Mã độc đòi tiền chuộc WannaCry đã “tiến hóa” lên cấp độ mới có thể vô hiệu hóa lá chắn của các chuyên gia an ninh mạng hiện nay.
Thế giới tưởng chừng đã ngăn chặn sự lây lan của mã độc tống tiền WannaCry từ phát hiện tình cờ của một chuyên gia an ninh người Anh, nhưng biến thể của nó đã khiến mọi thứ trở nên tồi tệ hơn.
Trước đó, blogger ẩn danh 22 tuổi người Anh đã phát hiện trong code của ransomware một “công tắc an toàn” (Kill Switch) do tin tặc tạo ra để ngăn chặn các nhà nghiên cứu điều tra về mã độc, nhưng lại trở thành gót chân Achilles vô hiệu hóa WannaCry từ xa.
Hàng nghìn máy tính bị lây nhiễm phần mềm độc hại
Mỗi khi lây nhiễm trên máy tính, phần mềm sẽ liên lạc với một địa chỉ website gồm những ký tự lộn xộn chưa được đăng ký. Nếu tên miền đó đã được sử dụng thì ransomware sẽ tự xóa bản thân nó, còn trong trường hợp địa chỉ web đó không hoạt động, chúng bắt đầu tiến hành “bắt cóc” tập tin.
Với việc tìm ra và mua lại những địa chỉ web này, chàng trai 22 tuổi người Anh đã ngăn chặn quá trình lây lan của WannaCry. Nói cách khác, lỗ hổng của loại mã độc tống tiền này lại nằm ở “công tắc an toàn”.
Cuộc chiến chưa kết thúc khi xuất hiện WannaCry phiên bản 2.0
Như đã nói ở trên, chủ blog MalwareTech chỉ đăng ký tên miền nhằm kiểm soát WannaCry lây lan sang máy tính khác chứ không thể sửa chữa những máy tính đã bị khóa dữ liệu. Nhà nghiên cứu 22 tuổi đã chuyển hướng truy cập từ các thiết bị lây nhiễm sang một hệ thống được kiểm soát.
WannaCry chưa dừng lại
Nếu nghĩ rằng, việc triệt tiêu “công tắc an toàn” sẽ ngăn chặn sức hủy diệt của mã độc tống tiền thì bạn đã nhầm. Bởi khi những kẻ đứng sau “màn uy hiếp cả thế giới” nhận ra điểm yếu, chúng dễ dàng khắc phục bằng cách viết lại code.
“Tính năng kill-switch nằm trong SMB worm chứ không phải trong chính mô-đun của ranromware. Mã độc tống tiền WannaCry đã tồn tại trước đó và còn tiếp tục lây lan. Những gì chúng ta ngăn chặn được chỉ là biến thế của SMB worm”, chủ blog MalwareTech chia sẻ.
Costin Raiu, Giám đốc nghiên cứu và phân tích toàn cầu tại Kaspersky Lab xác nhận đã thấy các phiên bản ransomware tương tự nhưng không có chức năng “kill-switch”. “Tôi khẳng định rằng chúng tôi đã thấy phiên bản không chứa tính năng kết nối kill-switch từ hôm qua (thứ Sáu)”, Raiu trả lời báo chí cho biết.
Giới bảo mật đang lo ngại một đợt tấn công ransomware mới từ biến thể được cập nhật của WannaCry sẽ rất khó để ngăn chặn. Trừ khi, tất cả lỗ hổng của các hệ thống đều được vá.
Một cuộc tấn công nữa có thể bùng phát bất cứ lúc nào
“Các cuộc tấn công tiếp theo là không thể tránh khỏi, vậy nên bạn cần vá lỗ hổng hiện tại. Chúng ta sẽ thấy một số biến thể của loại mã độc đợt tấn công này ở những tuần, hoặc tháng tới. Bởi thế, điều quan trọng nhất là cần khắc phục toàn hộ lỗi bảo mật của hệ thống máy chủ”, Matthew Hickey, chuyên gia bảo mật của Hacker House nhận định.
Thay vì chỉ phụ thuộc vào email spam hàng loạt, WannaCry tập trung khai thác lỗ hổng trong giao thức SBM của Windows để lây nhiễm thêm nhiều máy tính và quét địa chỉ IP trên Internet để tìm “con mồi”. Ngay cả khi đã có nhiều cảnh báo trên phương tiện truyền thông, hàng trăm ngàn hệ thống vẫn chưa kịp cập nhật thông tin mới nhất.
“Loại worm này có thể được sửa mã để tiếp tục lây nhiễm rồi đòi tiền chuộc mà không dừng lại ở WannaCry. Chúng sẽ cố lây nhiễm qua các máy tính Windows chưa được vá lỗ hổng, đồng thời thực hiện quét địa chỉ IP để tìm và lây nhiễm lên thiết bị dễ bị tổn thương khác”, Hickey cảnh báo.
Vì vậy, sẽ không bất ngờ khi thấy WannaCry “tiến hóa” lên phiên bản 2.0 với sức tàn phá còn khủng khiếp hơn. Lời khuyên dành cho người dùng là hãy cập nhật bản vá lỗi mới nhất của Microsoft, đồng thời tự biết cách phòng tránh trước những nguy cơ tiềm ẩn từ mạng Internet.