

Trước hết như WannaCry nó thử qua lỗ hổng EternalBlue Microsoft, tuy nhiên, đã có hotfix cho lỗ hổng này cả cho phiên bản Windows XP. Khả năng khai thác hiện nay lỗ hổng này, là khá nhỏ. Do đó NotPetya có các cuộc tấn công khác. Trong số những hoạt động khác, Trojan cố gắng sao chép chính nó vào thư mục ADMIN $ ẩn của các máy tính khác và sau đó khởi động bởi tập tin thực thị PsExec - tuy nhiên nó cần quyền quản trị trong miền. Nếu không lấy được, NotPetya vẫn có khả năng sử dụng mệnh lệnh Windows Management Instrumentation Command-line (WMIC) để chạy trên máy tính khác. Để lấy được quyền cần thiết, NotPetya mang theo một công cụ lấy mật mã, giống như công cụ Mimikatz và LSADump.^[13]

Bên cạnh đó, các nhà nghiên cứu bảo mật phát hiện ra, những thiệt hại do NotPetya gây ra không thể sửa chữa. Matt Suiche nhận thấy, NotPetya ghi đè lên một phần của MBR mà không thể đảo ngược được - vì vậy không có cách nào để khôi phục lại tình trạng ban đầu. Kaspersky lưu ý trong phân tích của ông, NotPetya thậm chí không quan tâm đến việc tạo ra một ID thực sự cho các máy tính bị nhiễm. ID này phải được nạn nhân cho biết khi trả tiền chuộc. Tuy nhiên, vì nó không chứa thông tin về dữ liệu được mã hóa, các kẻ tống tiền cũng không thể định rõ là nó thuộc chìa khóa nào. Cụ thể, điều này có nghĩa rằng ngay cả khi họ muốn, các tác giả NotPetya cũng không thể giúp đỡ các nạn nhân trong việc khôi phục các dữ liệu bị ghi đè hoặc bị mã hóa.^[14]

Hậu quả

Trong cuộc tấn công bắt đầu vào ngày 27 tháng 6 năm 2017, hệ thống giám sát bức xạ tại Nhà máy điện hạt nhân Chernobyl của Ukraina đã ngừng hoạt động.^[15] Một số bộ của Ukraina, ngân hàng và hệ thống tàu điện ngầm cũng bị ảnh hưởng.^[16]

Trong số những cơ quan bị ảnh hưởng ở những nơi khác bao gồm công ty quảng cáo WPP của Anh,^[16] Maersk Line,^[17] công ty dược phẩm Mỹ Merck & Co., công ty dầu khí Nga Rosneft, công ty luật đa quốc gia DLA Piper^[16], công ty xây dựng Pháp Saint-Gobain và nhà bán lẻ và các chi nhánh con ở Estonia,^[18] công ty lương thực Tây Ban Nha Mondelez, và nhà điều hành bệnh viện của Mỹ là Heritage Valley System Health System.^[3][19] Nhà máy Chocolate của Cadbury ở Hobart, Tasmania, là công ty đầu tiên ở Úc bị ảnh hưởng bởi Petya ^[20]. Vào ngày 28 tháng 6 năm 2017, JNPT, cảng container lớn nhất của Ấn Độ cũng bị ảnh hưởng và tất cả các hoạt động đã bị ngưng lại.^[21]

Phản ứng

Jens Stoltenberg, tổng thư ký của NATO, thúc giục Liên minh tăng cường nỗ lực bảo vệ mạng, nói rằng, một cuộc tấn công mạng có thể đưa tới nguyên tắc bảo vệ tập thể của điều 5.^[22][23]

Chú thích

1. ^ ^{a b c d e} Constantin, Lucian. “Petya ransomware is now double the trouble”. NetworkWorld (bằng tiếng Anh). Truy cập ngày 27 tháng 6 năm 2017.
2. ^ ^{a b} “Decrypting the Petya Ransomware”. Check Point Blog. ngày 11 tháng 4 năm 2016. Truy cập ngày 27 tháng 6 năm 2017.
3. ^ ^{a b c d e} “Global ransomware attack causes chaos”. BBC News (bằng tiếng Anh). ngày 27 tháng 6 năm 2017. Truy cập ngày 27 tháng 6 năm 2017.
4. ^ Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan (ngày 27 tháng 6 năm 2017). “New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk”. Bloomberg. Truy cập ngày 27 tháng 6 năm 2017.
5. ^ Burgess, Matt. “There's another 'worldwide' ransomware attack and it's spreading quickly”. Wired UK (bằng tiếng Anh). Truy cập ngày 27 tháng 6 năm 2017.
6. ^ ^{a b c d e} “Tax software blamed for cyber-attack spread”. BBC News (bằng tiếng Anh). ngày 28 tháng 6 năm 2017. Truy cập ngày 28 tháng 6 năm 2017.
7. ^ ^{a b c} “Cyberattack Hits Ukraine Then Spreads Internationally”. The New York Times. ngày 27 tháng 6 năm 2017. Truy cập ngày 28 tháng 6 năm 2017.
8. ^ ^{a b} Lee, David (ngày 28 tháng 6 năm 2017). “'Vaccine' created for huge cyber-attack”. BBC News (bằng tiếng Anh). Truy cập ngày 28 tháng 6 năm 2017.
9. ^ Frenkel, Sheera (ngày 27 tháng 6 năm 2017). “Global Ransomware Attack: What We Know and Don't Know”. The New York Times. Truy cập ngày 28 tháng 6 năm 2017.
10. ^ “New ransomware outbreak”. Kaspersky Blog. Kaspersky Lab. Truy cập ngày 27 tháng 6 năm 2017.
11. ^ ^{a b} Brandom, Russell (ngày 27 tháng 6 năm 2017). “A new ransomware attack is hitting airlines, banks and utilities across Europe”. The Verge. Truy cập ngày 27 tháng 6 năm 2017.
12. ^ “Petya-Attacke: Posteo sperrt E-Mail-Adresse der Angreifer”. www.heise.de. Truy cập ngày 28 tháng 6 năm 2017.
13. ^ “Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen”. www.heise.de. Truy cập ngày 29 tháng 6 năm 2017.
14. ^ “https://www.heise.de/security/meldung/Petya-NotPetya-Kein-Erpressungstrojaner-sondern-ein-Wiper-3759293.html”. www.heise.de. Truy cập ngày 30 tháng 6 năm 2017. Liên kết ngoài trong |title= (trợ giúp)
15. ^ Griffin, Andrew (ngày 27 tháng 6 năm 2017). “Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack”. The Independent (bằng tiếng Anh). Truy cập ngày 27 tháng 6 năm 2017.
16. ^ ^{a b c} Scott, Mark; Perlroth, Nicole (ngày 27 tháng 6 năm 2017). “New Cyberattack Spreads in Europe, Russia and U.S.”. The New York Times. ISSN 0362-4331. Truy cập ngày 27 tháng 6 năm 2017.
17. ^ “'Petya' Cyberattack Cripples Ukraine, And Experts Say It's Spreading Globally”. NPR. ngày 27 tháng 6 năm 2017. Truy cập ngày 27 tháng 6 năm 2017.
18. ^ Ruuda, Lennart (ngày 28 tháng 6 năm 2017). “Ehituse ABC sulges küberrünnaku tõttu kõik oma poed” [Ehituse ABC closed all its stores because of cyberattack] (bằng tiếng Estonia). Postimees. Truy cập ngày 28 tháng 6 năm 2017.
19. ^ Henley, Jon; Solon, Olivia (ngày 27 tháng 6 năm 2017). “'Petya' ransomware attack strikes companies across Europe and US”. The Guardian. ISSN 0261-3077. Truy cập ngày 27 tháng 6 năm 2017.
20. ^ “The Australian”. The Australian. Truy cập ngày 28 tháng 6 năm 2017.
21. ^ “New malware hits JNPT operations as APM Terminals hacked globally”. The Indian Express. ngày 27 tháng 6 năm 2017. Truy cập ngày 28 tháng 6 năm 2017.
22. ^ Uchill, Joe (ngày 28 tháng 6 năm 2017). “Overnight Cybersecurity: New questions about 'ransomware' attack - Tensions between NSA chief, Trump over Russia - Senate panel asks states to publicize election hacks”.
23. ^ “NATO Warns Use of Article 5 Over Cyber Attack, Members Pledge Spending Increase”. ngày 28 tháng 6 năm 2017 – qua Haaretz.