Thông báo đòi tiền chuộc của hacker sau khi đã mã hóa các dữ liệu quan trọng trên máy tính nạn nhân. Ảnh: Imgur

Bất chấp vô số nỗ lực ngăn chặn của các cơ quan chính phủ, tổ chức và chuyên gia an ninh mạng trên toàn thế giới, mã độc tống tiền tấn công đòi tiền chuộc (ransomware) WannaCry vẫn tiếp tục phát tán nhanh chóng trên phạm vi toàn cầu. Cơ quan Cảnh sát Liên minh châu Âu (Europol) ước tính, hiện có hơn 200.000 hệ thống ở 150 quốc gia, bao gồm cả các cơ quan nhà nước và doanh nghiệp lớn đã trở thành nạn nhân của vụ tấn công mạng "quy mô lớn chưa từng thấy" này.

Theo các chuyên gia, virus Wanna Cry đã khai thác một lỗ hổng ở phần mềm Microsoft Windows, khóa tất cả các tệp trên máy tính bị nhiễm và yêu cầu người dùng phải trả một khoản tiền ảo Bitcoin tương đương 300 USD để lấy lại quyền kiểm soát. Kết quả phân tích 3 tài khoản Bitcoin có liên quan đến vụ tấn công hé lộ, tính đến thời điểm hiện tại, các nạn nhân đã trả cho hacker số tiền chuộc tương đương ít nhất 28.500 USD.

Tuy nhiên, các nạn nhân được khuyến nghị không nên trả tiền chuộc cho hacker theo bất kỳ cách nào. Các chuyên gia cảnh báo, ngay cả khi nạn nhân chấp nhận trả tiền chuộc, chưa chắc họ đã có thể lấy lại các dữ liệu của mình. Các hacker có thể dùng ransomware tiếp tục mã hóa dữ liệu để đòi thêm tiền chuộc hoặc xóa dữ liệu nếu không được đáp ứng yêu sách.

Ít nhất 150 quốc gia trên thế giới đang bị ransomware WanaCrypt tấn công. Ảnh: Europol

Cả Europol và Cục điều tra liên bang Mỹ (FBI) hiện đã phát lệnh truy nã quốc tế đối với các hacker phát tán WannaCrypt. Nhóm hacker có tên Shadow Brokers được tin là thủ phạm phát triển mã độc này từ công cụ theo dõi Eternal Blue của Cơ quan An ninh Quốc gia Mỹ (NSA).

Các thống kê mới nhất cho thấy, thông qua 4 phiên bản có cùng tính năng và cách thức tấn công (gồm WannaCrypt 4.0, Wanna Crypt v2.5, DarkoderCrypt0r và Aron WanaCrypt0r 2.0 Generator v1.0), mã độc WannaCry đã xâm nhập thành công vào hàng ngàn máy tính trên khắp thế giới.

Theo Kaspersky Lab, một công ty chống virus của Nga, nước này là quốc gia bị ảnh hưởng nặng nề nhất trong vụ tấn công nói trên, với số lượng máy tính bị nhiễm WannaCry nhiều hơn bất kỳ nơi nào khác. Anh cũng là quốc gia bị tổn thất nặng với 46 bệnh viện thuộc Dịch vụ y tế quốc gia (NHS) đang trong tình trạng báo động khẩn cấp, sau khi hệ thống thông tin lưu trữ hình ảnh X-quang, kết quả xét nghiệm bệnh lý và quản lý bệnh nhân đều bị "khóa" quyền truy cập.

Trong khi đó, Trung Quốc thông báo virus tống tiền đã tấn công các máy tính của gần 30.000 tổ chức và doanh nghiệp của nước này, bao gồm cả các cơ quan chính phủ và bệnh viện.

Hãng sản xuất xe hơi Pháp Renault cũng đã phải ngưng sản xuất ở nhiều nhà máy để phòng sự lây lan của WannaCry. May mắn, hoạt động của các cơ sở này hiện đã khôi phục sau khi công ty kiểm soát được nguy cơ.

Tuấn Anh (Theo The Week, BBC, BI)

Phát lệnh yêu cầu chặn máy chủ điều khiển mã độc WannaCry

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa phát lệnh điều phối yêu cầu các cơ quan, đơn vị trên toàn quốc theo dõi, ngăn chặn kết nối đến các máy chủ máy chủ điều khiển mã độc WannaCry.

Google từ lâu đã phải vật lộn với các chiến dịch quảng cáo giả mạo lừa đảo này, nơi các mối đe dọa xuất hiện dưới dạng quảng cáo phía trên kết quả tìm kiếm của Google.

Hơn nữa, Google Ads có thể được sử dụng để hiển thị tên miền KeePass hợp pháp trong các quảng cáo, khiến ngay cả những người dùng có kinh nghiệm cũng khó phát hiện ra mối đe dọa.

Để ngụy trang hành động, tin tặcsử dụng phương pháp Punycode để làm cho miền độc hại của chúng trông giống như miền KeePass chính thức.

Những kẻ tấn công sử dụng Punycode, một phương pháp mã hóa để thể hiện các ký tự Unicode ở định dạng ASCII. Phương pháp này cho phép bạn chuyển đổi các tên miền không được viết bằng tiếng Latinh (Cyrillic, Ả Rập, Hy Lạp…) để làm cho DNS dễ hiểu.

Trong trường hợp này, tin tặc đã sử dụng Punycode “xn-eepass-vbb.info”, dịch sang “ķeepass.info” - gần giống với tên miền thực. Người dùng khó có thể nhận thấy một lỗi hình ảnh nhỏ như vậy nhưng đó là dấu hiệu rõ ràng về việc giả mạo.

Trang web giả mạo chứa các liên kết tải xuống dẫn đến tệp “KeePass-2.55-Setup.msix”, chứa tập lệnh PowerShell được liên kết với trình tải xuống FakeBat độc hại. Mặc dù Google đã xóa quảng cáo gốc khỏi Punycode, nhưng các quảng cáo KeePass giả mới vẫn được phát hiện.

FakeBat trước đây đã được sử dụng trong các chiến dịch phát tán phần mềm độc hại kể từ tháng 11/2022. Mục tiêu cuối cùng của phần mềm độc hại trong chiến dịch bị Malwarebytes phát hiện vẫn chưa được xác định, nhưng FakeBat thường được các nhóm tin tặc chuyên đánh cắp thông tin như Redline Stealer, Ursnif và Rhadamathys sử dụng trong các chiến dịch tấn công của mình.

(theo Securitylab)

Ngày 7/10, Bộ An ninh Nội địa Hoa Kỳ và Văn phòng Giám đốc Tình báo Quốc gia (NSA) đã ra thông báo chung xác nhận chính phủ Nga đứng đằng sau những hoạt động "tấn công e-mail công dân và các tổ chức của Mỹ, bao gồm cả tổ chức chính trị, trong thời gian gần đây".

Đã có rất nhiều cuộc tấn công mạng quy mô phức tạp nhắm vào các mục tiêu quan trọng tại Mỹ trong thời gian qua. Tất nhiên, Mỹ luôn nghi ngờ hacker Nga, dưới sự hậu thuẫn của chính phủ, gây ra việc này.

Vụ việc được làm ầm ĩ từ đợt tranh luận đầu tiên giữa hai ứng cử viên tổng thống, Hillary Clinton và Donald Trump. Bà Hillary Clinton lên án Donald Trump vì ông này mời gọi Nga tiếp tục tấn công vào hệ thống máy tính của Đảng Dân chủ hồi đầu năm nay.

Đáp lại, Trump nói rằng chẳng ai biết thủ phạm thực sự là ai, đó có thể là hacker Nga mà cũng có thể là hacker Trung Quốc, chẳng ai biết rõ.

Dù sao thì vụ việc mới nhất cũng tiếp tục làm sâu thêm hố ngăn cách giữa Nga và Mỹ, vốn đang duy trì mối quan hệ thấp nhất kể từ Chiến Tranh lạnh tới nay.

Nguyễn Minh(theo BGR)