Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?

Từ ngày hôm qua, một ransomware mới xuất hiện với tốc độ lây lan nhanh chóng đã gây nên tiếng vang trên toàn thế giới.

Nhiều cá nhân, tổ chức đã báo cáo tình trạng lây nhiễm, bao gồm cả hệ thống phát hiện phóng xạ Chernobyl hay hệ thống tàu điện ngầm Kiev. Tình trạng có vẻ tồi tệ hơn nhiều chuyên gia dự kiến ban đầu, bởi ransomware mới có vẻ có nhiều tính năng ‘khác lạ’ hơn dự kiến. 

Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?

Trong giới chuyên gia, ransomware này được công nhận rộng rãi là một phiên bản của Petya với tên gọi ‘NotPetya’. Về cơ bản, nó tương tự như Petya, nhưng đủ khác biệt để có thể coi là một ransomware mới. Petya lợi dụng lỗ hổng EternalBlue tai tiếng (trong tài liệu bị lộ của cơ quan an ninh Mỹ NSA), cũng là lỗ hổng mà WannaCry đã sử dụng để lây nhiễm hàng trăm nghìn máy tính trên toàn thế giới.

Dù rằng Microsoft đã đưa ra một bản vá lỗ hổng EternalBlue hồi đầu năm, thậm chí cả cho hệ điều hành Windows XP, thế nhưng người dùng có cập nhật không lại là vấn đề khác. Đúng ra, các hệ thống doanh nghiệp phải được cập nhật phần mềm đầy đủ, nếu thế thì chưa chắc Petya đã có cơ hội. Tuy vậy, Petya/NotPetya cũng đã được ‘trang bị’ những khả năng mới mạnh mẽ hơn WannaCry.

Những ‘tính năng’ mạnh mẽ

Cụ thể, khi mà lỗ hổng EternalBlue về cơ bản cho phép NotPetya lây lan qua giao thức SMB rất yếu của Windows, nó còn có những công cụ khác để dễ dàng lây lan nhanh trong các hệ thống mạng. Ở thời điểm này, theo cựu chuyên gia NSA David Kennedy, NotPetya sẽ tìm các mật khẩu trên máy tính bị nhiễm để có thể chuyển tới những hệ thống khác, bằng cách trích xuất mật khẩu từ bộ nhớ hay từ các file hệ thống. Kennedy phải nhấn mạnh: “Vụ này nhất định sẽ lớn lắm. Lớn thứ thiệt luôn!”

Một cách khác NotPetya sử dụng để lây nhiễm là lạm dụng công cụ PsExec. Đây là công cụ được thiết kế để thực thi một số thao tác trên các hệ thống khác, nhưng ở trường hợp này thì những ‘thao tác’ lại là những đoạn mã độc của NotPetya. Nếu PC bị nhiễm NotPetya có quyền quản trị trong hệ thống mạng, thì mọi máy khác có thể bị nhiễm. Một phương thức tương tự khác cũng được NotPetya sử dụng với công cụ Windows Management Instrumentation (WMI). 

Chuyên gia bảo mật từ hãng ESET Robert Lipovsky cho biết: “Sự phối hợp nguy hiểm này có thể chính là nguyên nhân NotPetya có thể lây lan nhanh chóng trên toàn cầu, ngay cả khi thế giới vẫn chưa quên về ransomware trước đó và đã cập nhật các bản vá. Thế nhưng chỉ cần một máy chưa được vá là cả hệ thống mạng có thể bị thâm nhập, sau đó ransomware chiếm quyền quản trị, và rồi lây nhiễm các máy khác.”

Nhờ vào những ‘tính năng’ mới này, loại ransomware mới có thể lây nhiễm cả những máy đã được vá lỗ hổng EternalBlue, trên mọi phiên bản Windows, kể cả Windows 10. Như một chuyên gia đã lưu ý, WannaCry hầu như không có khả năng này: nó chủ yếu lây nhiễm trên các phiên bản Windows cũ hơn.

Một phát ngôn viên của Microsoft cho hay công ty đã nhận được báo cáo về vấn đề này và đang điều tra làm rõ. Phát ngôn viên này cũng bổ sung: “Đánh giá tức thời của chúng tôi cho thấy ransomware đã sử dụng nhiều kỹ thuật khác nhau để lây lan, một cách trong đó là lợi dụng lỗ hổng đã được vá EternalBlue (mã MS17-010). Khi mà ransomware thường sẽ lây lan qua email, chúng tôi khuyến cáo khách hàng nên cảnh giác khi mở các file lạ. Chúng tôi vẫn đang tiếp tục điều tra và sẽ thực hiện biện pháp thích hợp để bảo vệ khách hàng của mình.”. Microsoft cũng cho biết Windows Defender có thể phát hiện và chặn ransomware này.

Một ransomware chuyên nghiệp

Với tất cả những gì chúng ta đang biết về NotPetya, nó rõ ràng là sản phẩm của một nhóm chuyên nghiệp, chứ không ‘nghiệp dư’ như WannaCry với nhiều lỗi và cả killswitch đơn giản. NotPetya không có killswitch rõ ràng, mà theo hãng Kaspersky, nó đã lây nhiễm ít nhất 2.000 tổ chức trên toàn cầu, bao gồm Ukraine, Nga, Anh và cả nước Mỹ. 

Sự chuyên nghiệp của NotPetya rất có thể đến từ nơi nó sinh ra: thế giới ngầm của tội phạm công nghệ cao. Theo Jakub Kroustek, trưởng nhóm Threat Lab thuộc hãng Avast, thì: “Một yếu tố thể hiện bản chất lừa đảo của ransomware Petya đó là những ‘tác giả’ đưa ra nó trên deepweb dưới dạng mô hình liên kết: kẻ phát tán nhận 85% tiền chuộc, trong khi tác giả chỉ lấy 15%.”. Hình thức ‘ransomware-as-a-service’ này, dù sự tồn tại đã là cả một sự mỉa mai, lại làm dấy lên mối quan ngại về một tương lai tội phạm mạng không cần nhiều hiểu biết thực tế về công nghệ.

Dù nhóm tội phạm đứng đằng sau cuộc tấn công hôm nay có lài ai, chúng cũng đã nhận được kết quả, dù chưa lớn như mong muốn. Ở thời điểm hiện tại, 22 lần thanh toán tiền chuộc ở dạng 2,39818893 Bitcoin đã được ghi nhận, ước tính trị giá 5.515 USD.

Thế nhưng, nếu bất cứ ai có ý định trả tiền nhóm hacker để mở khóa hệ thống máy tính của mình, thì nên tính ngược lại: tài khoản email để cung cấp key đã bị khóa bởi nhà cung cấp Posteo. Nhờ vào đó, không có cách nào khả dụng để khôi phục file ngoài các bản sao lưu.

Theo GenK

TIN LIÊN QUAN

Đã có cách ngăn chặn Petya - Người anh em song sinh của ransomware WannaCry

Theo một nhận định từ người có chuyên môn, ransomware mới có thể là virus tồi tệ nhất mà loài người từng được biết đến, bởi lẽ ngay cả hệ thống giám sát bức xạ ở nhà máy điện hạt nhân của Chernobyl cũng đã bị tác động.

Một loại ransomware tên Bad Rabbit xuất hiện và bắt đầu lây lan tại Nga và nhiều nước Đông Âu.

Một loại ransomware mới có tên Bad Rabbit đã xuất hiện và hiện đang bắt đầu lây lan tại Nga và nhiều nước Đông Âu. Loại ransomware này được phát hiện hôm thứ 4 ngày 24 tháng 10 vừa qua khi nhiều tổ chức, doanh nghiệp ở Nga và Ukraine bị tấn công

Một ransomware mới với tên gọi "Thỏ hư" đã bắt đầu hoành hành và đây là cách phòng chống...

Sau một quãng thời gian sóng yên biển lặng kể từ khi WannaCry và Petya 'tung hoành ngang dọc', gây chấn động thế giới thì gần đây một ransomware mới - Bad Rabbit - đã xuất hiện và lan rộng ở châu Âu, có khả năng sẽ lan rộng hơn trong một ngày không

2017 được xem là năm của ransomware, cơn ác mộng của công chúng

Chỉ trong hai tháng 5 và 6 của năm 2017, ảnh hưởng từ mã độc tống tiền thực sự trở nên rõ rệt.

Cảnh báo: Ransomware tống tiền Bad Rabbit đang tấn công toàn cầu

Chính phủ Hoa kỳ đã đưa ra cảnh báo về cuộc tấn công mới của mã độc ransomware đang lan rộng ở Nga, Ukraine và sắp sửa lan ra toàn thế giới.

Mã độc phá hoại dữ liệu đã “cải trang” thành ransomware

Báo cáo của hãng bảo mật Kaspersky chỉ ra rằng, trong quý 2/2017, các mối đe dọa tinh vi sử dụng rất nhiều công cụ độc hại mới và nâng cao, bao gồm ba lỗ hổng zero-day và hai cuộc tấn công chưa từng có là WannaCry và ExPetr.

Phó chủ tịch BKAV: Virus gây thiệt hại cho Việt Nam hàng chục nghìn tỷ đồng

Năm 2014 virus đã gây thiệt hại 8.500 tỷ đồng, năm 2015 con số thiệt hại tăng lên là 8.700 tỷ đồng, năm 2016 tăng lên 10.400 tỷ đồng.

2018 sẽ bùng nổ các cuộc tấn công phát tán mã độc bắt cóc dữ liệu và mã độc đào tiền ảo

Có thể thấy 2017 là năm mà mã độc bắt cóc dữ liệu ransomware được nhắc đến rất nhiều. Mã độc WannaCry chỉ trong vài giờ đã lây lan đến máy tính tại hơn 90 nước

THỦ THUẬT HAY

Thêm cách hẹn giờ tắt nhạc trên điện thoại Android bạn không nên bỏ qua

Bạn thường xuyên sử dụng điện thoại để nghe nhạc trước khi ngủ. Trong một số trường hợp, bạn lại ngủ quên và quên tắt điện thoại khiến nhạc phát tự động, làm hao pin điện thoại của bạn.

Một số mẹo giúp bạn kiểm tra điện thoại có hỗ trợ 5G không

Viettel đã chính thức thử nghiệm mạng 5G tại Việt Nam và chỉ cần một vài thao tác đơn giản các bạn đã có thể kiểm tra điện thoại có hỗ trợ 5G không. Từ đó có kế hoạch đúng đắn khi sắm điện thoại vào dịp cuối năm nay

Cách chat và đăng status bằng icon "Con chim lắc đầu"

'Con chim lắc đầu' là cách mình gọi vui cho bộ icon 'Bồ câu thành phố' vừa xuất hiện trên Facebook Messenger. Ở bài viết này, mình sẽ hướng dẫn...

Làm thế nào để xem mọi thứ mà Google "biết" về bạn?

Việc Google biết nhiều thông tin về người dùng không còn là bí mật nữa. Gã khổng lồ công nghệ thu thập “hàng tấn” dữ liệu về người dùng, bao gồm cả lịch sử tìm kiếm, vị trí, và giọng nói của người dùng để giúp cải

Học vẽ đơn giản bằng thực tế tăng cường thông qua chiếc smartphone

Ý tưởng cũng khá đơn giản: trước tiên bạn vẽ một vài dấu cộng ( + ) hoặc hình tròn lên giấy, tường hoặc... mặt của đứa nào dám ngủ khi bạn còn thức và chĩa camera thẳng vào đó.

ĐÁNH GIÁ NHANH

So sánh Honda CR-V 5+2 và Mazda CX-5: Lựa chọn nào phù hợp với bạn?

Câu hỏi trên có lẽ cần nhiều năm bán hàng để khẳng định. Và khi trong phân khúc compact SUV ngày càng phát triển thì cả hai mẫu xe gia đình tiêu biểu trên đều xứng đáng được lựa chọn.

Đánh giá chi tiết Mercedes-Maybach S450 2018

Trong khuôn khổ sự kiện Mercedes-Benz Fascination 2018 vừa diễn ra, đại diện của hãng xe Đức đã chia sẻ những con số rất ấn tượng: Đã có hơn 300 đơn đặt hàng dành cho các mẫu S-Class phiên bản