Máy tính của bạn có đang đứng trước nguy cơ bị tấn công bởi mã độc tống tiền WannaCry? Hãy cùng tìm hiểu toàn bộ thông tin về cuộc tấn công này một trong những chiến dịch ransomware quy mô toàn cầu nghiêm trọng nhất từng được ghi nhận.
Trong bài viết này, bạn sẽ được giải đáp:
- Ransomware WannaCry là gì ?
- Cách thức hoạt động của mã độc WannaCry
- Tác động thực tế của cuộc tấn công WannaCry
- Các biện pháp bảo vệ máy tính khỏi ransomware
Giải mã WannaCry ransomware
WannaCry là một dạng mã độc tống tiền mã hóa dữ liệu (crypto-ransomware) — một loại phần mềm độc hại được tin tặc sử dụng nhằm mục đích tống tiền người dùng.
Ransomware thường hoạt động theo hai cơ chế chính:
- Mã hóa dữ liệu trên hệ thống khiến nạn nhân không thể truy cập các tệp quan trọng (gọi là crypto ransomware).
- Khóa hoàn toàn quyền truy cập hệ thống của nạn nhân (gọi là locker ransomware).
WannaCry thuộc nhóm crypto-ransomware, chuyên mã hóa dữ liệu và đòi tiền chuộc bằng Bitcoin để khôi phục quyền truy cập.
Đối tượng tấn công chủ yếu của WannaCry là các máy tính sử dụng hệ điều hành Microsoft Windows chưa được cập nhật bản vá bảo mật. Sau khi lây nhiễm, nó mã hóa toàn bộ dữ liệu và yêu cầu nạn nhân chuyển tiền chuộc qua ví Bitcoin để nhận được công cụ giải mã.
Chiến dịch tấn công toàn cầu của WannaCry
Cuộc tấn công mã độc WannaCry diễn ra vào tháng 5 năm 2017 và nhanh chóng lan rộng toàn cầu, gây hậu quả nghiêm trọng trên quy mô chưa từng có.
Lỗ hổng bảo mật trong hệ điều hành Windows đã bị khai thác để triển khai cuộc tấn công. Mã độc này mã hóa dữ liệu của người dùng và yêu cầu thanh toán bằng Bitcoin để chuộc lại.
Phần lớn thiệt hại đến từ việc các tổ chức và cá nhân không thường xuyên cập nhật hệ điều hành, đặc biệt là các phiên bản Windows đã lỗi thời, không còn được hỗ trợ bảo mật.
Cơ chế hoạt động của cuộc tấn công WannaCry
Nhóm tin tặc đứng sau WannaCry đã khai thác một lỗ hổng nghiêm trọng trong giao thức SMBv1 của Windows, được gọi là EternalBlue — một công cụ tấn công được cho là phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA).
Lỗ hổng này bị rò rỉ ra ngoài bởi nhóm hacker Shadow Brokers trước khi WannaCry bùng phát. Mặc dù Microsoft đã phát hành bản vá bảo mật (MS17-010) từ tháng 3/2017, rất nhiều hệ thống chưa được cập nhật kịp thời, tạo điều kiện cho cuộc tấn công diễn ra vào tháng 5/2017.
Ngoài ra, WannaCry còn cài đặt backdoor DoublePulsar trên hệ thống bị lây nhiễm, cho phép thực thi mã độc và tự động phát tán sang các máy khác trong cùng mạng nội bộ.
Ban đầu, người ta nghi ngờ cuộc tấn công được phát tán qua email lừa đảo (phishing), nhưng thực tế, EternalBlue chính là vũ khí chính giúp mã độc tự động lây lan với tốc độ chóng mặt.
Chuyện gì xảy ra nếu không trả tiền chuộc?
WannaCry ban đầu yêu cầu khoản tiền chuộc là 300 USD bằng Bitcoin, sau đó tăng lên 600 USD nếu không thanh toán trong vòng 3 ngày. Nạn nhân bị cảnh báo rằng dữ liệu sẽ bị xóa vĩnh viễn nếu không trả tiền đúng thời hạn.
Tuy nhiên, lời khuyên của các chuyên gia an ninh mạng luôn là không nên trả tiền chuộc. Việc trả tiền không chỉ không đảm bảo khôi phục dữ liệu, mà còn tiếp tay cho mô hình kinh doanh tội phạm mạng, khiến các chiến dịch ransomware tiếp tục bùng phát.
Trên thực tế, trong cuộc tấn công WannaCry, mã nguồn của ransomware có lỗ hổng khiến hacker không thể xác định được người đã thanh toán, dẫn đến việc nhiều nạn nhân vẫn không lấy lại được dữ liệu dù đã trả tiền.
Một số công ty an ninh mạng như F-Secure cho biết có nạn nhân khôi phục được dữ liệu, nhưng các chuyên gia khác thì khẳng định gần như không ai thành công. Đây là minh chứng rõ ràng cho việc trả tiền không phải là giải pháp an toàn.
Tác động của WannaCry trên toàn cầu
WannaCry đã tấn công khoảng 230.000 máy tính tại hơn 150 quốc gia.
Một trong những nạn nhân đầu tiên là tập đoàn viễn thông Telefónica của Tây Ban Nha. Ngày 12/5/2017, hệ thống y tế công cộng của Anh (NHS) cũng bị ảnh hưởng nghiêm trọng, với một phần ba bệnh viện bị gián đoạn hoạt động. Khoảng 19.000 cuộc hẹn y tế bị hủy và xe cứu thương bị chuyển hướng, gây ra nguy cơ khôn lường đối với tính mạng người bệnh. Tổng thiệt hại cho NHS được ước tính lên đến 92 triệu bảng Anh.
Trên toàn cầu, thiệt hại kinh tế từ cuộc tấn công WannaCry được ước tính khoảng 4 tỷ USD.
Biện pháp phòng chống ransomware
-
Cập nhật hệ điều hành và phần mềm thường xuyên
– Luôn đảm bảo hệ thống được cập nhật các bản vá bảo mật mới nhất để vá các lỗ hổng nghiêm trọng như EternalBlue.
-
Không nhấp vào liên kết đáng ngờ
– Tránh truy cập các liên kết từ email hoặc trang web không đáng tin cậy.
-
Không mở tệp đính kèm không xác minh được nguồn gốc
– Đặc biệt cảnh giác với tệp đính kèm yêu cầu bật macro — một trong những phương thức phổ biến để phát tán mã độc.
-
Không tải phần mềm từ các trang web không uy tín
– Chỉ tải từ các nguồn chính thống, có xác minh.
-
Không sử dụng USB không rõ nguồn gốc
– Các thiết bị lưu trữ di động có thể là phương tiện mang mã độc.
-
Sử dụng VPN khi kết nối Wi-Fi công cộng
– Giảm thiểu rủi ro bị nghe lén hoặc xâm nhập từ mạng công cộng.
-
Cài đặt phần mềm bảo mật và giữ nó luôn được cập nhật
– Giải pháp bảo mật toàn diện sẽ giúp phát hiện và ngăn chặn ransomware hiệu quả hơn.
-
Sao lưu dữ liệu định kỳ
– Sử dụng ổ cứng ngoài hoặc dịch vụ lưu trữ đám mây. Sau khi sao lưu, hãy ngắt kết nối thiết bị lưu trữ để tránh bị mã hóa theo.
