Hôm nay, ngày 13/5/2017, một làn sóng tấn công mạng đã diễn ra trên diện rộng, đa quốc gia. Theo đó, tin tặc sử dụng một loại Ransomware (mã độc mã hóa dữ liệu tống tiền - PV) mới có tên Wanna Crypt0r để tấn công thiết bị của người dùng, mã hóa dữ liệu và yêu cầu nạn nhân phải trả tiền chuộc dữ liệu bằng một khoản tiền ảo Bitcoin. Chuyên gia an ninh mạng nhận định mã độc Wanna Crypt0r có thể xếp vào mức nguy hiểm cao nhất vì vừa lây lan nhanh vừa có tính phá hoại nặng nề.

Như thông tin mới được ICTnews cập nhật, Công ty Bkav chiều ngày 13/5 đã phát đi thông tin xác nhận Việt Nam đã có những trường hợp bị lây nhiễm mã độc tống tiền mới Wanna Crypt0r. Theo Bkav, chỉ trong vài giờ vừa qua, mã độc tống tiền Wanna Crypt0r đã lây nhiễm hơn 100.000 máy tính tại 74 quốc gia trên thế giới. Và ngay trong sáng 13/5, hệ thống giám sát virus của Bkav bước đầu ghi nhận, đã có những trường hợp lây nhiễm mã độc này tại Việt Nam. Bkav nhận định, số trường hợp nhiễm mã độc này có thể tiếp tục tăng vì hiện vẫn đang là ngày nghỉ, nhiều máy tính không bật. Virus có thể “bùng phát” vào đầu tuần tới, khi mọi người đi làm trở lại.

Theo  phân tích của các chuyên gia bảo mật, Wanna Crypt0r tấn công vào máy nạn nhận qua file đính kèm email hoặc link độc hại, như các dòng mã độc tống tiền khác. Tuy nhiên, loại mã độc này được bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. Cụ thể, Wanna Crypt0r sẽ quét toàn bộ các máy tính trong cùng mạng để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng mà không cần người dùng phải thao tác trực tiếp với file đính kèm hay link độc hại.

Điều đáng nói là, cách đây khoảng 2 tuần, vào ngày 24/4/2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã ra văn bản cảnh báo về phương thức tấn công khai thác hệ thống mới của nhóm hacker Shadow Brokers có nguy cơ gây mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có thông tin cụ thể về phương thức tấn công khai thác dữ liệu hệ thống cũng như các lỗ hổng của hệ điều hành Window đã được nhóm hacker công bố, gồm có cả lỗ hổng EternalBlue – lỗ hổng bảo mật của Window vừa bị mã độc tống tiền mới  Wanna Crypt0r khai thác để tấn công thiết bị của người dùng.

Trong văn bản cảnh báo gửi tới các đơn vị chuyên trách về CNTT, an toàn thông tin ngày 24/4, VNCERT đã yêu cầu các cơ quan, doanh nghiệp chú ý, tăng cường công tác bảo đảm an toàn thông tin mạng, triển khai một số biện pháp nhằm phòng ngừa, ngăn chặn sự lây lan và giảm thiểu rủi ro trước nguy cơ từ phương thức tấn công mới của nhóm nhóm hacker Shadow Brokers.

Cụ thể, đối với hệ thống sử dụng hệ điều hành Windows (từ Windows Server 2000 tới Windows Server 2012, Windows XP, Windows Vista, Windows 7, Windows 8,…), VNCERT khuyến nghị các cơ quan, đơn vị cần nhanh chóng rà soát và cập nhật các bản vá lỗi được cảnh báo trên tại website  chính thức của Mircosoft.

Với hệ thống sử dụng các thiết bị của Cisco, cần cập nhật các bản vá lỗi liên quan đến lỗ hổng zero - day (CVE-2016-6366). Để bảo vệ dữ liệu an toàn, máy tính nên được bảo vệ đằng sau Router hoặc Firewalls. Trang bị các hệ thống phòng chống tấn công mạng như IPS/IDS, Firewalls...

Các cơ quan, đơn vị, doanh nghiệp cũng được VNCERT đề nghị cập nhật phiên bản mới nhất của các chương trình diệt Virus để phát hiện và xử lý các mã thực thi do hacker tấn công vào hệ thống; thực hiện sao lưu dữ liệu định kỳ (sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng cắm ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính; sau khi sao lưu xong đưa ra cất giữ riêng và không kết nối vào Internet).

Bên cạnh đó, để giúp các cơ quan chức năng theo dõi, phân tích và kịp thời phản ứng nhanh với các phương thức tấn công mới, các cơ quan, doanh nghiệp được đề nghị ngay khi phát hiện sự cố và không có khả năng xử lý, cần thông báo ngay về đầu mối điều phối ứng cứu sự cố quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT, có địa chỉ tại tầng 5, tòa nhà 115 Trần Duy Hưng, Cầu Giấy, Hà Nội. Các số điện thoại 04 3640 4423 số máy lẻ 112; 0934 424 009 và hòm thư điện tử tiếp nhận báo cáo sự cố [email protected].

Mã độc tống tiền là 1 trong 5 xu hướng tấn công mạng năm 2017

Theo dự báo của VNCERT từ đầu năm nay, mã độc tống tiền - Ransomware được dự báo là 1 trong 5 xu hướng tấn công mạng phổ biến của năm 2017. Ông Nguyễn Khắc Lịch, Phó giám đốc VNCERT cho biết, trong năm 2016,  Trung tâm đã ghi nhận sự lây lan rất nhanh của mã độc mã hóa dữ liệu để tống tiền Ransomware. Mã độc này luôn có các biến thể mới, lây lan qua nhiều hình thức, đem lại những nguồn lợi khổng lồ cho tin tặc mà người bị hại gần như không có lựa chọn nào khác ngoài trả tiền chuộc nếu muốn khôi phục dữ liệu. VNCERT đã liên tiếp có 3 công văn cảnh báo và hướng dẫn biện pháp phòng ngừa về mã độc này, đồng thời phối hợp tổ chức truyền thông rộng rãi về mã độc mã hóa dữ liệu để tống tiền Ransomware qua các cơ quan truyền thông, hội thảo khoa học. “Trong năm nay, ransomware sẽ tiếp tục được lan truyền với tốc độ cao, đặc biệt sẽ xuất hiện mã độc tống tiền tấn công vào các thiết bị di động (smartphone, máy tính bảng,…) và điện toán đám mây”, ông Lịch nhận định.