Mục lục bài viết
WannaCry là một mã độc tống tiền gây thiệt hại lớn nhất trong lịch sử, nó tấn công bằng cách khai thác lỗ hổng (đã được vá) của Microsoft Windows được tiết lộ bởi nhóm Shadowbrokers vào ngày 14/3.
[irp]
Sự tiến hóa của ransomware WannaCry
Cuối tuần qua, đã có hai biến thể đáng chú ý xuất hiện, tuy vậy Kaspersky Lab cho biết họ không tin rằng chúng được tạo ra bởi các tác giả ban đầu, có thể chúng đã được làm từ những người muốn khai thác các cuộc tấn công cho riêng họ.
Biến thể đầu tiên bắt đầu lan rộng vào sáng Chủ nhật và được hiệu chỉnh để kết nối với một tên miền khác. Kaspersky Lab đã ghi nhận được ba nạn nhân của biến thể này tại Nga và Brazil.
Biến thể thứ hai xuất hiện trong suốt tuần qua dường như đã được điều chỉnh để loại bỏ các chức năng vô hiệu hóa. Biến thể này không lan rộng, có thể do thực tế nó có lỗi.
Số lượng lây nhiễm đến nay
Các phân tích sâu hơn về bản ghi cho thấy ransomware WannaCry có thể đã bắt đầu lan rộng vào hôm thứ Năm, ngày 11/5.
Rất khó để ước tính tổng số ca bị lây nhiễm. Theo phản ánh từ khách hàng của Kaspersky Lab, hãng này ghi nhận đã có hơn 45.000 người dùng bị tấn công, tuy nhiên đây chỉ là một phần của tổng số các cuộc tấn công.
Con số này chưa bao gồm các trường hợp lây nhiễm trong các mạng doanh nghiệp có máy chủ Proxy kết nối với internet, có nghĩa là số nạn nhân thực tế hoàn toàn có thể cao hơn.
Số lượng các nỗ lực tấn công của WannaCry được phát hiện bởi Kaspersky Lab vào thứ Hai, 15/5 đã giảm xuống 6 lần so với cùng thời điểm thứ 6 ngày 12/5. Điều này cho thấy sự lây nhiễm có thể đã được kiểm soát.
Mối liên hệ giữa WannaCry và Lazarus Group
Vào thứ Hai ngày 15/5, một nhà nghiên cứu bảo mật từ Google đã đăng tải lên Twitter thông tin chỉ ra khả năng có một sự liên kết giữa các cuộc tấn công đòi tiền chuộc WannaCry (vào hàng ngàn các tổ chức và người dùng cá nhân trên toàn thế giới) và mã độc có liên quan đến nhóm Lazarus khét tiếng.
Nhóm Lazarus chịu trách nhiệm cho hàng loạt các cuộc tấn công phá hoại vào các tổ chức chính phủ và các tổ chức tài chính.
Các hoạt động lớn nhất liên quan đến Lazarus gồm: các vụ tấn công vào hãng Sony Pictures năm 2014, Ngân hàng Trung ương Bangladesh năm 2016 và hàng loạt các vụ tấn công tương tự vẫn tiếp tục vào năm 2017.
Nhà nghiên cứu của Google đã chỉ ra một mẫu mã độc WannaCry xuất hiện vào tháng 2/2017 – 2 tháng trước khi xảy ra hàng loạt vụ tấn công hàng loạt gần đây. Kaspersky Lab đã phân tích thông tin này và đã xác nhận sự giống nhau rõ ràng giữa mẫu mã độc được đưa ra bởi Google và mãtrong các cuộc tấn công năm 2015 của nhóm Lazarus.
Mặc dù sự tương đồng này không hẳn là chứng cứ cho sự kết nối giữa WannaCry và nhóm Lazarus, nhưng nó cũng có thể dẫn đến những bằng chứng mới mà có thể làm sáng tỏ nguồn gốc của WannaCry mà hiện nay vẫn đang là một bí ẩn.
Khuyến cáo của Kaspersky để giảm rủi ro bị lây nhiễm
1. Cài đặt bản vá chính thức từ Microsoft để ngăn chặn lỗ hổng bị sử dụng để tấn công (Đã có các bản vá có sẵn cho Windows XP, Windows 8, and Windows Server 2003 Windows XP, Windows 8, và Windows Server 2003)
2. Đảm bảo rằng các giải pháp bảo mật được bật trên tất cả các nút của mạng.
3. Đối với người dùng không sử dụng giải pháp của Kaspersky Lab, hãng đề nghị cài đặt công cụ miễn phí Kaspersky Anti-Ransomware Tool cho doanh nghiệp (KART).
4. Nếu sử dụng các giải pháp của Kaspersky, đảm bảo rằng nó có bao gồm thành phần System Watcher, một tính năng chủ động phát hiện hành vi, và đừng quên bật tính năng này.
5. Chạy tính năng Critical Area Scan trong giải pháp của Kaspersky Lab để phát hiện ngay các khả năng lây nhiễm một cách nhanh nhất (Nếu không bị tắt nó sẽ tự động phát hiện trong vòng 24h)
6. Khởi động lại hệ thống sau khi phát hiện MEM: Trojan.Win64.EquationDrug.gen
7. Sử dụng dịch vụ báo cáo các mối đe dọa cụ thể cho khách hàng để được thông báo về các cuộc tấn công có thể xảy ra
8. WannaCry cũng nhắm vào các hệ thống nhúng. Kaspersky khuyên người dùng nên đảm bảo các giải pháp bảo mật dành riêng cho các hệ thống nhúng được cài đặt và có cả tính năng bảo vệ chống lại phần mềm độc hại và chức năng Default Deny.