Vụ tấn công mới cũng nhằm vào những lỗ hổng tương tự mà mã độc máy tính WannaCry tấn công, song sẽ không nhằm vào các dữ liệu đóng băng, mà lợi dụng hàng trăm nghìn máy tính được cho là bị nhiễm để lấy tiền ảo.
Mất khả năng truy cập
Theo nhà nghiên cứu Nicolas Godier thuộc công ty Proofpoint, sau khi phát hiện vụ tấn công bằng mã độc máy tính WannaCry hôm 12/5, các nhà nghiên cứu thuộc Proofpoint đã phát hiện một vụ tấn công mới có liên quan tới WannaCry được gọi là “Adylkuzz”.
Ông nêu rõ vụ tấn công này sử dụng các công cụ tấn công mà Cơ quan An ninh quốc gia Mỹ (NSA) mới để lộ (đã được hãng Microsoft khắc phục), nhưng theo cách bí mật hơn và vì một mục đích khác. Thay vì vô hiệu hóa hoàn toàn một máy tính bị nhiễm độc bằng việc mã hóa các dữ liệu và đòi tiền chuộc, kiểu tấn công Adylkuzz sử dụng các máy đã bị nhiễm độc để “khai thác” tiền ảo Monero và chuyển số tiền được tạo ra này cho những người tạo ra virus.
Công ty Proofpoint cho biết dấu hiệu của vụ tấn công này là mất khả năng truy cập các nguồn tài nguyên được chia sẻ của hệ điều hành Windows cũng như làm giảm hiệu quả sử dụng máy tính cá nhân và máy chủ. Tuy nhiên, một số người dùng không thể phát hiện ngay được những tác động này.
Theo Proofpoint, công ty phát hiện thấy các máy nhiễm độc đã chuyển hàng nghìn USD tiền ảo Monero cho những người tạo ra virus. Vụ tấn công Adylkuzz được phát hiện ít nhất từ ngày 2/5 vừa qua và có thể đã xảy ra sớm hơn từ ngày 24/4. Chuyên gia Godier nhấn mạnh do hoạt động âm thầm và không quấy rối người sử dụng nên vụ tấn công Adylkuzz có lợi hơn cho các tội phạm mạng, biến những người sử dụng máy bị nhiễm mã độc thành người ủng hộ tài chính vô thức cho những kẻ tấn công. Phó Chủ tịch phụ trách bộ phận thư tín của Proofpoint, ông Robert Holmes đánh giá vụ tấn công Adylkuzz lớn hơn vụ WannaCry rất nhiều.
Đổi tên file sau khi mã hóa
Trong khi đó, Tân Hoa xã cho biết Trung tâm Ứng cứu Khẩn cấp Virus Máy tính Quốc gia Trung Quốc (CVERC) và Công ty phần mềm AsiaInfo ngày 17/5 đã phát hiện một loại virus máy tính có tên là “UIWIX” với khả năng lây nhiễm tương tự cách thức của loại virus tống tiền khét tiếng WannaCry.
Theo CVERC, loại virus này lợi dụng một lỗ hổng trong hệ điều hành Windows và lây nhiễm sang các máy tính khác nhau bằng cách đổi tên file sau khi mã hoá. Các file bị đổi tên thường có phần mở rộng là “UIWIX”. Cơ quan này tới nay chưa phát hiện trường hợp lây nhiễm loại virus nói trên ở Trung Quốc. CVERC đang tiến hành phân tích kỹ thuật về virus “UIWIX” trong khi vẫn đề cao cảnh giác về các trường hợp có khả năng lây nhiễm. CVERC cho biết thêm Microsoft đã phát hành bản vá lỗi bảo mật để chặn đứng sự lây lan của loại virus trên.
“Đào” tiền thuật toán
Từ cuối tháng 4 đến đầu tháng 5, hơn 200.000 máy tính trên toàn cầu đã bị nhiễm một loại virus tương tự vụ tấn công “đòi tiền chuộc” vừa xảy ra và mục đích của tin tặc trong cuộc tấn công này là “đào” tiền thuật toán - một loại tiền điện tử trong thế giới ảo, song lại có giá trị thực giống như Bitcoin.
Các chuyên gia thuộc Công ty an ninh mạng Proofpoint của Mỹ cho biết những tác giả của vụ tấn công nói trên có thể đã bỏ túi hơn 1 triệu USD, một con số khá ấn tượng nếu so với con số 7.000 USD mà giới chức Mỹ cho là các nạn nhân đã trả cho tin tặc trong vụ tấn công bằng mã độc WannaCry từ hôm 12/5 vừa qua. Các chuyên gia đã không thể phát hiện sớm vụ tấn công cuối tháng 4 vừa qua do hệ thống máy tính bị tấn công vẫn hoạt động bình thường và tin tặc chỉ lợi dụng máy tính này để “đào” tiền điện tử.
Theo các chuyên gia an ninh mạng, điểm giống nhau của 2 vụ tấn công là tin tặc lợi dụng lỗ hổng an ninh trong hệ điều hành Windows của Microsoft Corp để đưa mã độc vào trong các máy tính sử dụng hệ điều hành này. Proofpoint chỉ ra rằng những máy tính bị virus tấn công là những máy tính không kịp thời cập nhật phầm mềm vá lỗi do Microsoft cung cấp. Tuy nhiên, không giống với vụ tấn công bằng mã độc WannaCry đòi tiền chuộc Bitcoin, các tin tặc trong vụ tấn công đầu tiên tìm cách “đào” Monero - một loại tiền điện tử mới và có giá trị thấp hơn Bitcoin - đồng tiền điện tử trong thế giới ảo được xem là sinh lời nhất hiện nay. Điều đáng lưu ý là Monero là đồng tiền điện tử mà tin tặc được cho là có liên quan đến Triều Tiên đang “săn lùng” trong thời gian gần đây. Thông tin này càng củng cố những nghi ngờ gần đây cho rằng quốc gia Đông Bắc Á này đứng đằng sau vụ tấn công “đòi tiền chuộc” tác động hơn 300.000 máy tính ở 150 nước trên thế giới hiện nay. Hồi đầu tháng 4, Công ty an ninh mạng của Nga Kaspersky Lab phát hiện một nhóm thuộc Lazarus, tổ chức tin tặc được xác định có quan hệ với Triều Tiên, đã cài mã độc “đào” tiền Monero vào một máy chủ ở châu Âu. Sự trùng lặp đang ngờ này là cơ sở để Giám đốc điều hành Proofpoint Ryan Kalember tin rằng Triều Tiên đứng đằng sau hai vụ tấn công “đòi tiền chuộc” và “đào” tiền Monero. Triều Tiên hiện chưa có bất cứ phản ứng nào trước những thông tin trên, trong khi đó Cục Điều tra LB Mỹ (FBI) cũng từ chối bình luận vấn đề này.
Thêm nhiều nạn nhân mới
Liên quan đến vụ tấn công mạng quy mô toàn cầu xảy ra hôm 12/5, trong khi nhiều nạn nhân bắt đầu khôi phục hoạt động, thì xuất hiện thêm nạn nhân mới. Điều này cho thấy cuộc tấn công mã độc WannaCry chưa thực sự dừng lại.
Theo thông báo mới nhất của cơ quan Dịch vụ Y tế quốc gia (NHS) của Anh, các cơ sở y tế cấp cứu và xử lý các vụ tai nạn của NHS đã trở lại hoạt động gần như bình thường sau khi hoạt động khám chữa bệnh tại đây hoàn toàn tê liệt do vụ tấn công khiến các bác sĩ, y tá, trợ lý không thể đăng nhập máy tính tiếp cận thông tin của bệnh nhân. Vụ tấn công bằng mã độc WannayCry đã ảnh hưởng lịch phẫu thuật của 8.000 bác sĩ trên toàn nước Anh.
Tại Canada, 1,9 triệu email của khách hàng Bell, hãng viễn thông lớn nhất Canada, đã bị tin tặc tấn công, trong đó khoảng 1.700 tên khách hàng cùng số điện thoại của họ đã bị lấy cắp từ cơ sở dữ liệu của hãng. Tuy nhiên, Bell cho biết tin tặc đã không lấy cắp được các thông tin nhạy cảm, do đó hãng cũng đã phớt lờ yêu cầu đòi tiền chuộc của tin tặc.
Chính phủ Saudi Arabia thông báo virus WannaCry đã khiến một số hệ thống máy tính của chính phủ và Công ty viễn thông Saudi Telecom Co. tê liệt. Trong khi đó, truyền thông Đài Loan (Trung Quốc) thông báo vụ tấn công đã gây ảnh hưởng đến hệ thống máy tính tại 10 trường học, công ty điện lực và ít nhất một doanh nghiệp tư nhân của vùng lãnh thổ này.
Trước tính chất nghiêm trọng của vụ tấn công mạng, Chính phủ Slovenia đã đưa vấn đề an ninh mạng trở thành một trong những chủ đề ưu tiên được thảo luận tại phiên họp của Hội đồng An ninh quốc gia ngày 16/5. Thủ tướng Slovenia Miro Cerar khẳng định mối đe dọa của vụ tấn công đối với quốc gia châu Âu này là không cao.
Tại Trung Quốc, Tập đoàn năng lượng Petro China thông báo hệ thống thanh toán tại nhiều trạm bán xăng dầu của tập đoàn đã bị virus xâm nhập gây rối loạn. Tuy nhiên, sau đó đa số các điểm đã được phục hồi. China Daily cũng cho biết, ít nhất có 200.000 máy tính tại Trung Quốc bị nhiễm mã độc, chủ yếu là các máy tính của trường học. Nhà chức trách Trung Quốc xác nhận có 66 trong tổng số 1.000 trường đại học của nước này đã bị ảnh hưởng bởi vụ tấn công bằng mã độc tống tiền, song bác bỏ thông tin rằng sự hư hại lan rộng trong hệ thống máy tính các trường đại học. Mạng lưới Nghiên cứu và Giáo dục Trung Quốc (CERN), vốn trực thuộc Bộ Giáo dục nước này khẳng định nguyên nhân chủ yếu là do hệ điều hành không được cập nhật thường xuyên chứ không có lỗ hổng an ninh lớn nào trong hệ thống.
Theo số liệu của Nhóm nghiên cứu và phân tích phần mềm bảo mật Internet Kaspersky Mỹ Latinh, Mexico hiện là quốc gia bị tấn công mạnh nhất bởi mã độc tống tiền WannaCry tại khu vực này. Giám đốc Kaspersky Mỹ Latinh Dmitry Bestuzhev cho biết tính đến ngày 13/5, một ngày sau cuộc tấn công mạng phạm vi toàn cầu, Mexico là nước bị ảnh hưởng thứ 3 trong khu vực Mỹ Latinh, sau Brazil và Ecuador.
Tuy nhiên, chỉ 48 giờ đồng hồ sau đó, Mexico đã lên vị trí số 1 trong danh sách này. Ông Bestuzhev nhận định có hiện tượng này là bởi ngày thứ 2 của cuộc tấn công rơi vào ngày đầu tuần, khi các cơ quan và xí nghiệp quay trở lại làm việc. Chuyên gia trên cũng cho biết các cơ quan và doanh nghiệp thuộc lĩnh vực công là nhóm chịu tổn thương nhiều nhất từ mã độc tống tiền WannaCry, tiếp đến là ngành công nghiệp di động và một số cơ sở cấp bằng lái xe và thu tiền phạt trong lĩnh vực giao thông vận tải.
Mã độc WannaCry khiến người sử dụng mạng sẽ không thể truy cập dữ liệu trừ phi đồng ý trả cho tin tặc một khoản tiền ảo Bitcoin, trị giá từ 300-600 USD thông qua tiền ảo Bitcoin nếu muốn giải mã. Số tiền này sẽ tăng gấp đôi sau 3 ngày, nếu người dùng không thanh toán kể từ cảnh báo đầu tiên. Dữ liệu trong máy tính sẽ bị xóa sau 7 ngày nếu yêu cầu của hacker không được đáp ứng. Theo giới chuyên gia, WannaCry sử dụng phương thức mã hóa phức tạp, mỗi tập tin bị khóa có “chìa” riêng mà chỉ kẻ tấn công mới có thể mở. Mã độc WannaCry có khả năng tự phát tán trên quy mô lớn bằng cách lợi dụng một lỗi phần mềm trong hệ điều hành Windows của Microsoft Corp.
