Cuộc khủng hoảng mã độc WannaCry, một năm: Chúng ta đã sẵn sàng cho cuộc tấn công mạng toàn cầu tiếp theo chưa?

Đã một năm trôi qua kể từ cuộc tấn công mạng khổng lồ của virus ransomware WannaCry gây ra sự tàn phá trên toàn thế giới, ảnh hưởng đến hơn 230.000 máy tính.

Mã hóa phần mềm độc hại mạnh đang lây lan nhanh chóng vì nhóm đứng sau nó đã kết hợp phần mềm độc hại thông thường với EternalBlue, một công cụ hack NSA bị rò rỉ cho phép WannaCry sử dụng loại sâu này như một cơ hội tự lây lan trên các hệ thống Windows dễ bị tấn công.

Cuộc khủng hoảng mã độc WannaCry

Mặc dù có một số suy đoán ban đầu rằng WannaCry đã được phát tán trong một chiến dịch spam email, nhưng thực tế ransomware không yêu cầu bất kỳ sự tương tác nào của người dùng. Là sự kết hợp giữa EternalBlue và một chiến công bị rò rỉ khác dưới dạng DoublePulsar, con sâu này đã tìm kiếm các cổng SMB của chính phủ dễ bị tấn công mà nó có thể giao tiếp.

wannacry-talos.jpg

Sau khi được phát hiện, rò rỉ SMB đã được khai thác để không chỉ triển khai WannaCry trên hệ thống cụ thể đó mà còn lây lan sang tất cả các máy dễ bị tấn công khác trên mạng được kết nối. Trên thực tế, ngay cả một cổng SMB mở, dễ bị tấn công cũng có thể khiến toàn bộ mạng bị nhiễm vi rút ransomware.

Nhà mạng di động Tây Ban Nha Telefonica là một trong những tổ chức lớn đầu tiên báo cáo sự cố do WannaCry gây ra, trong khi vào chiều ngày 12 tháng 5, NHS của Vương quốc Anh đã báo cáo sự cố với hệ thống của các bệnh viện và hoạt động y tế trên toàn quốc, buộc phải hủy bỏ. hàng ngàn cuộc hẹn và xe cấp cứu được chuyển hướng. Điều này dẫn đến cuộc họp đầu tiên của ủy ban khẩn cấp của chính phủ Anh COBRA do cuộc tấn công mạng.

Hãng xe Pháp Renault và công ty đường sắt Đức Deutsche Bahn là những nạn nhân nổi tiếng khác ở châu Âu, trong khi các bộ và công ty của chính phủ Nga cũng bị ảnh hưởng, với FedEx là một nạn nhân lớn khác.

Thông báo đòi tiền chuộc nói rằng các tệp của họ đã được mã hóa và tài liệu, ảnh, video và cơ sở dữ liệu của họ “không còn khả dụng” và “không ai có thể khôi phục tệp của bạn mà không có dịch vụ giải mã của chúng tôi.”

Những kẻ tấn công yêu cầu gửi $ 300 bitcoin đến một địa chỉ cụ thể và đe dọa sẽ tăng gấp đôi số tiền chuộc nếu nó không được thanh toán trong vòng ba ngày. Nếu nạn nhân không trả tiền trong vòng một tuần, họ sẽ bị đe dọa xóa vĩnh viễn các tập tin của họ.

Các nhà nghiên cứu an ninh mạng luôn cảnh báo người dùng không nên trả tiền chuộc cho bọn tội phạm và khi nói đến WannaCry, lời khuyên đó cũng không khác gì – đặc biệt là vì các nhà nghiên cứu phát hiện ra rằng ngay cả khi nạn nhân trả tiền, việc mã hóa cẩu thả cho ransomware có nghĩa là anh ta không thể liên kết các khoản thanh toán với nạn nhân cụ thể. vì vậy đừng gửi khóa giải mã. Có nghĩa là, nếu khóa giải mã hoạt động với tất cả mọi người, các nhà nghiên cứu kết luận rằng không.

Thêm vào đó, trong khi nhiều âm mưu ransomware tự hào về việc cung cấp “hỗ trợ khách hàng” để “giúp” nạn nhân trong quá trình thanh toán, thì WannaCry lại không đưa ra điều này.

Cuối cùng, chỉ có 338 nạn nhân trả tiền đòi tiền chuộc, với số tiền vẫn còn nguyên trong ba tháng sau vụ tấn công. Tuy nhiên, những kẻ đứng sau vụ tấn công để rút tiền vào tháng 8 – kiếm được khoảng 140.000 đô la.

Khi phần mềm độc hại gia tăng trong ổ cứng, các nhà nghiên cứu an ninh mạng trên khắp thế giới đã nhanh chóng cố gắng tìm hiểu kỹ những gì đang xảy ra.

Trong số đó có Darien Hass, kỹ sư nghiên cứu bảo mật cấp cao tại Proofpoint.

Huss được giao nhiệm vụ cố gắng vẽ một kỹ sư để lấy mẫu mã – trong khi anh ta đang ở nhà cha mẹ mình vào Ngày của Mẹ.

“Tất cả anh em họ của tôi đã chạy xung quanh khi tôi ngồi vào bàn ăn của bà tôi,” anh nói với DNet. Anh nhanh chóng đưa ra một phát hiện quan trọng.

“Công tắc tiêu diệt nằm ở những dòng đầu tiên của mã, vì vậy tôi nhận thấy nó ngay lập tức và bắt đầu chơi xung quanh – nếu miền này được đăng ký, nó có ngừng hoạt động không?” Anh ta nói.

Indiana Huss đã chia sẻ phát hiện của mình với Marcus Hutchins – AKA MalwareTech – nhà nghiên cứu an ninh mạng người Anh, người đã chớp lấy cơ hội và đăng ký một miền chuyển đổi tiêu diệt chưa đăng ký để chuyển hướng các yêu cầu WannaCry đến máy chủ phễu.

Điều này có nghĩa là ngay cả khi sự lây nhiễm đã xâm nhập vào máy móc, cuộc tấn công cũng vô ích và không thể thực hiện mã hóa hoặc thực hiện bất kỳ tác vụ nào – công việc nghiên cứu khiến WannaCry trở nên vô dụng.

Cuộc tấn công đã bị dừng lại, nhưng phần lớn thiệt hại đã được thực hiện.

Trung tâm An ninh mạng Quốc gia Vương quốc Anh sau đó đã đặt tên cho đợt bùng phát WannaCry là vấn đề lớn nhất trong năm.

Đến tháng 12, Anh, Mỹ, Canada, Australia, New Zealand và Canada đã kết luận rằng cuộc tấn công là việc của Triều Tiên, mặc dù chính quyền từ chối trách nhiệm.

Tính chất nổi bật của vụ việc có thể đã khiến an ninh mạng – đặc biệt là ransomware – trở thành tâm điểm chú ý của công chúng nói chung.

“Wannacry đã nâng cao nhận thức về hiện tượng ransomware nói chung. Ngành tài chính đã quen với điều này, nhưng các ngành khác ít biết hơn. Vì tất cả sự chú ý mà Wannacry nhận được trong năm qua, điều này đã thay đổi. Mặc dù chúng tôi tiếp tục tin rằng các nỗ lực ngăn chặn vẫn phải tiếp tục ”, một phát ngôn viên của Europol nói với DP.

Nhưng một năm sau, liệu những bài học rút ra có đúng đắn hay không, hay bất chấp sự cường điệu xung quanh vụ tấn công, người ta lại quên mất an toàn một lần nữa?

Hai tháng trước khi bùng phát, Microsoft đã phát hành một bản vá để bảo vệ hệ thống chống lại EternalBlue và các hoạt động khai thác khác do nhóm hack Shadow Brokers phát hành, nhưng rõ ràng là nhiều tổ chức đã không áp dụng nó.

“Đối với các tổ chức, tôi nghĩ rằng nhiều người trong số họ đã học về cách vá lỗi và bảo mật, nhưng vẫn chưa đủ,” Maya Horowitz, quản lý của Nhóm Tình báo Đe dọa tại Check Point, nói với DNet.

“Vẫn còn chỗ để cải thiện khi nói đến các nhiệm vụ ít thách thức hơn về mặt kỹ thuật như quản lý bản vá và khả năng hiển thị các tài sản và cơ sở hạ tầng quan trọng để đảm bảo rằng mọi thứ được bảo vệ, vá và cập nhật bất cứ khi nào có bản vá từ các nhà cung cấp lớn.” Jens Monrad, trưởng nhóm phân tích tình báo của FireEye, nói với DP.

Nếu các tổ chức đã tuân theo lời khuyên an toàn cơ bản và sửa chữa hệ thống của họ vào tháng 4, thì “nhiều sự đánh đổi ban đầu có thể bị hạn chế,” Monrad nói. Nhưng bất chấp ảnh hưởng của WannaCry, anh ấy cũng tin rằng vẫn còn nhiều việc phải làm để củng cố các hệ thống chống lại các cuộc tấn công lớn.

Ông nói: “Chúng tôi vẫn chưa phải là nơi tôi thấy thoải mái khi nói rằng đã có nhiều bài học kinh nghiệm và các công ty đang tuân thủ các quy trình phù hợp.

Ngay sau WannaCry, đã có cơ hội chứng minh rằng các bài học đã được rút ra, khi tháng 6 chứng kiến ​​cuộc tấn công NotPetya sử dụng EternalBlue một lần nữa. Nhiều tổ chức cảm thấy sức mạnh của cuộc tấn công.

More Articles for You

Hướng dẫn tải game need for speed hot pursuit thành công từ lần đầu tiên

Game đua xe không phải quá mới xong việc chọn game chất lượng, đồ họa đẹp kỳ thực không đơn …

Hướng dẫn cách đặt tên có dấu trong FO3 bằng Unikey cực hay

Một trong những tựa game bóng đá hấp dẫn nhất trên thị trường hiện nay chính là Fifa Online 3 …

Chia sẻ kinh nghiệm cách làm nem chua đơn giản nhất, chuẩn vị Thanh Hóa

Từ lâu, nem chua Thanh Hóa đã được xem như một đặc sản nổi tiếng tại vùng đất này. Tại …

Cách giải tỏa căng thẳng thời công nghệ với game đập phá màn hình

Rất nhiều nguồn nghiên cứu cho hay rằng, cách tốt nhất để giúp con người giải tỏa căng thẳng đó …

Quản lý phân vùng hiệu quả với cách sử dụng MiniTool Partition Wizard

MiniTool Partition Wizard là gì? Được biết tới là công cụ có chức năng quản lý phân vùng Windows, phần …

Hướng dẫn hạ cấp Android 7 xuống 6 siêu đơn giản và dễ dàng thực hiện

Với thế giới công nghệ hiện đại như ngày nay, những chiếc máy điện thoại thông minh đang sử dụng …