Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?

Từ ngày hôm qua, một ransomware mới xuất hiện với tốc độ lây lan nhanh chóng đã gây nên tiếng vang trên toàn thế giới.

Nhiều cá nhân, tổ chức đã báo cáo tình trạng lây nhiễm, bao gồm cả hệ thống phát hiện phóng xạ Chernobyl hay hệ thống tàu điện ngầm Kiev. Tình trạng có vẻ tồi tệ hơn nhiều chuyên gia dự kiến ban đầu, bởi ransomware mới có vẻ có nhiều tính năng ‘khác lạ’ hơn dự kiến. 

Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?

Trong giới chuyên gia, ransomware này được công nhận rộng rãi là một phiên bản của Petya với tên gọi ‘NotPetya’. Về cơ bản, nó tương tự như Petya, nhưng đủ khác biệt để có thể coi là một ransomware mới. Petya lợi dụng lỗ hổng EternalBlue tai tiếng (trong tài liệu bị lộ của cơ quan an ninh Mỹ NSA), cũng là lỗ hổng mà WannaCry đã sử dụng để lây nhiễm hàng trăm nghìn máy tính trên toàn thế giới.

Dù rằng Microsoft đã đưa ra một bản vá lỗ hổng EternalBlue hồi đầu năm, thậm chí cả cho hệ điều hành Windows XP, thế nhưng người dùng có cập nhật không lại là vấn đề khác. Đúng ra, các hệ thống doanh nghiệp phải được cập nhật phần mềm đầy đủ, nếu thế thì chưa chắc Petya đã có cơ hội. Tuy vậy, Petya/NotPetya cũng đã được ‘trang bị’ những khả năng mới mạnh mẽ hơn WannaCry.

Những ‘tính năng’ mạnh mẽ

Cụ thể, khi mà lỗ hổng EternalBlue về cơ bản cho phép NotPetya lây lan qua giao thức SMB rất yếu của Windows, nó còn có những công cụ khác để dễ dàng lây lan nhanh trong các hệ thống mạng. Ở thời điểm này, theo cựu chuyên gia NSA David Kennedy, NotPetya sẽ tìm các mật khẩu trên máy tính bị nhiễm để có thể chuyển tới những hệ thống khác, bằng cách trích xuất mật khẩu từ bộ nhớ hay từ các file hệ thống. Kennedy phải nhấn mạnh: “Vụ này nhất định sẽ lớn lắm. Lớn thứ thiệt luôn!”

Một cách khác NotPetya sử dụng để lây nhiễm là lạm dụng công cụ PsExec. Đây là công cụ được thiết kế để thực thi một số thao tác trên các hệ thống khác, nhưng ở trường hợp này thì những ‘thao tác’ lại là những đoạn mã độc của NotPetya. Nếu PC bị nhiễm NotPetya có quyền quản trị trong hệ thống mạng, thì mọi máy khác có thể bị nhiễm. Một phương thức tương tự khác cũng được NotPetya sử dụng với công cụ Windows Management Instrumentation (WMI). 

Chuyên gia bảo mật từ hãng ESET Robert Lipovsky cho biết: “Sự phối hợp nguy hiểm này có thể chính là nguyên nhân NotPetya có thể lây lan nhanh chóng trên toàn cầu, ngay cả khi thế giới vẫn chưa quên về ransomware trước đó và đã cập nhật các bản vá. Thế nhưng chỉ cần một máy chưa được vá là cả hệ thống mạng có thể bị thâm nhập, sau đó ransomware chiếm quyền quản trị, và rồi lây nhiễm các máy khác.”

Nhờ vào những ‘tính năng’ mới này, loại ransomware mới có thể lây nhiễm cả những máy đã được vá lỗ hổng EternalBlue, trên mọi phiên bản Windows, kể cả Windows 10. Như một chuyên gia đã lưu ý, WannaCry hầu như không có khả năng này: nó chủ yếu lây nhiễm trên các phiên bản Windows cũ hơn.

Một phát ngôn viên của Microsoft cho hay công ty đã nhận được báo cáo về vấn đề này và đang điều tra làm rõ. Phát ngôn viên này cũng bổ sung: “Đánh giá tức thời của chúng tôi cho thấy ransomware đã sử dụng nhiều kỹ thuật khác nhau để lây lan, một cách trong đó là lợi dụng lỗ hổng đã được vá EternalBlue (mã MS17-010). Khi mà ransomware thường sẽ lây lan qua email, chúng tôi khuyến cáo khách hàng nên cảnh giác khi mở các file lạ. Chúng tôi vẫn đang tiếp tục điều tra và sẽ thực hiện biện pháp thích hợp để bảo vệ khách hàng của mình.”. Microsoft cũng cho biết Windows Defender có thể phát hiện và chặn ransomware này.

Một ransomware chuyên nghiệp

Với tất cả những gì chúng ta đang biết về NotPetya, nó rõ ràng là sản phẩm của một nhóm chuyên nghiệp, chứ không ‘nghiệp dư’ như WannaCry với nhiều lỗi và cả killswitch đơn giản. NotPetya không có killswitch rõ ràng, mà theo hãng Kaspersky, nó đã lây nhiễm ít nhất 2.000 tổ chức trên toàn cầu, bao gồm Ukraine, Nga, Anh và cả nước Mỹ. 

Sự chuyên nghiệp của NotPetya rất có thể đến từ nơi nó sinh ra: thế giới ngầm của tội phạm công nghệ cao. Theo Jakub Kroustek, trưởng nhóm Threat Lab thuộc hãng Avast, thì: “Một yếu tố thể hiện bản chất lừa đảo của ransomware Petya đó là những ‘tác giả’ đưa ra nó trên deepweb dưới dạng mô hình liên kết: kẻ phát tán nhận 85% tiền chuộc, trong khi tác giả chỉ lấy 15%.”. Hình thức ‘ransomware-as-a-service’ này, dù sự tồn tại đã là cả một sự mỉa mai, lại làm dấy lên mối quan ngại về một tương lai tội phạm mạng không cần nhiều hiểu biết thực tế về công nghệ.

Dù nhóm tội phạm đứng đằng sau cuộc tấn công hôm nay có lài ai, chúng cũng đã nhận được kết quả, dù chưa lớn như mong muốn. Ở thời điểm hiện tại, 22 lần thanh toán tiền chuộc ở dạng 2,39818893 Bitcoin đã được ghi nhận, ước tính trị giá 5.515 USD.

Thế nhưng, nếu bất cứ ai có ý định trả tiền nhóm hacker để mở khóa hệ thống máy tính của mình, thì nên tính ngược lại: tài khoản email để cung cấp key đã bị khóa bởi nhà cung cấp Posteo. Nhờ vào đó, không có cách nào khả dụng để khôi phục file ngoài các bản sao lưu.

Theo GenK

TIN LIÊN QUAN

Đã có cách ngăn chặn Petya - Người anh em song sinh của ransomware WannaCry

Theo một nhận định từ người có chuyên môn, ransomware mới có thể là virus tồi tệ nhất mà loài người từng được biết đến, bởi lẽ ngay cả hệ thống giám sát bức xạ ở nhà máy điện hạt nhân của Chernobyl cũng đã bị tác động.

Một loại ransomware tên Bad Rabbit xuất hiện và bắt đầu lây lan tại Nga và nhiều nước Đông Âu.

Một loại ransomware mới có tên Bad Rabbit đã xuất hiện và hiện đang bắt đầu lây lan tại Nga và nhiều nước Đông Âu. Loại ransomware này được phát hiện hôm thứ 4 ngày 24 tháng 10 vừa qua khi nhiều tổ chức, doanh nghiệp ở Nga và Ukraine bị tấn công

Một ransomware mới với tên gọi "Thỏ hư" đã bắt đầu hoành hành và đây là cách phòng chống...

Sau một quãng thời gian sóng yên biển lặng kể từ khi WannaCry và Petya 'tung hoành ngang dọc', gây chấn động thế giới thì gần đây một ransomware mới - Bad Rabbit - đã xuất hiện và lan rộng ở châu Âu, có khả năng sẽ lan rộng hơn trong một ngày không

2017 được xem là năm của ransomware, cơn ác mộng của công chúng

Chỉ trong hai tháng 5 và 6 của năm 2017, ảnh hưởng từ mã độc tống tiền thực sự trở nên rõ rệt.

Cảnh báo: Ransomware tống tiền Bad Rabbit đang tấn công toàn cầu

Chính phủ Hoa kỳ đã đưa ra cảnh báo về cuộc tấn công mới của mã độc ransomware đang lan rộng ở Nga, Ukraine và sắp sửa lan ra toàn thế giới.

Mã độc phá hoại dữ liệu đã “cải trang” thành ransomware

Báo cáo của hãng bảo mật Kaspersky chỉ ra rằng, trong quý 2/2017, các mối đe dọa tinh vi sử dụng rất nhiều công cụ độc hại mới và nâng cao, bao gồm ba lỗ hổng zero-day và hai cuộc tấn công chưa từng có là WannaCry và ExPetr.

Phó chủ tịch BKAV: Virus gây thiệt hại cho Việt Nam hàng chục nghìn tỷ đồng

Năm 2014 virus đã gây thiệt hại 8.500 tỷ đồng, năm 2015 con số thiệt hại tăng lên là 8.700 tỷ đồng, năm 2016 tăng lên 10.400 tỷ đồng.

2018 sẽ bùng nổ các cuộc tấn công phát tán mã độc bắt cóc dữ liệu và mã độc đào tiền ảo

Có thể thấy 2017 là năm mà mã độc bắt cóc dữ liệu ransomware được nhắc đến rất nhiều. Mã độc WannaCry chỉ trong vài giờ đã lây lan đến máy tính tại hơn 90 nước

THỦ THUẬT HAY

Live Text trên iPadOS 15 là gì?Hướng dẫn bật và sử dụng tính năng

Apple mới đây đã cập nhật tính năng Live Text trên iPadOS 15. Tuy nhiên, không phải ai cũng biết cách bật và sử dụng tiện ích này hiệu quả.

Cách tra cứu thời hạn Bảo Hiểm Y Tế bằng ứng dụng Zalo trên điện thoại

Sử dụng thẻ bảo hiểm y tế (BHYT), bạn cần nắm rõ thông tin về thời hạn sử dụng thẻ BHYT. Sau đây là hướng dẫn cách tra cứu thời hạn Bảo Hiểm Y Tế bằng ứng dụng Zalo trên điện thoại...

Cách tải và cài Outlast về máy tính, game bệnh viện kinh hoàng

Outlast là tựa game kinh dị được game thủ đón nhận với cốt truyện hấp dẫn kèm theo cách chơi kinh dị gây ám ảnh. Nếu bạn là một fan của các dòng game kinh dị thì không nên bỏ qua tựa game này cũng như tải Outlast và

Những ứng dụng AR miễn phí và tốt nhất trên iOS

Có thể nói rằng Pokemon GO chính là ứng dụng khởi đầu cho xu hướng công nghệ AR trên smartphone khi ra mắt vào tháng 7/2016. Với tựa game này, người chơi sẽ có khả năng trải nghiệm công nghệ AR trong thế giới thực thông

Cách ẩn người theo dõi Facebook trên điện thoại, máy tính cực đơn giản

Hướng dẫn bạn cách ẩn người theo dõi Facebook trên điện thoại, máy tính một cách đơn giản và nhanh chóng. Click xem ngay nhé!

ĐÁNH GIÁ NHANH

Đánh giá nhanh Toshiba X10: siêu nhỏ gọn, hiệu năng tốt, giá 5,4 triệu

Toshiba SSD X10 là sản phẩm chạy theo xu hướng ổ cứng di động nhỏ gọn nhưng tốc độ cao đang ngày càng trở nên phổ biến.

Đánh giá chi tiết xe Hyundai Kona 2019

Hyundai Kona 2019 là mẫu SUV cỡ nhỏ toàn cầu đầu tiên của Hyundai từng được vén màn tại thị trường quê nhà hồi tháng 6 năm ngoái. Tại Việt Nam, khi được bán ra thì Kona sẽ được lắp ráp trong nước tại nhà máy Hyundai

So sánh iPhone 13 và iPhone 11: Phiên bản mới có xứng đáng để nâng cấp?

Mới đây, Apple đã trình làng dòng điện thoại iPhone 13 mới với nhiều nâng cấp, cải tiến. Dù đây là một sản phẩm hấp dẫn tuy nhiên sẽ có nhiều người dùng iPhone 11 băn khoăn liệu có lên đời iPhone 13 không? Câu trả lời