WannaCry (có tên khác là WanaCrypt0r 2.0) là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft Windows. WannyCry tấn công quy mô lớn vào tháng 5 năm 2017, lây nhiễm hơn 75.000 máy tính ở 99 quốc gia với hình thức đòi hỏi trả phí tiền chuộc bằng bitcoin với giá trị từ 300 USD đến 600 USD ở 20 ngôn ngữ.
Nạn nhân
Các nạn nhân của mã độc Wannacry bao gồm Telefónica, một số bộ phận của Dịch vụ Y tế Quốc gia (NHS) Anh, FedEx và Deutsche Bahn, và một số công ty hàng đầu ở Tây Ban Nha. Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấn công vào cùng một thời điểm. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này.
Cách thức tấn công và diễn biến
Nhiều chuyên gia cho rằng WannaCry khai thác lỗ hổng EternalBlue, được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển để tấn công máy tính chạy hệ điều hành Microsoft Windows. Mặc dù một bản vá để loại bỏ các lỗ hổng này đã được ban hành vào ngày 14 tháng 3 năm 2017, nhưng sự chậm trễ trong việc cập nhật bảo mật làm cho một số người dùng và các tổ chức dễ bị tấn công. Công cụ tấn công mạng EternalBlue được phát hành bởi nhóm hacker Shadow vào ngày 14 tháng 4 năm 2017, cùng với các công cụ khác dường như đã bị rò rỉ từ Equation Group, được cho là một phần của Cơ quan An ninh Quốc gia Hoa Kỳ. EternalBlue khai thác lỗ hổng MS17-010 của giao thức SMB của Microsoft (Server Message Block). Microsoft đã phát hành một “Critical” advisory, cùng với hotfix cập nhật để lấp lỗ hổng một tháng trước đó, vào ngày 14 tháng 3 năm 2017.
Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu xâm nhập đến các máy tính trên toàn thế giới. Sau khi tấn công vào các máy tính, mã độc tống tiền bằng cách mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN.
Lỗ hổng của Windows không phải là lỗ hổng zero-day, Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017 – gần như 2 tháng trước đó. Hotfix này dùng để vá lỗi của giao thức Server Message Block (SMB) được sử dụng bởi Windows. Microsoft cũng đã thúc giục mọi người ngừng sử dụng giao thức SMB1 cũ và thay vào đó sử dụng giao thức SMB3 an toàn hơn, mới hơn. Các tổ chức thiếu hotfix an toàn này bị ảnh hưởng vì lý do này, và cho đến nay không có bằng chứng cho thấy bất kỳ mục tiêu nào được nhắm tới bởi các nhà phát triển mã độc tống tiền.
Bất kỳ tổ chức nào vẫn chạy Windows XP và các hệ điều hành cũ hơn đều có nguy cơ cao vì không có bản cập nhật bảo mật mới được phát hành.
Tuy nhiên, vào ngày 12 tháng 5 năm 2017, không lâu sau khi WannaCry lây lan, Microsoft đã phát hành bản vá lỗi tương tự bản vá MS17-010 vừa được phát hành vào ngày 14 tháng 3 năm 2017 dành cho các hệ điều hành cũ bao gồm Windows XP và Windows Server 2003.
Hậu quả
Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh. Vào ngày 12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm trọng lắm, và một số xe cứu thương phải đi nơi khác. Vào năm 2016, hàng ngàn máy tính trong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP. Nissan Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn chặn sự lây lan của ransomware.Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm.
Lây lan ở Việt Nam
Ở Việt Nam, Wannacry đã xuất hiện lây nhiễm ở 1 số máy tính và được công ty An ninh mạng Bkav trên diễn đàn Whitehat ghi nhận thông qua hệ thống giám sát. Bkav cũng cho rằng con số máy tính lây lan sẽ tiếp tục tăng trong thời gian tới.
Theo ông Vũ Ngọc Sơn, Phó Chủ tịch phụ trách mảng Chống mã độc của Bkav, kiểu lây nhiễm của mã độc Wanna Cprypt0r tuy không mới nhưng cho thấy xu hướng tận dụng các lỗ hổng mới để tấn công, kiếm tiền sẽ còn được hacker sử dụng nhiều trong thời gian tới, đặc biệt là các lỗ hổng của hệ điều hành.
Mã độc WannaCry khiến các bộ phận IT ở các ngân hàng, công ty, tổ chức lớn phải chạy đôn đáo để nâng cấp hệ thống Windows, cài đặt chương trình chống virus và còn phải tập huấn việc sử dụng máy tính cho các nhân viên, tuyệt đối không click và mở các email lạ.
Wanna Crypt0r có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề.
- APA:
Dammio. (2017). Wannacry, cách tấn công cũ nhưng rất nguy hiểm?. https://www.dammio.com/2017/05/15/wannacry-cach-tan-cong-cu-nhung-rat-nguy-hiem.
- BibTeX:
@misc{dammio,
author = {Dammio},
title = {Wannacry, cách tấn công cũ nhưng rất nguy hiểm?},
year = {2017},
url = {https://www.dammio.com/2017/05/15/wannacry-cach-tan-cong-cu-nhung-rat-nguy-hiem},
urldate = {2024-10-09}
}