​Mã độc tống tiền bùng phát đầu tuần sau

Hệ thống mạng của nhiều bệnh viện tại Anh bị sập hoàn toàn trước vụ tấn công ngày 12-5 - Ảnh: AFP

* Doanh nghiệp, tổ chức tại VN cần chú ý: Mã độc có thể bùng phát đầu tuần sau

Nga, Ukraine và vùng lãnh thổ Đài Loan (Trung Quốc) trở thành mục tiêu hàng đầu, hệ thống y tế của Anh điêu đứng... chỉ là những thông tin và thiệt hại ban đầu trong vụ tấn công mạng quy mô chưa từng có xảy ra tối 12-5 (giờ VN).

Trong khi danh tính những kẻ tấn công chưa được xác định, các nhà nghiên cứu bảo mật đã nhanh chóng chỉ ra mã độc được sử dụng ít nhiều có dính dáng tới Cơ quan An ninh quốc gia Mỹ (NSA) và gã khổng lồ trong ngành phần mềm Microsoft.

Việt Nam thuộc Top 20... nạn nhân

Theo Reuters, chiêu thức tấn công của bọn tin tặc lần này khá đơn giản. Chúng lừa nạn nhân mở các tệp đính kèm có chứa sẵn mã độc tống tiền (ransomware) dưới dạng hóa đơn, thư giới thiệu việc làm, các cảnh báo bảo mật hay những tệp tin “có vẻ hợp pháp” khác.

Những ransomware này sau khi xâm nhập máy vi tính của nạn nhân sẽ chiếm quyền truy cập, mã hóa các dữ liệu trên máy tính rồi “tống tiền” nạn nhân 300 - 600 USD để lấy lại tài liệu.

Nhiều người đã chấp nhận trả tiền cho bọn tin tặc để lấy lại quyền truy cập, có trường hợp sử dụng tiền ảo Bitcoin.

Ông Vikram Thakur, trưởng bộ phận nghiên cứu Công ty phần mềm an ninh Symantec, nhận định với Reuters rằng có rất ít công ty tại Mỹ bị ảnh hưởng vì mục tiêu chính của bọn tin tặc là các nước châu Âu.

Tại châu Á, ngày 13-5 nhiều quốc gia thông báo không có đợt tấn công diện rộng nào, song cho biết đang rà soát và kiểm tra toàn diện quy mô tấn công lẫn mức độ thiệt hại.

Chiều 13-5, trao đổi với Tuổi Trẻ, đại diện Hãng bảo mật Kaspersky Lab cho biết họ đã phát hiện và ngăn chặn thành công một số lượng lớn các cuộc tấn công từ mã độc tống tiền và chúng được đặt thành những cái tên như: Trojan-Ransom.Win32.Gen.djd, Trojan-Ransom.Win32.Scatter.tr, Trojan-Ransom.Win32.Wanna.b, Trojan-Ransom.Win32.Wanna.c, Trojan-Ransom.Win32.Wanna.d...

Đặc biệt, Việt Nam nằm trong top 20 quốc gia, vùng lãnh thổ bị ảnh hưởng nhiều nhất bên cạnh Nga, Ukraine, Ấn Độ, Đài Loan, Kazakhstan, Luxembourg, Trung Quốc, Romania... Hiện tại, Kaspersky Lab đã ghi nhận hơn 45.000 cuộc tấn công của công cụ ransomware WannaCry tại 74 quốc gia trên thế giới, chủ yếu ở Nga. Số lượng thực tế có thể cao hơn.

Cũng theo Kaspersky, những người thiết kế WannaCry đã chuẩn bị sẵn phần “hỏi - đáp” bằng các ngôn ngữ khác nhau bao gồm: tiếng Việt, Trung Quốc, Đan Mạch, Hà Lan, Anh, Philippines, Pháp, Nhật... với những câu hỏi dạng như: Tôi có thể phục hồi các tập tin của mình không? Tôi trả tiền như thế nào? Làm sao để liên hệ?... để trục lợi những nạn nhân của chiến dịch tấn công này.

Màn hình thông báo tại một nhà ga xe lửa ở chemnitz (Đức) bị tin tặc tấn công - Ảnh: AFP

NSA biết nhưng không thèm báo?

Đại diện Kaspersky cũng cho biết họ đã cập nhật dữ liệu về các biến thể của WannaCry vào thành phần giám sát hệ thống (System Watcher) trong giải pháp Kaspersky Internet Security và Kaspersky Security for Business, giúp tạo ra lá chắn then chốt bảo vệ dữ liệu của người dùng trước sự tấn công của WannaCry hay bất kỳ phần mềm tống tiền nào.

Thành phần System Watcher có khả năng phục hồi trạng thái ban đầu những thay đổi được thực hiện bởi phần mềm tống tiền trong trường hợp một mẫu độc hại đã vượt qua các lớp phòng thủ khác.

Bên cạnh đó, các chuyên gia của Kaspersky Lab hiện đang tiếp tục làm việc về khả năng tạo ra một công cụ giải mã để giúp đỡ các nạn nhân.

“Chúng tôi sẽ cập nhật khi công cụ này sẵn sàng, hoặc cộng đồng có thể theo dõi tại website của tổ chức phi lợi nhuận quốc tế về phòng chống mã độc tống tiền (www.nomoreransom.org) để tìm kiếm công cụ giải mã phù hợp” - đại diện Kaspersky trao đổi với Tuổi Trẻ.

Theo các chuyên gia và công ty bảo mật tư nhân, lần này bọn tin tặc sử dụng một đoạn mã có tên “Eternal Blue” (tạm dịch: Màu xanh bất diệt), do một nhóm có tên Shadow Brokers đánh cắp và tung lên mạng hồi tháng trước, để phát triển mã độc mới thành một con sâu máy tính có khả năng tự lây lan và phát tán nguy hiểm hơn trước.

Nhóm Shadow Brokers khẳng định “Màu xanh bất diệt” là một trong những công cụ chuyên dùng để tấn công mạng do NSA phát triển.

“Đây là vụ tấn công bằng mã độc ransomware lớn nhất ở quy mô toàn cầu mà cộng đồng mạng thế giới chưa từng được chứng kiến” - chuyên gia Rich Barger thuộc Công ty bảo mật Splunk nhận định với Reuters.

Các bộ lọc thư rác của Mỹ đã xác định được loại Ransomware mới và gắn mác chúng là nguy hiểm, theo chuyên gia Thakur.

NSA cũng lập tức lên tiếng, xác nhận đã biết đến sự tồn tại của loại ransomware mới cũng như vụ tấn công mạng nhắm vào châu Âu, khẳng định sẵn sàng chia sẻ thông tin, hỗ trợ kỹ thuật cho các đối tác trong và ngoài nước.

Phía Microsoft cũng ngay lập tức đối phó, cập nhật tính năng phát hiện và bảo vệ máy tính khỏi mã độc mới ngay trong ngày 12-5 (giờ Mỹ).

Trước đó hồi tháng 3, tập đoàn này đã cho vá lỗ hổng trên hệ điều hành bảo vệ khách hàng khỏi mã độc “Màu xanh bất diệt”.

Mặc dù Mỹ không phải là mục tiêu hàng đầu trong vụ tấn công mạng lần này song theo Reuters, nó đã thổi bùng thêm những căng thẳng và tranh cãi về chuyện NSA và các cơ quan an ninh, tình báo khác của Mỹ thường xuyên tìm tòi ra các lỗ hổng bảo mật rồi giấu nhẹm để tấn công và theo dõi, hơn là báo cho các công ty bảo mật phần mềm sửa chữa chúng.