Thông tin nêu trên về tình hình lây nhiễm loại mã độc mã hóa dữ liệu tống tiền mới WannaCry (còn gọi là WannaCrypt0r, WannaCrypt) vừa được Công ty Bkav vào tối nay, ngày 16/5/2017.

Trong thông tin phát ra tối ngày 16/5, các chuyên gia Bkav cho biết tại thời điểm này có thể khẳng định mã độc WannaCry “không bùng nổ” ở Việt Nam. Tuy nhiên theo Bkav, với 52% máy tính tại Việt Nam, tức là khoảng 4 triệu máy chưa được vá lỗ hổng EternalBlue, các máy này có thể bị nhiễm mã độc WannaCry bất cứ lúc nào nếu hacker mở rộng việc tấn công.  

Chuyên gia Bkav nhận định, việc phát tán mã độc mã hóa tống tiền WannaCry chỉ là bề nổi của “tảng băng chìm”. Ông Vũ Ngọc Sơn - Phó chủ tịch phụ trách mảng chống mã độc (Anti Malware) của Bkav phân tích: “Chúng ta không nên quên Cơ quan an ninh Mỹ NSA được cho là đã sử dụng lỗ hổng này để do thám. Do đó, không loại trừ khả năng cơ quan gián điệp của một quốc gia khác cũng âm thầm khai thác lỗ hổng này, cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích APT”.

Với 4 triệu máy tính có lỗ hổng tại Việt Nam, việc bị cài đặt phần mềm gián điệp để tấn công có chủ đích sẽ nguy hiểm hơn nhiều, thậm chí tiềm ẩn nguy cơ đối với an ninh quốc gia. Nguy cơ này không thể nhận biết rõ như mã độc mã hóa tống tiền. “Việt Nam cần ngay lập tức có chiến dịch vá lỗ hổng này”, ông Vũ Ngọc Sơn nhấn mạnh. 

Bkav cũng cho biết hiện doanh nghiệp này đã nâng cấp công cụ miễn phí quét lỗ hổng EternalBlue so với phiên bản đầu tiên để người sử dụng có thể quét và vá lỗ hổng tự động chỉ với thao tác đơn giản. Có thể tải công cụ từ địa chỉ Bkav.com.vn/Tool/CheckWanCry.exe, không cần cài đặt mà có thể khởi chạy luôn để quét.

Cùng ngày 16/5, như ICTnews đã thông tin, theo ghi nhận của CMC InfoSec, tính đến ngày 16/5/2017, đã có khoảng gần 800 máy gồm cả máy tính cá nhân và máy chủ tại Việt Nam bị lây nhiễm mã độc mã hóa dữ liệu tống tiền WannaCry, rải rác ở cả các thành phố lớn như Hà Nội, Đà Nẵng, TP.HCM và các tỉnh lân cận TP.HCM. Trong đó, số lượng máy bị lây nhiễm mã độc WannaCry tại Hà Nội là khoảng 400 máy, còn tại TP.HCM là khoảng hơn 200 máy, chủ yếu là server.

“Các nạn nhân của mã độc tống tiền WannaCry tại Việt Nam phần lớn là các doanh nghiệp vừa và nhỏ với hệ thống cảnh báo bảo mật khá mỏng yếu; các doanh nghiệp cung cấp và cho thuê server, tên miền, dữ liệu hệ thống và các doanh nghiệp kinh doanh trực tuyến có các hoạt động chia sẻ file, lưu trữ dữ liệu lớn. Hiện tại, chưa có cách nào để giải quyết việc khôi phục các file đã bị mã hóa và có doanh nghiệp đã chấp nhận trả tiền để chuộc lại dữ liệu của mình”, đại diện CMC InfoSec chia sẻ. 

Cũng trong ngày 16/5/2017, những thông tin mới về mối đe dọa WannaCry trên phạm vi toàn cầu tiếp tục được Kaspersky Lab cập nhật.

Đề cập đến sự tiến hóa của loại ransomware này, các chuyên gia Kaspersky cho biết: “Tổng số các biến thể lưu hành vào ngày 11/5 vẫn chưa rõ ràng - nhưng cuối tuần qua đã có 2 biến thể đáng chú ý xuất hiện. Kaspersky Lab không tin rằng bất kỳ một biến thể nào trong số đó được tạo ra bởi các tác giả ban đầu - rất có thể chúng đã được vá bởi những người khác muốn khai thác các cuộc tấn công cho riêng họ. Biến thể đầu tiên bắt đầu lan rộng vào sáng Chủ nhật (14/5) và được vá để kết nối với một tên miền khác. Cho đến thời điểm này, Kaspersky Lab đã ghi nhận được 3 nạn nhân của biến thể này tại Nga và Brazil. Biến thể thứ hai xuất hiện trong suốt tuần qua dường như đã được vá để loại bỏ các chức năng vô hiệu hóa. Biến thể này không lan rộng, có thể do thực tế nó có lỗi”.

Theo Kaspersky Lab, các phân tích sâu hơn về các bản ghi cho thấy ransomware WannaCry có thể đã bắt đầu lan rộng vào thứ năm, ngày 11/5/2017. “Rất khó để ước tính tổng số ca bị lây nhiễm. Chúng tôi ghi nhận rằng đã có hơn 45.000 người dùng bị tấn công, tuy nhiên đây chỉ là một phần của tổng số các cuộc tấn công (phản ánh bởi các khách hàng của Kaspersky Lab)”, Kasperky cho biết.

Chuyên gia Kasperky nhận định, bối cảnh tình hình thế giới có thể thấy rõ hơn qua kỹ thuật sinkhole cho tính năng ngắt kết nối dữ liệu trên hầu hết các phiên bản của Wannacry. Hiện nay sinkhole Malwaretech đã ghi nhận khoảng 200.000 trường hợp khi thu thập dữ liệu chuyển tiếp từ mã “kill switch”.

"Cần lưu ý rằng con số này chưa bao gồm các trường hợp lây nhiễm trong các mạng doanh nghiệp mà đòi hỏi phải có máy chủ Proxy kết nối với Internet, có nghĩa là số nạn nhân thực tế hoàn toàn có thể cao hơn. Đặc biệt, số lượng các nỗ lực tấn công của WannaCry được phát hiện bởi Kaspersky Lab vào ngày 15/5 đã giảm xuống 6 lần so với cùng thời điểm ngày 12/5. Điều này cho thấy sự lây nhiễm có thể đã được kiểm soát”, chuyên gia Kaspersky cho biết thêm.

Trong thông tin mới nhất về tình hình lây nhiễm mã độc tống tiền WannaCry trên toàn cầu, các chuyên gia Kaspersky cũng một lần nữa khuyến cáo, để giảm rủi ro bị lây nhiễm, người dùng cần cài đặt bản vá chính thức từ Microsoft để ngăn chặn lỗ hổng bị sử dụng để tấn công (đã có các bản vá có sẵn cho Windows XP, Windows 8, and Windows Server 2003 Windows XP, Windows 8, và Windows Server 2003); đảm bảo rằng các giải pháp bảo mật được bật trên tất cả các nút của mạng.

“Ngoài ra, mã độc WannaCry cũng nhắm vào các hệ thống nhúng. Do đó, người dùng nên đảm bảo rằng các giải pháp bảo mật dành riêng cho các hệ thống nhúng được cài đặt và chúng có cả tính năng bảo vệ chống lại phần mềm độc hại và chức năng Default Deny”, chuyên gia Kaspersky khuyến nghị.