Các tin tặc lên kế hoạch tống tiền toàn cầu

Cuộc tấn công có thể đang bắt nguồn từ Anh quốc và các tin tặc có thể đã tạo ra ít nhất 6 biến thể.

Đang có thêm nhiều nhóm tin tặc lên kế hoạch tham gia vào làn sóng tấn công mạng toàn cầu, mới đây đã hạ gục hàng ngàn tổ chức bao gồm nhà máy, ngân hàng và cơ quan chính phủ tại hơn 150 quốc gia, lây nhiễm hơn 300.000 máy tính. Trong khi đó, các chuyên gia an ninh mạng đã cố gắng để xác định người chịu trách nhiệm cho làn sóng tấn công đầu tiên này.

“Hiện nay, có nhiều người đang sao chép loại vi-rút này để cố gắng kiếm tiền bất chính”, Michael Gafford, Tổng Giám đốc Equation Security, công ty phần mềm và tình báo mạng Darknet.

Theo Gafford, một số cuộc thảo luận hiện đang diễn ra trên các diễn đàn tin tặc thông qua Darknet. Công ty Equation Security cũng đã chặn được thông tin truyền đạt của một “nhóm riêng biệt” đang bàn bạc việc tham gia. Mạng Darknet là một mạng máy tính chỉ truy cập được bằng phần mềm đặc dụng, gồm nhiều chợ và diễn đàn mà các nhóm tội phạm dùng để mua, bán và tụ họp.

Các tin tặc cũng đã thay đổi mã của vi-rút để tạo ra những cuộc tấn công mới. Dữ liệu mạng đen được thu thập bởi William Welna, đồng sáng lập công ty Equation Security, cho thấy các nỗ lực bổ sung chức năng mới vào phần mềm WannaCry được sử dụng trong các cuộc tấn công đã được tiến hành. Gafford nói rằng họ đã nhìn thấy khoảng 6 biến thể khác nhau.

Không giống như hầu hết các mã độc khác, WannaCry lây lan qua các máy tinh thông qua một lỗ hổng đã xác định của hệ điều hành Windows Microsoft mà không cần người dùng máy tính mắc lỗi.

Sau khi máy tính nhiễm mã độc, các tin tặc sẽ khóa máy tính và yêu cầu người chủ sở hữu máy phải trả một khoản tiền để có thể truy cập lại máy. Hình thức sử dụng phần mềm tống tiền.

Máy tính của người dùng bị nhiễm WannaCry sẽ nhận được thông báo: “Ooops, your files have been encrypted!” (Ooops, các file của bạn đã bị mã hóa!). Có một cửa sổ ở phía dưới yêu cầu người dùng trả tiền chuộc để mở khóa máy và khôi phục các file, kèm theo một đồng hồ đếm ngược trong thời hạn 7 ngày. Ngoài ra, mã độc cũng bao gồm lời đe dọa rằng có một “sự kiện miễn phí” sẽ đợi những ai không chịu chi trả tiền.

Như xát muối vào vết thương, gần 2 tháng trước vụ tấn công của WannaCry,  hãng Microsoft đã phát hành bản vá lỗi nhằm bảo vệ máy tính trước những cuộc tấn công kiểu như này hồi tháng 3.

Nói cách khác, nhiều vụ lây nhiễm đã có thể tránh được – các quản trị viên có lẽ đơn giản là đã không cài đặt bản vá lỗi này.  Điều này có thể giúp giải thích tại sao hầu hết các cuộc đột nhập thành công đã diễn ra ở ngoài nước Mỹ, đặc biệt là ở Trung Quốc và Nga, nơi những phần mềm cũ và không có bản quyền tồn tại nhiều hơn.

Tổng thống Mỹ Donald Trump đã ký một sắc lệnh hành pháp về an ninh mạng hôm 11/5, quy trách nhiệm cho các cơ quan khi xảy ra các vụ đột nhập, tuyên bố rằng, “Tổng thống sẽ quy trách nhiệm cho những người đứng đầu các bộ và cơ quan hành pháp (các trưởng cơ quan) trong việc quản lý rủi ro an ninh mạng đối với tổ chức của họ”.

Các thiết bị ‘thông minh’ gặp rủi ro

Gary Miliefsky, Tổng Giám đốc công ty công nghệ SnoopWall, nói rằng ngay cả nếu các máy có lỗ hổng được vá lỗi, “đây là bản xem trước của loại mã độc sắp tới”.

Ông nói điều này đặc biệt đúng đối với các thiết bị Internet của vạn vật – bao gồm các đồ chơi “thông minh”, máy thu truyền hình số, và các thiết bị điện tử gia đình có kết nối Internet –  vốn ít khi được sản xuất với tính năng bảo mật. “Tôi đảm bảo rằng bất cứ thứ gì có từ ‘thông minh’ trong tên gọi sẽ bắt đầu bị dính mã độc này”.

Nhiều thiết bị y tế có thể bị nhiễm vi-rút này, bởi vì chúng chạy những hệ điều hành cũ hơn. Xu Zou, Tổng Giám đốc của ZingBox, nhà cung cấp mạng lưới kết nối thiết bị Internet cho các tổ chức chăm sóc y tế, nói trong một bản thông cáo báo chí rằng gần 11% thiết bị y tế chạy hệ điều hành Windows và “hầu như tất cả (99.8%) chạy [những hệ điều hành] cũ dễ bị nhiễm WannaCry”.

Gần đây, ngày 13/5, Microsoft đã tung ra một bản vá lỗi cho những hệ điều hành cũ, bao gồm Windows 8 và Windows XP.

Theo dõi những tên tội phạm

Việc lần theo dấu vết tội phạm mạng yêu cầu cần nhập vào một mê cung mà trong đó có vẻ mọi thứ đều không như những gì chúng đã trình diện.

Cuộc săn lùng hiện nay nhằm tìm kiếm những thủ phạm trong vụ tấn công WannaCry chịu tác động của một mẩu tin nhắn đăng trên Twitter của Neel Mehta, nghiên cứu viên Google. Trên đó, anh đã phân tích những điểm tương tự giữa mã độc WannaCry và mã được dùng trong các cuộc tấn công của nhóm tin tặc Lazarus APT.

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution

— Neel Mehta (@neelmehta) May 15, 2017

Tuy nhiên, đặc điểm nhận dạng mã độc dựa trên những đoạn mã tương tự không cho biết nhiều thông tin. Các nhóm tin tặc có xu hướng mua, bán và chia sẻ mã.

Một số chuyên gia an ninh mạng đã phản hồi thông điệp trên Twitter trên. Công ty an ninh mạng Kaspersky thông báo trên blog Securelist của mình rằng thông điệp đó “nói đến một sự tương đồng giữa hai mẫu mà đã chia sẻ mã”. Kaspersky phỏng đoán rằng những tương đồng này có thể cho thấy mối liên hệ giữa cuộc tấn công này với Lazarus APT.

Điều này gây sự chú ý đến báo giới, vì Lazarus APT thường được cho là có liên hệ với Triều Tiên. Tuy nhiên, theo các nguồn tin của Epoch Times, nó không có mối liên hệ với chính quyền Bình Nhưỡng mà hoạt động như một tổ chức tội phạm mạng quốc tế với những thành viên nổi bật ở Anh quốc.

Lazarus APT có một chuỗi các vi phạm nổi tiếng gắn liền với tên tuổi của nhóm. Nhóm này được cho là phải chịu trách nhiệm trong vụ tấn công Sony năm 2014 khiến gã khổng lồ truyền thông ngã quỵ (nghi phạm ban đầu được xác định là Triều Tiên). Nhóm này cũng bị quy tội cho vụ cướp 81 triệu USD từ các tài khoản thuộc ngân hàng Trung ương Bangladesh năm 2016, những lỗ hổng trong vụ này được xác định đã xuất hiện trên một chợ đen của tin tặc Trung Quốc.

Ông Gafford nói rằng dựa trên những trao đổi trên mạng Darknet và những dữ liệu khác mà công ty của ông phát hiện: “Anh quốc trông có vẻ như sẽ có thể là mục tiêu” cho các cuộc tấn công của WannaCry.

Ai đã công bố mã độc này?

Theo Gafford, nhóm tin tặc The Shadow Brokers là người phải chịu trách nhiệm cho việc mã độc WannaCry rơi vào tay những kẻ tội phạm.

Miliefsky thuộc SnoopWall xác nhận rằng The Shadow Brokers chính là nhóm đã giữ mã độc này. “Họ đã nắm được phần mềm của NSA được vũ khí hóa cho phép bạn len lỏi trên mạng Internet, trong tất cả các phiên bản của Windows” , theo Miliefsky.

Các nguồn tin nói rằng The Shadow Brokers đã cố gắng bán một lô vũ khí mạng, bao gồm WannaCry, nhưng sau khi không tìm được người mua, nhóm này đã tung ra thị trường công cộng hồi tháng 3.

Mặc dù chưa chắc chắn nhưng một số nhà phân tích tin rằng, những công cụ tấn công của nhóm này được cung cấp bởi Harold T. Martin III, cựu nhà thầu của NSA, người đang phải đối mặt với 20 tội danh vì bị cho là đã đánh cắp thông tin bí mật của chính phủ Mỹ.

Nhóm The Shadow Brokers đã công bố một lô file hồi tháng 4, được cho là một hành động trả thù sau khi chính quyền Tổng thống Donald Trump mở cuộc tấn công phi trường Syria, nhằm cảnh cáo việc chính quyền Syria sử dụng vũ khí hóa học dẫn đến cái chết của 72 người, bao gồm 20 trẻ em.

Ngày 8/4, The Shadow Brokers đưa ra tuyên bố trên blog diễn đàn Medium, đầy những ngữ pháp kỳ dị và logic rối rắng – điểm đặc trưng trong những tuyên bố của nhóm này. Tuy nhiên, cuối cùng nhóm cũng công bố mật khẩu mở khóa file bị mã hóa chứa vũ khí mạng của NSA, và nói rằng họ “hy vọng có thể làm được nhiều hơn, nhưng những cuộc cách mạng/nội chiến đang lấy đi tiền, thời gian và người dân” và rằng việc công bố file này là “hình thức phản đối của chúng tôi”. Vì vậy, nhóm The Shadow Brokers đã phát hành, không phải vì lợi nhuận mà là vì ác ý, có nhiều công cụ hơn nữa phá hủy mạng Internet.

Theo Epoch Times