Phát hiện mã độc nguy hiểm hơn gấp nhiều lần so với WannaCry
Các chuyên gia bảo mật vừa phát hiện mã độc mới mang tên EternalRocks, có khả năng tự lây lan bằng cách khai thác lỗ hổng trong giao thức chia sẻ tập tin SMB của Windows, với mức độ nghiêm trọng hơn mã độc WannaCry.
Tin tặc đang tìm ra nhiều phương pháp khác nhau để tấn công người dùng. ẢNH: AFP
Theo Thehackernews, khác với mã độc tống tiền WannaCry, mã độc EternalRocks có khả năng lây rộng nhờ sử dụng tới 7 công cụ tấn công bị rò rỉ của NSA, trong khi WannaCry chỉ khai thác hai trong số này
Cụ thể, WannaCry chỉ sử dụng hai công cụ EternalBlue và DoublePulsar, trong khi đó EternalRocks khai thác đến 7 công cụ gồm: EternalBlue, EternalRomance, EternalChampion, EternalSynergy, SMBTouch, ArchTouch và DoublePulsar.
SMBTouch và ArchTouch là các công cụ giám sát SMB, được thiết kế để quét các cổng SMB mở trên internet công cộng. Còn EternalBlue, EternalChampion, EternalSynergy và EternalRomance là các lỗ hổng để tin tặc tấn công vào máy tính Windows. Riêng DoublePulsar được sử dụng để lây lan sâu từ một máy tính bị ảnh hưởng sang các máy tính dễ bị tổn thương khác hoạt động trên cùng một mạng.
Miroslav Stampar – nhà nghiên cứu an ninh của Trung tâm ứng cứu khẩn cấp máy tính Croatia là người phát hiện ra EternalRocks. Theo Stampar, EternalRocks không giống với WannaCry khi nó dường như được thiết kế hoạt động bí mật để không bị phát hiện trên hệ thống bị ảnh hưởng.
Video đang HOT
Sâu EternalRocks được cho là nguy hiểm hơn nhiều so với WannaCry. ẢNH: THEHACKERNEWS
Phương thức lây nhiễm của mã độc này vẫn dựa trên các lỗ hổng Windows tương tự như WannaCry, nhưng thay vì mã hóa các tập tin trên máy khách, EternalRocks cho phép hacker có quyền điều khiển từ xa các máy bị lây nhiễm.
Theo hãng bảo mật Trend Micro, cơ chế này nguy hiểm hơn rất nhiều lần so với WannaCry, cho phép hacker có thể sử dụng mạng lưới các máy bị lây nhiễm vào các mục đích xấu như tấn công từ chối dịch vụ DDOS, ăn cắp và phá hoại dữ liệu, hay thậm chí là các hành vi nguy hiểm hơn như theo dõi và tống tiền người dùng trực tiếp.
Sau khi lây nhiễm vào máy tính, để tránh bị phát hiện, EternalRocks tải về trình duyệt ẩn danh Tor, sau đó dùng trình duyệt này kết nối với máy chủ điều khiển (C&C server). Đồng thời, mã độc cũng “ẩn mình” 24 giờ sau mới kết nối tới máy chủ điều khiển và tải về các công cụ khai thác lỗ hổng SMB. Tiếp đến, EternalRocks quét trên mạng, tìm ra các máy tính có lỗ hổng SMB và tự lây nhiễm sang.
Ông Ngô Tuấn Anh – Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết: “Đúng như nhận định của chúng tôi, lỗ hổng SMB đã tiếp tục được hacker khai thác để phát tán mã độc, cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích APT”.
Chuyên gia của Bkav khuyến cáo, người sử dụng có thể sử dụng công cụ quét mã độc WannaCry được Bkav phát hành ngày 15.5 để quét và vá các lỗ hổng SMB trên máy tính.
“Công cụ chúng tôi đã phát hành có thể kiểm tra và bịt tất cả các lỗ hổng SMB, giúp máy tính chống lại cả 7 phương thức tấn công mà virus có thể sử dụng. Do vậy, có thể dùng ngay công cụ này để kiểm tra và tự động vá lỗ hổng, phòng tránh mã độc EternalRocks”, ông Ngô Tuấn Anh cho biết thêm.
Ngoài ra, hãng bảo mật Trend Micro cũng khuyến cáo thêm để đề phòng ngừa nguy cơ mã độc tấn công, người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các tập tin nhận từ internet trong môi trường cách ly. Bên cạnh đó, cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.
Thành Luân
Theo Thanhnien
Tin tặc tiếp tục tìm cách tấn công bằng mã độc WannaCry
Các hacker đang tìm cách chống lại những chuyên gia bảo mật để tiếp tục thực hiện những cuộc tấn công bằng mã độc tống tiền WannaCry trong thời gian tới.
Hacker vẫn đang tìm cách để cuộc tấn công WannaCry được lan rộng hơn. ẢNH: AFP
Theo The Guardian, khi mã độc WannaCry bùng phát, chuyên gia bảo mật Marcus Hutchins (22 tuổi) sống tại Anh, đã đưa ra phương pháp sử dụng lệnh kill switch (hay công tắc tiêu diệt) để chống lại WannaCry.
Phương pháp này sử dụng tên miền domain do nhóm tin tặc viết sẵn trong phần mềm tấn công, sau đó dùng cho lệnh kill switch - một lệnh được các tin tặc dùng để ngăn chặn phần mềm khi mọi chuyện vượt quá tầm kiểm soát.
Sau khi bị Hutchins đưa ra giải pháp phòng chống, các hacker đang cố gắng làm cho tên miền của Hutchins không thể truy cập được nữa bằng cách sử dụng một cuộc tấn công từ chối dịch vụ (DDoS), nhưng Hutchins đã đề phòng trước thông qua các biện pháp phòng chống cuộc tấn công DDoS với hệ thống botnet Mirai.
Hutchins khẳng định công cụ của anh vẫn còn hoạt động và nó sẽ giúp bất kỳ hệ thống máy tính nào chưa được cập nhật, có thể chống lại cuộc tấn công của WannaCry.
Trước đó, ghi nhận từ công ty an ninh mạng Kaspersky, mặc dù Windows XP là mục tiêu được tin tặc hướng đến nhưng khá bất ngờ khi Windows 7 lại là hệ thống ảnh hưởng nặng nề nhất bởi WannaCry. Cụ thể, Windows 7 chiếm hơn 98% số ca nhiễm WannaCry, trong khi Windows XP chỉ chiếm một lượng nhiễm không đáng kể.
Số lượng hệ thống Windows 7 nhiễm mã độc WannaCry lên đến hơn 98%. ẢNH: KASPERSKY
Thực tế là, việc Windows 7 chiếm phần lớn hệ thống nhiễm độc WannaCry không phải là điều quá ngạc nhiên. Dữ liệu từ hãng nghiên cứu Statcounter cho thấy Windows 7 đang là phiên bản hệ điều hành phổ biến nhất của Microsoft, chiếm đến 46,23% máy tính Windows trên toàn cầu. Các vị trí tiếp theo thuộc về Windows 10 (35,53%), Windows 8.1 (9,56%) và Windows XP chỉ chiếm 5,36%.
Đáng chú ý, mặc dù chiến tỷ lệ phần trăm nhỏ và bị khai tử nhưng Windows XP bất ngờ nhận được bản vá lỗi bảo mật công khai để chống lại WannaCry từ Microsoft, điều mà người dùng máy tính Windows 7 vẫn phải chờ đợi.
Thành Luân
Theo Thanhnien
TP.HCM phát hiện 5 cơ quan, đơn vị nhà nước nhiễm WannaCry Máy tính ở 5 đơn vị, cơ quan nhà nước tại TP.HCM được phát hiện nhiễm WannaCry và đã khắc phục, ngăn chặn kịp thời. Sáng 22/5, Sở Thông Tin và Truyền thông TP.HCM đã họp báo cáo về công tác đảm bảo an toàn an ninh thông tin. Theo đó, từ 12-16/5, có 5 trường hợp nhiễm và phát tán mã độc...