Mã độc tống tiền mới, Việt Nam có nguy cơ cao

TP - Một loại mã độc tống tiền mới có tốc độ độc lây lan tương đương với mã độc WannaCry đang tấn công hệ thống máy tính nhiều quốc gia trên thế giới. Việt Nam nằm trong vùng có nguy cơ bị tấn công cao.
Ảnh minh họa: Internet

Mã độc tống tiền mới được nhiều chuyên gia bảo mật cho rằng là biến thể mới của mã độc tống tiền Petya, từng xuất hiện vào đầu năm 2016. Mã độc này được phát hiện vào 14h ngày 27/6/2017. Chỉ 24h sau khi phát tán, mã độc gây ra sự gián đoạn nghiêm trọng tại nhiều quốc gia châu Âu như Ukraine, Tây Ban Nha, Isarel, Anh, Hà Lan và Hoa Kỳ. Một loạt các ngành tại châu Âu như vận tải, năng lượng, hóa dầu, ngân hàng bao gồm cả hệ thống ATM  và cả hệ thống hạt nhân Chernobyl đều báo cáo đã bị lây nhiễm bởi mã độc này.

Tập đoàn dầu khí Rosneft của Nga phải chuyển sang hệ thống mạng dự phòng sau khi bị Petya tấn công. Hãng vận tải biển Đan Mạch Maersk, Tập đoàn Công nghiệp Pháp Saint - Gobain cũng là 2 trong số nhiều công ty lớn ở châu Âu bị mã độc này tấn công dẫn đến ngưng trệ hoạt động ở nhiều nơi.  Tại Mỹ cũng ghi nhận hệ thống máy tính của một số công ty lớn bị tấn công.

Theo hãng bảo mật CMC INFOSEC, Petya được phát tán qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Nếu người sử dụng mở tập tin đính kèm, mã độc sẽ được download ngầm và thực thi trên máy của nạn nhân.

Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng hai cách chính để lây nhiễm sang máy bên cạnh gồm lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác) hoặc sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.

Hãng bảo mật Kaspersky cho rằng, mã độc đang tấn công nhiều quốc gia này có thể không phải là một biến thể mới của  Petya mà là một mã độc mới chưa từng thấy. Đây là một đợt tấn công vô cùng phức tạp. Một lỗ hổng EternalBlue đã được chỉnh sửa và được sử dụng cho sự lây lan trong mạng lưới  máy tính của doanh nghiệp. Các máy tính bị lây nhiễm sẽ tự động bị tắt nguồn, khi khởi động lại sẽ có một thông báo đòi tiền chuộc là 300 USD/máy tính.

Cẩn trọng hòm thư của doanh nghiệp

Dù tại thời điểm hiện tại, chưa phát hiện trường hợp lây nhiễm cụ thể tại VN, tuy nhiên với tình trạng các máy chủ và máy cá nhân dùng không được vá như hiện tại, việc lây lan ồ ạt tại VN trong thời gian ngắn là điều có thể xảy ra. Người dùng gia đình hiện đang sử dụng yahoo mail hay gmail là an toàn. Hệ thống lọc mã độc của các hãng đủ khả năng cách ly các email có mã độc. Dễ bị lây nhiễm nhất là các hòm thư điện tử do doanh nghiệp, tổ chức tự vận hành, đặc biệt là các máy chủ chạy mail servers trên Windows. Các tổ chức, doanh nghiệp sở hữu địa chỉ email dạng ten@abc.gov.vn hoặc ten@abc.com.vn cần hết sức lưu ý.

Các chuyên gia khuyến cáo, người dùng không nên mở các tập tin đính kèm nếu không chắc chắn là an toàn, không liên hệ tới địa chỉ email wowsmith123456@posteo.net để tìm cách trả tiền chuộc vì hòm thư này đã bị khóa, nhờ chuyên gia khôi phục dữ liệu nếu bị lây nhiễm.

Ai đứng sau cuộc tấn công của mã độc Petya?

Các chuyên gia máy tính cho biết, mã độc Petya không chỉ dừng lại ở châu Âu mà đã tấn công hệ thống máy tính của nhiều nước châu Á - Thái Bình Dương. Tuy nhiên, cho đến giờ, người ta vẫn chưa biết thực sự ai là người đứng đằng sau các cuộc tấn công mạng đòi tiền chuộc này.

Symantec, một công ty bảo mật không gian mạng ở Thung lũng Silicon (Mỹ) xác nhận, mã độc Petya  đã lây nhiễm cho các máy tính thông qua ít nhất một lỗ hổng, hoặc phần mềm dễ bị tổn thương trong hệ điều hành window của máy tính có tên là Eternal Blue. Eternal Blue bị rò rỉ trên mạng từ  tháng 4 năm ngoái bởi một nhóm hacker tên là Shadow Brokers, những người trước đây đã phát tán các công cụ tin tặc do Cơ quan An ninh Quốc gia Mỹ sử dụng. Lỗ hổng này được sử dụng hồi tháng 5  với mã độc đòi tiền chuộc WannaCry làm ảnh hưởng tới hàng trăm nghìn máy tính tại hơn 150 quốc gia. 

Lan Anh 
(Theo The New York Times)