Hệ thống của Bkav ngày 19/8/2016 đã phát hiện hàng loạt email phát tán có đính kèm mã độc tống tiền Ransomware thông qua file có định dạng *.docm
Mã độc mã hóa dữ liệu để tống tiền người dùng, được gọi chung với thuật ngữ Ransomware đang trở thành “ác mộng” với nhiều người dùng máy tính. Thông tin cảnh báo người dùng về loại mã độc mã hóa dữ liệu tống tiền Ransomware phát tán qua email có file đính kèm định dạng “*.docm” vừa được Công ty Bkav phát ra chiều tối nay, ngày 20/8/2016, trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn.
Email phát tán có đính kèm mã độc
Chuyên gia Bkav cho biết đối với các file mã độc đính kèm có định dạng “*.docm”, khi quan sát bình thường sẽ thấy file đính kèm có định dạng gần giống với các file “Word Document” có phần tên mở rộng là “*.doc” hay “*.docx” thông thường, nhưng thực tế đây là loại file “Word Macro – Enable Document”.
“Các file có loại định dạng này chứa trong nó là các đoạn mã thực thi Macro. Các macro sẽ được thực thi khi file đính kèm được kích hoạt. Trong trường hợp này các macro độc hại thực thi sẽ tiến hành tải và cài đặt mã độc chuyên mã hóa dữ liệu Locky (loại Ransomware từng được các chuyên gia bảo mật cảnh báo hồi tháng 2/2016) vào máy của người dùng để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc”, Bkav cho hay.
Chuyên gia Bkav cũng đưa ra khuyến cáo: “Người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách li an toàn Safe Run”.
Vẫn còn nhiều nguy cơ doanh nghiệp bị tấn công bởi Ransomware
Mã độc mã hóa dữ liệu tống tiền (ransomware) được các chuyên gia bảo mật nhận định là một trong những xu hướng chính của mã độc trong năm nay. Chỉ tính riêng từ đầu năm 2016 đến nay, các doanh nghiệp, tổ chức an ninh mạng đã nhiều lần cảnh báo về sự xuất hiện, phát tán mạnh mẽ của các loại virus mã hóa dữ liệu để tống tiền.
Cụ thể, vào cuối tháng 2/2016, các chuyên gia bảo mật FPT, VNIST đã cảnh báo về loại mã độc mã hóa dữ liệu tống tiền mang tên Locky. Tiếp đó, vào trung tuần tháng 3/2016, Công ty VNIST đã có cảnh báo về sự xuất hiện của loại mã độc mã hóa dữ liệu tống tiền mới rất nguy hiểm có tên CryptoFortress. Mã độc này có nhiều tính năng mới, có thể quét và mã hóa cả những dữ liệu vô tình được chia sẻ qua mạng nội bộ.
Chuyên gia bảo mật VNIST phân tích: “Thông thường khi một mã độc ransomware mã hóa dữ liệu, nó sẽ lấy danh sách các ổ đĩa trong máy tính và mã hóa dữ liệu trên đó. Vì vậy các mạng chia sẻ trong mạng vẫn sẽ an toàn. Tuy nhiên, với mã độc CryptoFortress, khi bị lây nhiễm vào một máy trong mạng nội bộ, nó có thể tiến hành tìm kiếm các thư mục được chia sẻ trong toàn mạng và thực hiện hành vi mã hóa toàn bộ các dữ liệu mà nó tìm thấy. Tính năng mới này của mã độc CryptoFortress thay đổi cách nhìn về các mối đe dọa với quản trị mạng khi duy trì các hệ thống mạng nội bộ doanh nghiệp”.
Cũng trong tháng 3/2016, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam – VNCERT đã có công văn cảnh báo các đơn vị chuyên trách về CNTT của các bộ, ngành; các Sở TT&TT; các nhà cung cấp dịch vụ Internet (ISP) cùng các đơn vị thuộc Bộ TT&TT về hình thức lây nhiễm mới của mã độc mã hóa tài liệu: giả mạo 1 địa chỉ thư điện tử có đuôi“@tencongty.com.vn” để gửi thư có kèm mã độc đến các người dùng trong công ty đó. Để ngăn chặn sự lây lan và giảm thiểu thiệt hại cho người dùng Internet, VNCERT đề nghị các cơ quan, tổ chức chú ý và tăng cường tuyên truyền rộng rãi đến nhân viên, người dùng máy tính để phòng ngừa sự cố có thể xảy ra.
Đáng chú ý, trong tham luận về hiện trạng an toàn thông tin tại Việt Nam, được chia sẻ tại hội thảo chủ đề “An toàn thông tin đối với các hệ thống thông tin quan trọng” diễn ra ngày 19/8 tại Hà Nội, ông Bùi Hoàng Phương, Phó Cục trưởng Cục An toàn thông tin thuộc Bộ TT&TT đã cho biết, một trong những nguy cơ mất an toàn thông tin lớn nhất tại Việt Nam hiện nay chính là nguy cơ về mã độc và các cuộc tấn công có chủ đích APT (Advanced Persistent Threat).
Cũng theo ông Phương, thời gian vừa qua Bộ TT&TT đã phối hợp với Bộ Công an và các đơn vị liên quan thực hiện hoạt động giám sát, hỗ trợ các cơ quan, đơn vị, doanh nghiệp. Trong quá trình đó, Bộ đã phát hiện ra rất nhiều mã độc đặc thù trong các chiến dịch có mục đích nhắm trực tiếp vào các cơ quan, tổ chức nhà nước. Bên cạnh đó, một nguy cơ nữa là số lượng máy tính tại Việt Nam bị lây nhiễm các loại mã độc cũng rất lớn.
Đại diện Cục An toàn thông tin cũng cho hay, trong những năm gần đây, Việt Nam luôn là một trong những nước đứng đầu trên thế giới về tỉ lệ máy tính bị lây nhiễm mã độc. Theo thống kê của Cục An toàn thông tin, tỉ lệ máy tính lây nhiễm mã độc trong năm 2015 của Việt Nam là 66%, trong đó bao gồm cả tỉ lệ máy tính bị lây nhiễm các loại mã độc mã hóa dữ liệu tống tiền Ransomware. Đặc biệt, cơ quan chức năng cũng đã phát hiện trong nhiều trường hợp, chính các file tài liệu công vụ đã được hacker sử dụng để đính kèm mã độc, từ đó lây nhiễm mã độc vào trong hệ thống.
Theo ICTnews