Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?
Từ ngày hôm qua, một ransomware mới xuất hiện với tốc độ lây lan nhanh chóng đã gây nên tiếng vang trên toàn thế giới.
Nhiều cá nhân, tổ chức đã báo cáo tình trạng lây nhiễm, bao gồm cả hệ thống phát hiện phóng xạ Chernobyl hay hệ thống tàu điện ngầm Kiev. Tình trạng có vẻ tồi tệ hơn nhiều chuyên gia dự kiến ban đầu, bởi ransomware mới có vẻ có nhiều tính năng ‘khác lạ’ hơn dự kiến.

Trong giới chuyên gia, ransomware này được công nhận rộng rãi là một phiên bản của Petya với tên gọi ‘NotPetya’. Về cơ bản, nó tương tự như Petya, nhưng đủ khác biệt để có thể coi là một ransomware mới. Petya lợi dụng lỗ hổng EternalBlue tai tiếng (trong tài liệu bị lộ của cơ quan an ninh Mỹ NSA), cũng là lỗ hổng mà WannaCry đã sử dụng để lây nhiễm hàng trăm nghìn máy tính trên toàn thế giới.
Dù rằng Microsoft đã đưa ra một bản vá lỗ hổng EternalBlue hồi đầu năm, thậm chí cả cho hệ điều hành Windows XP, thế nhưng người dùng có cập nhật không lại là vấn đề khác. Đúng ra, các hệ thống doanh nghiệp phải được cập nhật phần mềm đầy đủ, nếu thế thì chưa chắc Petya đã có cơ hội. Tuy vậy, Petya/NotPetya cũng đã được ‘trang bị’ những khả năng mới mạnh mẽ hơn WannaCry.
Những ‘tính năng’ mạnh mẽ
Cụ thể, khi mà lỗ hổng EternalBlue về cơ bản cho phép NotPetya lây lan qua giao thức SMB rất yếu của Windows, nó còn có những công cụ khác để dễ dàng lây lan nhanh trong các hệ thống mạng. Ở thời điểm này, theo cựu chuyên gia NSA David Kennedy, NotPetya sẽ tìm các mật khẩu trên máy tính bị nhiễm để có thể chuyển tới những hệ thống khác, bằng cách trích xuất mật khẩu từ bộ nhớ hay từ các file hệ thống. Kennedy phải nhấn mạnh: “Vụ này nhất định sẽ lớn lắm. Lớn thứ thiệt luôn!”
Một cách khác NotPetya sử dụng để lây nhiễm là lạm dụng công cụ PsExec. Đây là công cụ được thiết kế để thực thi một số thao tác trên các hệ thống khác, nhưng ở trường hợp này thì những ‘thao tác’ lại là những đoạn mã độc của NotPetya. Nếu PC bị nhiễm NotPetya có quyền quản trị trong hệ thống mạng, thì mọi máy khác có thể bị nhiễm. Một phương thức tương tự khác cũng được NotPetya sử dụng với công cụ Windows Management Instrumentation (WMI).

Chuyên gia bảo mật từ hãng ESET Robert Lipovsky cho biết: “Sự phối hợp nguy hiểm này có thể chính là nguyên nhân NotPetya có thể lây lan nhanh chóng trên toàn cầu, ngay cả khi thế giới vẫn chưa quên về ransomware trước đó và đã cập nhật các bản vá. Thế nhưng chỉ cần một máy chưa được vá là cả hệ thống mạng có thể bị thâm nhập, sau đó ransomware chiếm quyền quản trị, và rồi lây nhiễm các máy khác.”
Nhờ vào những ‘tính năng’ mới này, loại ransomware mới có thể lây nhiễm cả những máy đã được vá lỗ hổng EternalBlue, trên mọi phiên bản Windows, kể cả Windows 10. Như một chuyên gia đã lưu ý, WannaCry hầu như không có khả năng này: nó chủ yếu lây nhiễm trên các phiên bản Windows cũ hơn.
Một phát ngôn viên của Microsoft cho hay công ty đã nhận được báo cáo về vấn đề này và đang điều tra làm rõ. Phát ngôn viên này cũng bổ sung: “Đánh giá tức thời của chúng tôi cho thấy ransomware đã sử dụng nhiều kỹ thuật khác nhau để lây lan, một cách trong đó là lợi dụng lỗ hổng đã được vá EternalBlue (mã MS17-010). Khi mà ransomware thường sẽ lây lan qua email, chúng tôi khuyến cáo khách hàng nên cảnh giác khi mở các file lạ. Chúng tôi vẫn đang tiếp tục điều tra và sẽ thực hiện biện pháp thích hợp để bảo vệ khách hàng của mình.”. Microsoft cũng cho biết Windows Defender có thể phát hiện và chặn ransomware này.
Một ransomware chuyên nghiệp
Với tất cả những gì chúng ta đang biết về NotPetya, nó rõ ràng là sản phẩm của một nhóm chuyên nghiệp, chứ không ‘nghiệp dư’ như WannaCry với nhiều lỗi và cả killswitch đơn giản. NotPetya không có killswitch rõ ràng, mà theo hãng Kaspersky, nó đã lây nhiễm ít nhất 2.000 tổ chức trên toàn cầu, bao gồm Ukraine, Nga, Anh và cả nước Mỹ.
Sự chuyên nghiệp của NotPetya rất có thể đến từ nơi nó sinh ra: thế giới ngầm của tội phạm công nghệ cao. Theo Jakub Kroustek, trưởng nhóm Threat Lab thuộc hãng Avast, thì: “Một yếu tố thể hiện bản chất lừa đảo của ransomware Petya đó là những ‘tác giả’ đưa ra nó trên deepweb dưới dạng mô hình liên kết: kẻ phát tán nhận 85% tiền chuộc, trong khi tác giả chỉ lấy 15%.”. Hình thức ‘ransomware-as-a-service’ này, dù sự tồn tại đã là cả một sự mỉa mai, lại làm dấy lên mối quan ngại về một tương lai tội phạm mạng không cần nhiều hiểu biết thực tế về công nghệ.
Dù nhóm tội phạm đứng đằng sau cuộc tấn công hôm nay có lài ai, chúng cũng đã nhận được kết quả, dù chưa lớn như mong muốn. Ở thời điểm hiện tại, 22 lần thanh toán tiền chuộc ở dạng 2,39818893 Bitcoin đã được ghi nhận, ước tính trị giá 5.515 USD.
Thế nhưng, nếu bất cứ ai có ý định trả tiền nhóm hacker để mở khóa hệ thống máy tính của mình, thì nên tính ngược lại: tài khoản email để cung cấp key đã bị khóa bởi nhà cung cấp Posteo. Nhờ vào đó, không có cách nào khả dụng để khôi phục file ngoài các bản sao lưu.
Theo GenK
TIN LIÊN QUAN
Đã có cách ngăn chặn Petya - Người anh em song sinh của ransomware WannaCry
Theo một nhận định từ người có chuyên môn, ransomware mới có thể là virus tồi tệ nhất mà loài người từng được biết đến, bởi lẽ ngay cả hệ thống giám sát bức xạ ở nhà máy điện hạt nhân của Chernobyl cũng đã bị tác động.
Một loại ransomware tên Bad Rabbit xuất hiện và bắt đầu lây lan tại Nga và nhiều nước Đông Âu.
Một loại ransomware mới có tên Bad Rabbit đã xuất hiện và hiện đang bắt đầu lây lan tại Nga và nhiều nước Đông Âu. Loại ransomware này được phát hiện hôm thứ 4 ngày 24 tháng 10 vừa qua khi nhiều tổ chức, doanh nghiệp ở Nga và Ukraine bị tấn công
Một ransomware mới với tên gọi "Thỏ hư" đã bắt đầu hoành hành và đây là cách phòng chống...
Sau một quãng thời gian sóng yên biển lặng kể từ khi WannaCry và Petya 'tung hoành ngang dọc', gây chấn động thế giới thì gần đây một ransomware mới - Bad Rabbit - đã xuất hiện và lan rộng ở châu Âu, có khả năng sẽ lan rộng hơn trong một ngày không
2017 được xem là năm của ransomware, cơn ác mộng của công chúng
Chỉ trong hai tháng 5 và 6 của năm 2017, ảnh hưởng từ mã độc tống tiền thực sự trở nên rõ rệt.
Cảnh báo: Ransomware tống tiền Bad Rabbit đang tấn công toàn cầu
Chính phủ Hoa kỳ đã đưa ra cảnh báo về cuộc tấn công mới của mã độc ransomware đang lan rộng ở Nga, Ukraine và sắp sửa lan ra toàn thế giới.
Mã độc phá hoại dữ liệu đã “cải trang” thành ransomware
Báo cáo của hãng bảo mật Kaspersky chỉ ra rằng, trong quý 2/2017, các mối đe dọa tinh vi sử dụng rất nhiều công cụ độc hại mới và nâng cao, bao gồm ba lỗ hổng zero-day và hai cuộc tấn công chưa từng có là WannaCry và ExPetr.
Phó chủ tịch BKAV: Virus gây thiệt hại cho Việt Nam hàng chục nghìn tỷ đồng
Năm 2014 virus đã gây thiệt hại 8.500 tỷ đồng, năm 2015 con số thiệt hại tăng lên là 8.700 tỷ đồng, năm 2016 tăng lên 10.400 tỷ đồng.
2018 sẽ bùng nổ các cuộc tấn công phát tán mã độc bắt cóc dữ liệu và mã độc đào tiền ảo
Có thể thấy 2017 là năm mà mã độc bắt cóc dữ liệu ransomware được nhắc đến rất nhiều. Mã độc WannaCry chỉ trong vài giờ đã lây lan đến máy tính tại hơn 90 nước
THỦ THUẬT HAY
Cách bảo mật file PDF trên điện thoại iPhone vô cùng đơn giản
File PDF của bạn có thể được bảo mật kỹ hơn trên iPhone nhờ tính năng mới, tính năng này sẽ giúp cho bạn bảo mật những dữ liệu quan trọng của mình một cách dễ dàng nhất. Điều này sẽ không mấy ngạc nhiên với người dùng
Xem lại video đã Live Streams trên Instagram một cách dễ dàng
Mới đây người dùng đã có thể xem lại video Live Streams trên Instagram trước đó trong vòng 24h. Mời bạn tham khảo bài hướng dẫn sau đây.
Hướng dẫn thêm nhạc vào bản trình chiếu Powerpoint
Có rất nhiều cách để làm cho bản trình chiếu Powerpoint của bạn nổi bật. Bên cạnh các hiệu ứng, tùy chỉnh kích cỡ các trang slide bạn cũng có thể thêm nhạc vào Slideshow của mình bằng cách sử dụng một hay nhiều bài hát
Cách gửi file Dropbox qua Facebook Messenger cho Android
Giờ đây, người dùng có thể chia sẻ hình ảnh, dữ liệu và video lưu trữ trên Dropbox thông qua Facebook Messenger một cách nhanh chóng. Chỉ cần nâng cấp lên phiên bản mới nhất là có thể trải nghiệm được tính năng thú vị
Vài mẹo nhỏ giúp truy cập internet miễn phí
Phí sử dụng Wi-Fi đôi khi khá đắt đỏ, nhưng may mắn thay, có một số mẹo mà bạn có thể áp dụng để hạn chế được việc chi trả những khoản phí này. Bạn có thể thử kết nối với Wi-Fi của hàng xóm hay sử dụng internet ở quán
ĐÁNH GIÁ NHANH
Những tính năng nên sử dụng trên Apple Watch Series 7
Watch Series 7 là mẫu đồng hồ thông minh mới nhất của Apple hiện nay. Có rất nhiều cải tiến và tính năng mới được bổ sung cho mẫu smartwatch mới này. Trong bài viết này chúng tôi sẽ mách bạn một số tính năng nên sử
Trên tay Xiaomi Redmi Note 13: Ấn tượng với thiết kế và trải nghiệm độc đáo
Xiaomi Redmi Note 13 4G là mẫu smartphone tầm trung mới của Xiaomi, thuộc dòng Redmi Note nổi tiếng. Điểm đặc biệt của Redmi Note 13 4G là phiên bản 4G, rẻ nhất trong dòng Redmi Note 13. Máy vẫn giữ phong cách thiết kế
Đánh giá Galaxy Z Flip5 - siêu phẩm gập sắp ra mắt của Samsung
Galaxy Z Flip5 là siêu phẩm gập sắp ra mắt của Samsung vào nửa cuối năm 2023 - cùng tìm hiểu chi tiết hơn qua một số đánh giá Z Flip 5 ngay sau đây!