Mở trình đơn chính

Wikipedia β

Vụ tấn công của WannaCry

wanacry virus máy tính

WannaCry (tạm dịch là "Muốn khóc") còn được gọi là WannaDecryptor 2.0, là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft Windows. Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó được đưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên 230.000 máy tính ở 150 quốc gia,[3] yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng bitcoin với 20 ngôn ngữ (bao gồm tiếng Tháitiếng Trung Quốc).[4] Hiện thời người ta biết tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thu nhập tối đa chỉ khoảng 30.000 Euro.[5]

Cuộc tấn công ransomware WannaCry
Countries initially affected in WannaCry ransomware attack.png
Các quốc gia bị ảnh hưởng của WannaCry lúc đầu
Địa điểm Toàn cầu
Thời gian 12 tháng 5 năm 2017–15 tháng 5 năm 2017 (bùng phát ban đầu)
Loại hình Tấn công mạng
Nguyên nhân Công cụ tấn công mạng EternalBlue
Kết quả Trên 200.000 nạn nhân và trên 230.000 máy tính bị nhiễm[1][2]

Cuộc tấn công này đã ảnh hưởng đến Telefónica và một số công ty lớn khác ở Tây Ban Nha, cũng như các bộ phận của Dịch vụ Y tế Quốc gia (NHS) của Anh, FedExDeutsche Bahn.[6][7][8][9] Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấn công vào cùng một thời điểm,.[10][11] Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này.[12]

WannaCry được cho là sử dụng khai thác lỗ hổng EternalBlue, được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển để tấn công máy tính chạy hệ điều hành Microsoft Windows.[13] Mặc dù một bản vá để loại bỏ các lỗ hổng này đã được ban hành vào ngày 14 tháng 3 năm 2017, sự chậm trễ trong việc cập nhật bảo mật làm cho một số người dùng và các tổ chức dễ bị tấn công.[14]

Mục lục

Bối cảnh và diễn biếnSửa đổi

Công cụ tấn công mạng EternalBlue được phát hành bởi nhóm hacker Shadow vào ngày 14 tháng 4 năm 2017,[15][16] cùng với các công cụ khác dường như đã bị rò rỉ từ Equation Group, được cho là một phần của Cơ quan An ninh Quốc gia Hoa Kỳ.[17][18]

EternalBlue khai thác lỗ hổng MS17-010[19] của giao thức SMB của Microsoft (Server Message Block). Microsoft đã phát hành một "Critical" advisory, cùng với hotfix cập nhật để lấp lỗ hổng một tháng trước đó, vào ngày 14 tháng 3 năm 2017.[19]

Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới. Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn ĐộĐài Loan,[20] Việt Nam cũng là một trong những nước bị tấn công nhiều nhất.[21] Tuy nhiên tại Triều Tiên lại không thấy dấu vết của mã độc này.[22] Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính,[23][24] sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet[25], và các máy tính trên cùng mạng LAN.[26] Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả tiền cho hacker từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm bảo do hacker hoàn toàn có thể "trở mặt".[27]

Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được. Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được. Một chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn.[28][29] Ngay sau đó, các biến thể của WannaCry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0.[30]

Lỗ hổng của Windows không phải là lỗ hổng zero-day, Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017[19] - gần như 2 tháng trước đó. Hotfix này dùng để vá lỗi của giao thức Server Message Block (SMB) được sử dụng bởi Windows.[31] Microsoft cũng đã thúc giục mọi người ngừng sử dụng giao thức SMB1 cũ và thay vào đó sử dụng giao thức SMB3 an toàn hơn, mới hơn.[32] Các tổ chức thiếu hotfix an toàn này bị ảnh hưởng vì lý do này, và cho đến nay không có bằng chứng cho thấy bất kỳ mục tiêu nào được nhắm tới bởi các nhà phát triển mã độc tống tiền.[31] Bất kỳ tổ chức nào vẫn chạy Windows XP[33] và các hệ điều hành cũ hơn đều có nguy cơ cao vì không có bản cập nhật bảo mật mới được phát hành.

Tuy nhiên, vào ngày 12 tháng 5 năm 2017, không lâu sau khi WannaCry lây lan, Microsoft đã phát hành bản vá lỗi tương tự bản vá MS17-010 vừa được phát hành vào ngày 14 tháng 3 năm 2017 dành cho các hệ điều hành cũ bao gồm Windows XP và Windows Server 2003.[34][35]

Hậu quảSửa đổi

Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh[36]. Vào ngày 12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm trọng lắm, và một số xe cứu thương phải đi nơi khác.[7][37] Vào năm 2016, hàng ngàn máy tính trong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP.[33] Nissan Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn chặn sự lây lan của ransomware.[38][39] Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm[12].

Anh QuốcSửa đổi

Vào ngày 13 tháng năm 2017 vụ tấn công WannaCry trở thành một đề tài chính trị tranh cãi ở Anh Quốc, với những cáo buộc là Đảng Bảo thủ (đảng cầm quyền) tài trợ quá ít cho NHS như một phần của các biện pháp thắt lưng buộc bụng của chính phủ, đặc biệt là từ chối trả thêm để giữ bảo vệ hệ thống lỗi thời Windows XP từ các cuộc tấn công như vậy. [40] "Bộ trưởng Y tế" của phe đối lập Jon Ashworth cáo buộc Bộ trưởng Y tế Jeremy Hunt từ chối hành động về một lưu ý quan trọng từ Microsoft, Trung tâm Quốc gia Cyber Security (NCSC) và Cơ quan Tội phạm Quốc gia hai tháng trước đây. [41] Trên thực tế, mã độc tống tiền đã tấn công các bệnh viện đều đặn từ một khoảng thời gian gần đây. Một thăm dò FoI của RES công bố vào tháng 2 cho thấy 88 trong số 260 bệnh viện NHS bị tấn công bởi mã độc tống tiền từ giữa 2015 cho tới cuối năm 2016. Imperial College Healthcare bị tấn công 19 lần trong 12 tháng. [40]

Thủ phạmSửa đổi

Chuyên gia IT của Google Neel Netha vào ngày 15-5 đã đưa mã lên mạng, cho thấy những tương tự giữa WannaCry và một số virus từ một loạt các cuộc tấn công mạng trước đây, mà bị cho là xuất phát từ Bắc Triều Tiên. Công ty an ninh mạng Nga Kapersky giải thích sau khi phân tích mã này, khám phá của Mehta "hiện tại là dấu vết quan trọng nhất về xuất xứ của Wannacry". Theo Kaspersky những mã này cho thấy nó xuất phát từ nhóm tin tặc Lazarus. Nhóm này bị cho là chịu trách nhiệm cho vụ tấn công vào hãng phim Sony Pictures trong năm 2014. Cuộc tấn công này được cho là để trả thù cho một cuốn phim của Sony, mà chế giễu lãnh tụ Bắc Triều Tiên Kim Jong Un. Tuy nhiên các nhà khoa học cho biết những dấu vết này chưa đủ để chứng minh.[42]

Dường như những người viết đoạn đòi tiền chuộc đã dùng Google Translate để dịch ra. Bản tiếng Trung thì có lẽ không được dịch theo kiểu này. Một lý do là họ có thể dùng một chương trình dịch khác. Hoặc là họ biết nói tiếng Trung. Bản tiếng Hàn cũng như một số các ngôn ngữ khác, có sự thay đổi nhỏ từ bản dịch của Google. [43]

Cơ hội cho thị trường bảo hiểmSửa đổi

Trước thị trường mới tinh và đầy tiềm năng này, các công ty bảo hiểm rất phấn khởi. Điều này xuất phát từ nỗi lo sợ bị mất dữ liệu của nhiều công ty. Mặc dù bỏ tiền ra mua bảo hiểm, song sẽ có một số thiệt hại liên quan khi bị tin tặc tấn công sẽ không được bảo hiểm chi trả. Đó là thiệt hại do việc gián đoạn kinh doanh và thiệt hại danh tiếng. Nhiều công ty lớn trên thế giới đang yêu cầu có thêm các khoản bồi thường này trong các hợp đồng mua bảo hiểm không gian mạng. Khó khăn thứ hai với bên bảo hiểm là thường một vụ tấn công mạng thường xảy ra ở mức độ lớn, cùng lúc với nhiều đối tượng. Trong khi lâu nay giới bảo hiểm chỉ quen và chỉ thích xử lý những trường hợp riêng lẻ bị thiệt hại (như trong trường hợp bị tai nạn xe cộ, bị cháy nổ tài sản, bị hủy chuyến du lịch...).

Theo Financial Times, thị trường bảo hiểm không gian mạng trong mấy năm gần đây đã bắt đầu phát triển, với số tiền đóng bảo hiểm mỗi năm khoảng 3 tỉ USD. Con số này có thể tăng tới 20 tỉ USD vào năm 2025.[44]

Tham khảoSửa đổi

  1. ^ “Ransomware attack still looms in Australia as Government warns WannaCry threat not over”. Australian Broadcasting Corporation. Truy cập ngày 15 tháng 5 năm 2017. 
  2. ^ Cameron, Dell. “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It”. Gizmodo. Truy cập ngày 13 tháng 5 năm 2017. 
  3. ^ “Vụ tấn công mã độc toàn cầu: Triều Tiên bị nghi liên quan”. GenK. Truy cập ngày 16 tháng 5 năm 2017. 
  4. ^ “Phát hiện thêm 4 biến thể của WannaCry, có cả phiên bản tiếng Thái và Trung Quốc”. GenK. Truy cập ngày 16 tháng 5 năm 2017. 
  5. ^ “WannaCry: Gewaltiger Schaden, geringer Erlös”. www.heise.de. Truy cập ngày 15 tháng 5 năm 2017. 
  6. ^ Marsh, Sarah (12 tháng 5 năm 2017). “The NHS trusts hit by malware – full list”. Truy cập ngày 12 tháng 5 năm 2017 – qua The Guardian. 
  7. ^ a ă “NHS cyber-attack: GPs and hospitals hit by ransomware”. BBC News (bằng tiếng en-GB). 12 tháng 5 năm 2017. Truy cập ngày 12 tháng 5 năm 2017. 
  8. ^ Hern, Alex; Gibbs, Samuel (12 tháng 5 năm 2017). “What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?”. The Guardian (bằng tiếng en-GB). ISSN 0261-3077. Truy cập ngày 12 tháng 5 năm 2017. 
  9. ^ “Statement on reported NHS cyber attack”. digital.nhs.uk (bằng tiếng en-GB). Truy cập ngày 12 tháng 5 năm 2017. 
  10. ^ Cox, Joseph (12 tháng 5 năm 2017). “A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World”. Motherboard (bằng tiếng en-us). Truy cập ngày 12 tháng 5 năm 2017. 
  11. ^ Larson, Selena (12 tháng 5 năm 2017). “Massive ransomware attack hits 99 countries”. CNN. Truy cập ngày 12 tháng 5 năm 2017. 
  12. ^ a ă “Ransomware virus plagues 75k computers across 99 countries”. RT International (bằng tiếng en-US). Truy cập ngày 12 tháng 5 năm 2017. 
  13. ^ Larson, Selena (12 tháng 5 năm 2017). “Massive ransomware attack hits 74 countries”. CNNMoney. Truy cập ngày 12 tháng 5 năm 2017. 
  14. ^ 15:58, 12 May 2017 at; tweet_btn(), John Leyden. “WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain”. theregister.co.uk. Truy cập ngày 12 tháng 5 năm 2017. 
  15. ^ Menn, Joseph (17 tháng 2 năm 2015). “Russian researchers expose breakthrough U.S. spying program”. Reuters. Truy cập ngày 24 tháng 11 năm 2015. 
  16. ^ “NSA-leaking Shadow Brokers just dumped its most damaging release yet”. Ars Technica (bằng tiếng en-us). Truy cập ngày 15 tháng 4 năm 2017. 
  17. ^ Fox-Brewster, Thomas (16 tháng 2 năm 2015). “Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. Truy cập ngày 24 tháng 11 năm 2015. 
  18. ^ “Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows”. Medium. 14 tháng 4 năm 2017. Truy cập ngày 15 tháng 4 năm 2017. 
  19. ^ a ă â “Microsoft Security Bulletin MS17-010 – Critical”. technet.microsoft.com. Truy cập ngày 13 tháng 5 năm 2017. 
  20. ^ “Bức tranh toàn cảnh vụ tấn công đòi tiền chuộc WannaCry đang làm đau đầu giới bảo mật trên toàn thế giới”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  21. ^ “Microsoft Việt Nam: máy tính bật Windows Update chính hãng an toàn trước mã độc tống tiền WannaCry”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  22. ^ “WannaCry tấn công Trung Quốc, làm hàng nghìn máy ATM, đồn cảnh sát và trường học tê liệt”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  23. ^ “Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency”. The Telegraph (bằng tiếng en-GB). Truy cập ngày 12 tháng 5 năm 2017. 
  24. ^ Bilefsky, Dan; Perlroth, Nicole (12 tháng 5 năm 2017). “Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool”. The New York Times. ISSN 0362-4331. Truy cập ngày 12 tháng 5 năm 2017. 
  25. ^ Clark, Zammis. “The worm that spreads WanaCrypt0r”. Malwarebytes Labs. malwarebytes.com. Truy cập ngày 13 tháng 5 năm 2017. 
  26. ^ Samani, Raj. “An Analysis of the WANNACRY Ransomware outbreak”. McAfee. Truy cập ngày 13 tháng 5 năm 2017. 
  27. ^ “Sau 2 ngày bùng phát, tác giả WannaCry đã kiếm được ít nhất 1 tỷ đồng từ các nạn nhân”. GenK. Truy cập ngày 16 tháng 5 năm 2017. 
  28. ^ “Không ai có thể ngờ ransomware WannaCry đang gây chấn động toàn cầu lại bị chặn đứng bởi một người hùng mới chỉ 22 tuổi”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  29. ^ “Không cần bằng Đại học, chàng trai này chọn một cách khác để kiếm việc: cứu thế giới”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  30. ^ “Thế giới hân hoan vì chặn được WannaCry, nhưng phiên bản 2.0 sẽ còn nguy hiểm và gây ra hậu quả khủng khiếp hơn”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  31. ^ a ă “WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit”. eWeek. Truy cập ngày 13 tháng 5 năm 2017. 
  32. ^ https://blogs.technet.microsoft.com/josebda/2015/04/21/the-deprecation-of-smb1-you-should-be-planning-to-get-rid-of-this-old-smb-dialect/
  33. ^ a ă “NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP”. Motherboard. Truy cập ngày 13 tháng 5 năm 2017. 
  34. ^ “Hướng dẫn dành cho khách hàng về mã độc WannaCrypt (tiếng Anh)”. Microsoft. 12 tháng 5 năm 2017. 
  35. ^ “Phần mềm độc hại WannaCrypt tấn công toàn cầu, Microsoft buộc phải phát hành bản cập nhật cho HĐH cũ Windows XP”. GenK. Truy cập ngày 15 tháng 5 năm 2017. 
  36. ^ “Global cyberattack strikes dozens of countries, cripples U.K. hospitals”. cbsnews.com. Truy cập ngày 13 tháng 5 năm 2017. 
  37. ^ Wong, Julia Carrie; Solon, Olivia (12 tháng 5 năm 2017). “Massive ransomware cyber-attack hits 74 countries around the world”. The Guardian. London. Truy cập ngày 12 tháng 5 năm 2017. 
  38. ^ Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France
  39. ^ Renault stops production at several plants after ransomware cyber attack as Nissan also hacked
  40. ^ a ă “The ransomware attack is all about the insufficient funding of the NHS”. The Guardian. 13 tháng 5 năm 2017. Truy cập ngày 14 tháng 5 năm 2017. 
  41. ^ “Jeremy Hunt 'ignored warning signs' before cyber-attack hit NHS”. The Guardian. 13 tháng 5 năm 2017. Truy cập ngày 14 tháng 5 năm 2017. 
  42. ^ “Experten entdecken Nordkorea-Hinweis”. www.n-tv.de. Truy cập ngày 16 tháng 5 năm 2017. 
  43. ^ “WannaCry: Sony-Pictures-Hacker aus Nordkorea unter Verdacht”. www.heise.de. Truy cập ngày 16 tháng 5 năm 2017. 
  44. ^ “Giới bảo hiểm hốt bạc nhờ mã độc”.