Truyền thuyết Bắc Âu cổ đại kể về một con rắn khổng lồ tên là Jörmungandr, lớn đến mức bao quanh thế giới và giữ chiếc đuôi của chính mình trong răng.
Những truyền thuyết tuyệt vời như thế này thường chỉ được nói đến trong thần thoại, nhưng vào thứ Sáu tuần trước, chúng ta đã chứng kiến sự ra đời của một “con rắn thế giới” kỹ thuật số ngoài đời thực, một loài sâu lây lan đến mức nó đã bao phủ toàn cầu, lây nhiễm các dịch vụ như National của Vương quốc Anh. Dịch vụ Y tế và các công ty lớn ở các nơi khác trên thế giới như Telefónica ở Tây Ban Nha.
Mặc dù các chuyên gia vẫn đang cố gắng tìm ra cách loài sâu này tiếp tục lây lan và cách chống lại mối đe dọa, nhưng chúng tôi biết rõ điều gì đã xảy ra và cách bạn có thể thực hiện để ngăn chặn tác hại cho hệ thống của mình.
Chuyện gì đã xảy ra?
Vào ngày 12 tháng 5 năm 2017, một cuộc tấn công mạng lớn đã xảy ra bởi một phần mềm ransomware không xác định (đọc thêm về ransomware tại đây). Cuối cùng được đặt tên là WannaCry, nó đã tìm cách lây nhiễm 230.000 hệ thống chưa từng có trải khắp 150 quốc gia bằng cách sử dụng kết hợp lừa đảo và khai thác các hệ thống chưa được vá thông qua các khối tin nhắn máy chủ cục bộ (SMB).
Phần mềm tống tiền sẽ khóa bạn khỏi các tệp của bạn và hiển thị cho bạn một màn hình (hiển thị bên dưới) yêu cầu 300 đô la Bitcoin trong vòng ba ngày để lấy lại quyền truy cập vào chúng, nếu không giá sẽ tăng gấp đôi.
Mặc dù đây là cách ransomware thường hoạt động, nhưng có một chút trở ngại khiến nó lây lan nhanh hơn. WannaCry đã lợi dụng một lỗ hổng trong SMB (chịu trách nhiệm chia sẻ tệp và máy in) cho phép nó lây lan sang các máy tính khác trong cùng một mạng con. Nó chỉ cần một sự lây nhiễm của một máy tính duy nhất để phá hủy toàn bộ mạng. Về cơ bản, đây là điều đã khiến sự lây nhiễm trở thành cơn ác mộng đối với NHS và các tổ chức lớn khác.
Có lẽ một điều đáng chú ý nữa cần đề cập ở đây là việc khai thác SMB được lấy từ vụ rò rỉ bộ công cụ hack NSA hơn một tháng trước. Chúng tôi đã báo cáo về một vụ rò rỉ tương tự đối với các tệp Vault 7 của CIA, tệp này cũng chứa nhiều cách khai thác đang hoạt động có thể bị tin tặc sử dụng vào bất kỳ thời điểm nào để viết phần mềm độc hại tương tự.
Công tắc tiêu diệt
Một số nhà nghiên cứu bảo mật không xác định có biệt danh “MalwareTech” đã đăng ký một miền được tìm thấy trong mã của WannaCry, điều này đã ngăn chặn sự lây lan của phần mềm này. Bạn thấy đấy, mỗi khi phần mềm độc hại chạy trên máy tính, nó sẽ kiểm tra xem miền có tồn tại hay không (đó là iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com , nhân tiện). Nếu nó được đăng ký, phần mềm độc hại sẽ có thể kết nối với nó và khi làm điều đó sẽ ngay lập tức ngừng lây lan. Có vẻ như hacker đã viết nó muốn kiểm tra vùng biển và có một kế hoạch dự phòng trong trường hợp mọi thứ diễn ra hoàn toàn không ổn. Khoảnh khắc tình cờ này đã ngăn chặn ransomware tàn phá nhiều hơn… ít nhất là vào lúc này.
Đây là sự thật nghiệt ngã:Không có kết thúc có hậu ở đây. Giải mã mã và bạn có thể dễ dàng tìm thấy các phần mà ứng dụng gọi các hàm WinAPI “InternetOpenURLA ()” hoặc “InternetOpenA ().” Cuối cùng, bạn sẽ có thể chỉnh sửa đoạn mã cố gắng kết nối với miền kill switch. Việc này không yêu cầu một lập trình viên có kỹ năng cực cao và nếu một số hacker có ý tưởng sáng tạo là tạo ra một phiên bản mới của WannaCry với công tắc tiêu diệt được chỉnh sửa trước khi mọi người vá hệ thống của họ, thì sự lây lan sẽ tiếp tục. Những tin tặc táo bạo hơn thậm chí sẽ chỉnh sửa tài khoản Bitcoin mà các khoản thanh toán phải chuyển đến và kiếm lợi nhuận kếch xù.
Các phiên bản của WannaCry với các miền công tắc tiêu diệt khác nhau đã được phát hiện trong tự nhiên và chúng tôi vẫn chưa xác nhận liệu phiên bản không có công tắc tiêu diệt có xuất hiện hay không.
Bạn có thể làm gì?
Trước những gì đã xảy ra, Microsoft đã nhanh chóng phản ứng bằng các bản vá, thậm chí bao gồm các phiên bản hệ điều hành không được hỗ trợ như Windows XP. Miễn là bạn luôn cập nhật hệ thống của mình, bạn sẽ không gặp phải tình trạng nhiễm trùng cấp SMB. Tuy nhiên, bạn vẫn có thể bị lây nhiễm nếu bạn mở một email lừa đảo. Hãy nhớ không bao giờ mở các tệp thực thi được gửi dưới dạng tệp đính kèm trong email. Miễn là bạn thực hiện một chút thận trọng, bạn sẽ có thể sống sót sau cuộc tấn công dữ dội.
Đối với các tổ chức chính phủ đã bị tấn công, điều này sẽ không xảy ra nếu họ chỉ tạo lỗ hổng cho hệ thống quan trọng của họ.
Chúng ta có nên mong đợi các cuộc tấn công táo bạo hơn sau khi tin tặc thực hiện các khai thác được tìm thấy trong các vụ rò rỉ bảo mật gần đây của Hoa Kỳ? Hãy cho chúng tôi biết suy nghĩ của bạn trong một bình luận!