NHỮNG ĐIỀU CẦN BIẾT VỀ CUỘC TẤN CÔNG RANSOMWARE - WANNACTY

Điều gì đã xảy ra?

Vào ngày 12/5/2017 rất nhiều tổ chức trên thế giới đã bị tấn công Ransomware được gọi là WannaCry. Một mặt người dùng bị ngăn không cho sử dụng thiết bị của họ và các file tài liệu đã bị tin tặc mã hóa toàn bộ cho tới khi họ chi trả khoản phí 300$ trong Bitcoin để thỏa thuận phục hồi lại.  Khoản mô tả về tiền chuộc do WannaCry cũng có đề cập nếu người bị hại không đủ điều kiện để trả phí, tin tặc sẽ mở lại các file đã mã hóa sau … 6 tháng.

Tại sao điều này có thể xảy ra?

Trung tâm an ninh F-Secure đã cảnh báo rằng các mối đe dọa do tấn công Ransomware đang ngày một gia tăng và tiềm ẩn mối nguy hại lớn tới các công cụ giám sát của chính phủ và tổ chức doanh nghiệp. WannaCry xem ra là sự kết họp tồi tệ nhất của các cảnh báo được đưa ra  trước đó.

Những ai đã là nạn nhân?

Rất nhiều các tổ chức đã bị ảnh hưởng cùng với số lượng đáng kể cơ sở hạ tầng công cộng. Đây là cuộc tấn công diện rộng thực hiện đồng thời trên nhiều quốc gia, theo ghi nhận đã có 60 nước chịu ảnh hưởng, trong đó có Việt Nam. Mã độc đã tấn công cả các bệnh viện, nhà mạng, công ty điện thử và doanh nghiệp khác. Ví dụ Cơ quan y tế quốc gia của Anh là một trong những đơn vị chịu ảnh hưởng lớn nhất trong cuộc tấn công, với rất nhiều bệnh viện bị buộc phải đóng cửa và tạm dừng điều trị.

Theo phân tích từ F-Secure Labs, Nga và Trung Quốc là hai nước chịu ảnh hưởng nặng nề nhất, tiếp theo đó là Pháp, Đài Loan, Mỹ, Ukraine và Hàn Quốc.

Lớn cỡ nào?

Theo ông Mikko Hypponen – Giám đốc Trung tâm nghiên cứu phát triển của F-Secure, đây là cuộc tấn công Ransomware lớn nhất trong lịch sử. Vào sáng thứ 7 vừa qua, ngày cuối cùng của đợt bùng phát chỉ gây ra ảnh hưởng ở mức 25,000 USD.

Sự lây lan của WCry chậm lại do hành động của 1 “Anh hùng tình cờ” đã đăng ký tên miền Killswitch mà anh ấy thấy trong đoạn mã. Tuy nhiên điều đó chưa thể mang tới sự an tâm do mã độc có thể chỉnh sửa và bùng phát trở lại.

Tại sao cuộc tấn công có thể lớn đến vậy?

WannaCry khai thác lỗ hổng trong Server Message Block (SMB) của Microsoft Windows, có thể cho phép bổ sung Code từ xa. Bản vá lỗ hổng này đã được phát hành trong tháng 3 (MS17-010), tuy vậy rất nhiều hệ thống đã không cập nhật kịp thời hoặc sử dụng các hệ điều hành thế hệ cũ như XP và không nhận được sự cập nhật cần thiết. Cũng có rất nhiều các thiết bị đang sử dụng Windows không có bản quyền (đặc biệt là ở Nga và Trung Quốc) làm tăng khả năng lây nhiễm mã độc.

Điều gì có thể ngăn cản cuộc tấn công?

Quy mô của đợt bùng phát đã chỉ ra số lượng thiết bị không thực hiện cập nhật bảo mật. Có thể có 3 nguyên nhân của việc này.

  • Bản vá lỗi đã được ấn hành từ tháng 3, nhưng người dùng không cài đặt vì lý do nào đó
  • Người dùng sử dụng Windows không bản quyền (và cũng không thực hiện update cần thiết)
  • Người dùng sử dụng HĐH Windows XP, hiện đã không còn được hỗ trợ bởi Microsoft

Tại sao đợt tấn công diễn ra quá nhanh?

Nó có diễn biến nhanh bởi lỗ hổng MS17-010 cho phép khai thác sâu vào hệ thống, và điều tự nhiên là tin tặc có thể thâm nhập và kiểm soát toàn bộ thiết bị. WannaCry đã truy cập vào các tính năng cho phép Scan và định vì các Hosts khác sau đó tự nhân rộng chính nó để tiếp tục khai tác lỗ hổng, mọi việc được thực hiện âm thầm và không có bất kỳ sự tương tác cho phép nào từ người dùng. Theo kết quả ban đầu, mã độc bắt đầu xâm nhập qua Email spam và sau đó lan rộng

WannaCry là lỗ hổng hay một loại Trojan?

WannaCry không phải một Internet Worm (Virus internet), nó là một biến thể trojan có khả năng hoạt động như Worm trên internet.

Tại sao cuộc tấn công lại mang tới cảm giác có phần quen thuộc?

“Đây là đợt bùng phát từ quá khứ vì loại Ransomware này không phải điều gì mới” – Tuyên bố bởi Mr.Sean Sullivan, chuyên gia bảo mật từ F-Secure. Vấn đề là từ rất lâu, các tổ chức đã bỏ qua cơ chế tường lửa cơ bản có thể ngăn chặn WannaCry tấn công một cách dễ dàng.

Liệu tôi có được bảo vệ trước mối nguy hại này?

Người dùng luôn được bảo vệ với các sản phẩm phần mềm bảo mật thiết bị cuối của F-Secure với công nghệ bảo mật tiên tiến. Nền tảng DeepGuard cung cấp cơ chế Host-Base có khả năng phân tích thói quen của người dùng và đưa ra phương án ngăn chặn Ransomware tương tự như WannaCryu

Các tổ chức cần chắc chắn rằng họ đã cấu hình Firewall và cập nhật phiên bản mới nhất của Windows. Tính năng f-Secure Software Updater giúp doanh nghiệp luôn giữ cập nhật đối với tất cả ứng dụng của bên thứ ba.

Liệu có thể phục hồi các file đã bị mã hóa?

Cơ chế mã hóa không có khả năng tự khôi phục ở thời điểm hiện tại, các file đã bị mã hóa trong cuộc tấn công chỉ có thể phục hồi nếu có bản Backup trước đó.

Cuộc tấn công tới từ đâu?

Đó là Crimeware – Phần mềm độc hại được cài đặt bí mật trên máy tính giống như các Ransomware khác, lan truyền ban đầu dưới dạng một Công cụ - Tool cung cấp bởi NSA, đính kèm trong phần mềm “The Shadow Brokers” được cho là xuất phát từ Nga vào tháng 4 năm nay

Đây có phải cuộc tấn công mục tiêu được chỉ định?

Không, các cuộc tấn công Ransomware thường không chỉ định mục tiêu.

Làm sao ta có thể tự bảo vệ trước WannaCry?

Phần mềm bảo mật F-Secure là giải pháp hữu hiệu ngăn chặn WannaCry và các Ransomware tương tự. Chúng tôi đã phát hiện ra Ransomware này từ khi nó xuất hiện, điều đó có nghĩa rằng các thiết bị sử dụng F-Secure an toàn trước WannaCry.

Sản phẩm F-Secure cung cấp cơ chế chống lại WannaCry theo ba lớp bảo mật, đảm bảo đợt tấn công sẽ bị ngăn chặn trước khi có thể thực hiện.

Tính năng kiểm soát cập nhật các bản vá lỗi, giúp loại bỏ lỗ hổng WannaCry có thể sử dụng

F-Secure DeepGuard cung cấp cơ chế Host-base chủ động phân tích hành vi người dùng và đưa ra các biện pháp phòng vệ chủ động.

F-Secure Firewall ngăn chặn WannaCry ngăn chặn khả năng lây lan và mã hóa các file.

 

Tôi là khách hàng sử dụng F-Secure, tôi nên làm gì?

  • Đảm bảo rằng tính năng DeepGuard và Real-Time Protection đang được bật
  • Cập nhật các bản Patch của hệ điều hành bởi tính năng Software Update có sẵn trong F-Secure
  • Cấu hình tường lửa
  • Sử dụng network và tường lửa trên máy chủ đề chặn lưu lượng TCP/445 từ hệ thống không tin cây
  • Nếu có thể, chặn 445 inbound tới tất cả Internet-facing tại hệ thống windows
  • Một cách khác là bạn có thể thiết lập chính sách của F-Secure Firewall lên mức bảo mật cao nhất, với các quy tắc ngăn ngừa tấn công cụ thể.