Trend Micro Việt Nam vừa có bài tổng quan về cuộc tấn công WannaCry, chi tiết cách hoạt động và trị mối hiểm hoạ này. Bên cạnh đó, bài viết này cũng đưa ra cách phòng chống cuộc tấn công WannaCry 2.0 có mức nguy hiểm gấp nhiều lần.
Nhật ký Công nghệ xin phép trích dẫn bài viết này để các bạn tham khảo. Bài viết rất chi tiết và dài với đầy đủ hình ảnh, video minh hoạ, bạn có thể xem chi tiết tại đây.
WannaCry đang là một đại dịch ảnh hưởng toàn thế giới, xin tổng hợp lại những thông tin xoay quanh con ransomware mã hóa đòi tiền chuộc này cho anh em dễ nắm, biết về cách hoạt động của nó cũng như những thứ anh em cần làm để mình không trở thành nạn nhân của cuộc tấn công. Giờ WannaCry cũng đã có phiên bản 2.0 rồi nên rất nguy hiểm không thể coi thường được đâu.
Cách hoạt động của WannaCry
Theo trang EndGame, WCry đi theo cùng con đường tấn công mà chúng ta vẫn thường thấy ở ransomware. Mô tả cơ bản thì thế này: WCry sẽ kiểm tra một “dấu mốc” (beacon), nếu dấu mốc này có trả về một phản hồi thì ransomware sẽ không chạy. Đây là cách để hacker kiểm soát được con ransomware của mình. Nếu beacon không có phản hồi gì cả thì ransomware bắt đầu công việc: nó khai thác lỗ hổng TERNALBLUE/MS17-010 và lây lan sang các máy tính khác. WCry sau đó mã hóa các file trong hệ thống và cảnh báo cho người dùng rằng họ đã “dính đòn”.
- Bước 1, chạy file Exe, tức là người dùng “lỡ” bấm nhầm vào file thực thi để chạy ransomware lên. Để lừa người dùng chạy file này không khó, dụ họ mở một email nào đó hay chạy file tải về từ Torrent với những cái tên hấp dẫn là xong. Biến thể 2.0 của WCry còn có thể tự thực thi khi bạn truy cập vào một trang web đã bị chèn mã độc nữa kìa.
- Bước 2: kiểm tra beacon. Ransomware sẽ gọi một link như sau: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Nếu link này có trả về phản hồi, tức là hacker đã kiểm soát tên miền này và muốn ransomware dừng lại, thì file exe sẽ không chạy tiếp. Còn nếu không nhận được phản hồi, ransomware tiếp tục việc tấn công. Anh em có thể thấy hacker chọn một tên miền rất vớ vẩn và không có ý nghĩa để không ai chú ý tới cả.
Liên quan đến tên miền này, có một nhà nghiên cứu trẻ tuổi sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là “kill switch” để tạm ngưng malware trong một thời gian. Sau đó anh này có cẩn thận cảnh báo rằng các biến thể mới sẽ xuất hiện bỏ qua bước kill switch này, và thực tế đã có những con ransomware như vậy ra đời sau vụ WCry.
Ở bước thứ 3, WCry sẽ tận dụng cơ chế SMB. SMB là một giao thức truyền tải file của Windows và nó mặc định được bật trên cả Windows lẫn Windows Server nên cả máy PC hay server đều có thể bị dính. Malware dùng cơ chế này để lây lan sang các máy tính khác trong cùng mạng. Với người dùng cá nhân có thể vụ này không làm lây lan nhiều. nhưng với các hệ thống IT doanh nghiệp vốn thường kết nối các máy với nhau thì ảnh hưởng là rất kinh khủng. Anh em nào chưa tắt SMB thì hãy tắt đi nhé.
Lỗ hổng bảo mật SMB này còn được biết tên gọi khác là EternalBlue, nó là một phần trong số các tool hacking của cơ qua an ninh Mỹ NSA đã bị lộ ra ngoài vào khoảng tháng trước bởi một nhóm hacker tự gọi mình là “The Shadow Brokers”.
Ở những bước kế tiếp, ransomware chuẩn bị một loạt thứ cho việc vận hành của mình, bao gồm tạo ra một dịch vụ chạy nền, chuẩn bị file Tor và file ví Bitcoin nhằm phục vụ cho việc giao dịch của nạn nhân với hacker. Nó cũng chuẩn bị một file key mã hóa dạng public key. Key này sẽ khớp với private key mà chỉ có hacker đang nắm giữ, cũng là chìa khóa để giải mã các file bị mã hóa.
Chuẩn bị đâu đó xong xuôi thì nó bắt đầu chạy tiến trình mã hóa hầu hết các file trong hệ thống, chủ yếu là file cá nhân và những file quan trọng với các phần mềm. Ransomware cũng như virus, nó cũng tự cho phép mình chạy lên cùng với Windows và tạo ra các bản backup để lỡ có bị xóa thì vẫn còn anh em song sinh sống dậy.
Hacker cũng không quên tắt các process về cơ sở dữ liệu, cụ thể là SQL Server và MySQL, để những website, phần mềm nào đang kết nối với server sẽ không thể hoạt động được. Cái này chủ yếu ảnh hưởng tới doanh nghiệp nhiều hơn chứ còn máy tính cá nhân thì thường chẳng ai dùng làm database server cả. Bằng cách này hacker có thể gây tác động nhiều hơn tới doanh nghiệp và buộc họ trả tiền sớm hơn với mong muốn các app và hệ thống của mình có thể tiếp tục vận hành.
Ảnh hưởng của ransomware ra sao?
Theo Europol, đây là vụ tấn công với quy mô lớn chưa từng có. Ransomware đã tấn công vào nhiều bệnh viện thuộc hệ thống chăm sức sức khỏe ở Anh và Scotland (NHS), có tới 70.000 thiết bị từ máy tính, máy quét MRI, tủ chứa máy dự trữ và các công cụ đã bị lây nhiễm. Các báo cáo cho rằng trên toàn cầu có hơn 250.000 máy tính nói chung bị nhiễm mã độc. Ngày 12/5, nhiều dịch vụ của NHS đã phải tắt đi các thiết bị không quan trọng.
Nhiều công ty ở Châu Âu và Mỹ cũng bị ảnh hưởng, trong đó có nhiều cái tên lớn như FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan tại Anh đã phải dừng sản xuất sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải đưa ra động thái tương tự. Có khoảng 99 quốc gia bị đánh và vẫn còn đang tiếp tục lây lan nhanh. Tình hình có thể đã tệ hơn nếu kill switch trong WannaCry đời đầu không bị vô tình phát hiện. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị WannaCry lây nhiễm vào.
WannaCry đòi 300$ bitcoin để 1 máy tính được giải mã, tức là các doanh nghiệp sẽ bị thiệt hại khoản tiền này trong trường hợp họ đồng ý chi tiền. Với một doanh nghiệp có khoảng 100 máy tính là đã thấy con số thiệt hại khổng lồ. Ngay cả khi doanh nghiệp không chấp nhận trả tiền thì họ cũng phải dừng sản xuất và mất dữ liệu, những thứ có thể khiến họ thiệt hại hàng triệu USD. Ước tính đến lúc này WannCry đã gây thiệt hại khoảng 200-300 triệu USD rồi và vẫn còn gia tăng từng ngày.
WannaCry 2.0
Ở trên là WannaCry phiên bản đầu tiên, và rất nhanh sau khi nó bị ngăn chặn bằng cơ chế kill switch, các nhà phát triển của nó đã tạo ra phiên bản thứ 2. Con WCry 2.0 này đã đổi tên miền kill switch hoặc thậm chí không còn kill switch nữa, hay ít nhất là các nhà nghiên cứu bảo mật chưa phát hiện ra, nên về lý thuyết là chưa có cách ngăn chặn sự bùng phát kinh khủng của nó. Nhiều khả năng ngay cả hacker sinh ra nó cũng không thể nào chặn đứng sự lây lan của con malware này, nâng sự nguy hiểm của vụ tấn công lên rất nhiều lần. Giống như T-Virus trong phim Resident Evil vậy.
Đợt tấn công thứ hai này còn dữ dội hơn khi đã xuất hiện các công cụ cho phép tùy biến ransomware theo ý thích của hacker mà không tốn nhiều thời gian. Công cụ này tuy không chỉnh sửa cách tấn công của WCry nhưng nó góp phần giúp gia tăng số lượng WCry bị tung ra, và tất nhiên là cũng gây ảnh hưởng nhiều hơn đến người dùng cá nhân và các doanh nghiệp. Ai mà biết được trong nay mai sẽ có thêm công cụ giúp tùy biến cách lây nhiễm và mã hóa của WCry thì sao? Khi đó việc tiêu diệt con ransomware này sẽ cực kì khó khăn.
Cái nguy hiểm nhất ở đây không nằm ở vấn đề kĩ thuật, mà ở con người. Các hacker khác khi thấy hacker tạo ra WCry đã thành công thì họ cũng bắt chước làm theo. Có thể vì mục đích khẳng định danh tiếng, có thể là để thu tiền về xài, nhưng dù gì đi nữa thì số lượng hacker bắt chước làm theo mới đáng lo ngại vì họ đã biết được cách để ăn tiền và họ sẽ đưa cuộc chiến lên một tầm cao mới. Sẽ rất khó để dự đoán những cách tấn công mới của các biến thể WCry 2.0. Chúng ta hoàn toàn bị động trong khâu này và chỉ tới khi ransomware đã bị phát tán thì chúng ta mới có thể nghiên cứu cách tấn công của nó.
Làm sao để phòng ngừa?
Anh em nào lỡ dính thì chịu khó chờ hoặc khôi phục lại bản backup gần nhất chứ hiện tại chưa có thuốc trị WannaCry. Còn anh em nào chưa mắc thì hãy làm những bước sau:
Cập nhật hệ điều hành lên bản mới nhất, chạy đầy đủ tất cả bản vá Windows Update. Nếu đang dùng macOS cũng nên cẩn trọng, rất cẩn trọng
Cài đặt và Sau đó bạn sẽ bật tính năng bảo vệ máy tính chống lại virus, các phần mềm độc hại và phát hiện các liên kết nguy hiểm từ internet.
Không truy cập hoặc tải các link và file mà Trend Micro báo là nguy hiểm.
>> Cách bật tính năng phòng chống ransomware với phần mềm Trend Micro
