Ngân hàng Trung ương Ukraine, sân bay chính tại Kiev, khu vực xảy ra thảm họa hạt nhân Chernobyl và một loạt công ty đa quốc gia, bao gồm tập đoàn dược phẩm Mỹ Merck, tập đoàn dầu khí nhà nước Nga Rosneft, tập đoàn quảng cáo Anh WPP và tập đoàn công nghiệp Pháp Saint-Gobain nằm trong số các nạn nhân lần này.
Mã độc tống tiền
Virus này tương tự như mã độc WannaCry lan rộng khắp thế giới hồi tháng 5/2017, tấn công hơn 200.000 người sử dụng máy tính tại hơn 150 quốc gia. WannaCry khóa các dữ liệu trong máy tính và đòi nạn nhân trả tiền chuộc để lấy lại dữ liệu.
Một số chuyên gia công nghệ thông tin nhận dạng virus mới này là "Petrwrap", một phiên bản được biến đổi của mã độc tống tiền Petya được lan truyền năm 2016. Costin Raiu, nhà nghiên cứu tại Kaspersky Lab, viết trên Twitter rằng virus này đang “lây lan khắp thế giới, và một loạt quốc gia đang bị ảnh hưởng”.
Các chuyên gia cho biết phương thức chính xác mà “kẻ xâm nhập” này lan truyền - ví dụ như qua thư điện tử hay qua “con sâu máy tính” - vẫn chưa được biết rõ. Tại Pháp, cơ quan giám sát an ninh mạng ANSSI cho biết họ đang phân tích các cuộc tấn công và hy vọng sẽ đưa ra các đề xuất cho những người sử dụng trong vài giờ tới.
 |
| Thông điệp đòi tiền chuộc xuất hiện trên màn hình cây rút tiền của ngân hàng thuộc sở hữu nhà nước Ukraine Oschadbak |
Thủ tướng Ukraine Volodymyr Groysman viết trên Facebook rằng các cuộc tấn công mạng tại đất nước ông là “chưa từng có tiền lệ” song nhấn mạnh rằng “các hệ thống quan trọng không bị ảnh hưởng”. Tuy nhiên, hệ thống giám sát bức xạ tại khu vực xảy ra thảm họa hạt nhân Chernobyl của Ukraine đã bị chuyển sang chế độ ngoại tuyến (offline).
Olena Kovaltshuk, người phát ngôn của cơ quan quản lý khu vực cấm xung quanh Chernobyl, nói: “Các kỹ thuật viên của chúng tôi đang đo đạc độ phóng xạ bằng máy đếm Geiger được đặt tại lò phản ứng này như những gì đã thực hiện nhiều thập kỷ trước”.
Lây lan cực nhanh
Theo công ty an ninh mạng Group IB, các cuộc tấn công này bắt đầu vào khoảng 14h00 giờ Moskva (11h00 GMT) và nhanh chóng lan tới 80 công ty tại Ukraine và Nga. Các nạn nhân đã không thể truy cập vào máy tính của họ và bị yêu cầu mua mã khóa để lấy lại quyền truy cập.
Evgeny Gukov, người phát ngôn của Group IB, cho biết virus đòi tiền chuộc này yêu cầu 300 USD tiền ảo Bitcoin và không cho biết chương trình mã hóa dữ liệu, điều khiến việc tìm ra giải pháp trở nên rất khó khăn.
Tuyên bố của Ngân hàng Trung ương Ukraine cho biết một số ngân hàng nước này đang rất “khó khăn trong hoạt động phục vụ khách hàng và thực hiện các nghiệp vụ ngân hàng” do vụ tấn công mạng lần này. Tập đoàn dầu khí Nga Rosneft cho biết các máy chủ của họ đã hứng chịu vụ tấn công mạng “lớn” nhưng nhờ có hệ thống dự phòng nên “hoạt động sản xuất và lọc dầu không bị ngừng lại”.
Tại Mỹ, tập đoàn dược phẩm Merck cũng như công ty luật DLA Piper tại New York là nạn nhân của vụ tấn công này. Tập đoàn Merck viết trên Twitter: “Chúng tôi xác nhận hệ thống máy tính của công ty chúng tôi đã bị tổn hại ngày hôm nay (27/7). Các tổ chức khác cũng bị ảnh hưởng”.
Công ty vận chuyển hàng hóa TNT của Hà Lan, hoạt động tại 200 quốc gia trên khắp thế giới, cho biết các hệ thống của họ đã bị ảnh hưởng. Trong một tuyên bố gửi tới hãng tin AFP, công ty TNT - thuộc hãng chuyển phát nhanh FedEx - cho biết: “Chúng tôi đang đánh giá tình hình và thực hiện các biện pháp khắc phục càng sớm càng tốt”.
 |
| Nhiều máy tính ở một siêu thị phía Đông Ukraine ngưng hoạt động (Ảnh: Telegraph) |
Sean Sullivan, nhà nghiên cứu tại tập đoàn an ninh mạng F-Secure của Phần Lan, cho rằng cuộc tấn công này “dường như được thực hiện bởi các tội phạm chuyên nghiệp”, với động cơ thúc đẩy là tiền bạc. Theo ông, không giống như vụ tấn công bằng mã độc WannaCry mới đây, vụ tấn công này sử dụng các “vũ khí” tinh vi có thể khiến thêm nhiều hệ thống dễ dàng bị nhiễm độc một cách nhanh chóng.
Các chuyên gia cũng cho rằng vụ tấn công mới nhất này có thể làm gia tăng nỗi lo sợ về việc các công ty có thể dễ bị tổn thương trước các vụ tấn công mạng hơn những gì chúng ta thường nghi ngại, đặc biệt là khiến các dữ liệu cá nhân đứng trước rủi ro lớn.
Louis Rynsard, Giám đốc công ty viễn thông SBC London, nói: “Không thể phủ nhận rằng vụ việc này sẽ tác động tới lòng tin vào các tổ chức và dấy lên các câu hỏi về năng lực của họ”.
Ransomware chưa từng được biết
Tuy nhiên, công ty cung cấp dịch vụ chống virus và an ninh mạng đa quốc gia Kaspersky Lab của Nga ngày 28/6 cho biết các vụ tấn công mã độc đòi tiền chuộc mới "đang có xu hướng gia tăng" và thủ phạm gây ra vụ tấn công mạng toàn cầu ngày 27/6 vừa qua không phải là biến thể của ransomware Petya như các thông tin trước đó.
Theo kết quả nghiên cứu của các chuyên gia thuộc Kaspersky Lab cho thấy mã độc đòi tiền chuộc trong vụ tấn công mạng mới đây khác biệt đáng kể so với tất cả các phiên bản mã độc Petya - thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016 - được biết đến trước đó.
Các chuyên gia khẳng định đây không phải là biến thể của ransomware Petya, mà là một ransomware mới chưa từng xuất hiện. Kaspersky Lab đặt tên cho ransomware mới này là "NotPetya" hay "ExPetr". Cuộc tấn công này nhằm vào lỗ hổng EternalBlue, được hacker chỉnh sửa và cho lây lan trong mạng lưới doanh nghiệp.
Lỗ hổng EternalBlue khai thác trên các máy tính sử dụng hệ điều hành Windows, được cho là do Cơ quan an ninh quốc gia Mỹ (NSA) phát triển và bị nhóm hacker Shadow Brokers đánh cắp ngày 14/4 vừa qua.
Các chuyên gia Kaspersky Lab chưa khẳng định họ có thể giải mã được dữ liệu đã bị khóa trong cuộc tấn công hay không, song cho biết đang phát triển công cụ giải mã sớm nhất có thể. Kaspersky Lab khuyến nghị tất cả doanh nghiệp cập nhật ngay phần mềm Windows, kiểm tra các giải pháp bảo mật và thực hiện sao lưu dữ liệu.
Các khách hàng doanh nghiệp của Kaspersky Lab cũng được khuyến nghị các phương pháp bảo mật đã được kích hoạt và bật thành phần KSn/System Watcher, đồng thời sử dụng tính năng AppLocker để vô hiệu hoá các hoạt động của bất kì tập tin nào có tên “perfc.dat” cũng như Tiện ích PSExec từ bộ Sysinternals Suite.
Cũng như mã độc WannaCry "khuynh đảo" thế giới hồi tháng trước, đây là loại mã độc thuộc dòng "tống tiền", lây lan qua các liên kết độc hại và ghi đè có chủ đích lên tập tin quản lý khởi động hệ thống của thiết bị (MBR) để khóa người dùng khởi động.
Nếu bị dính mã độc, người dùng sẽ được hướng dẫn trả cho tin tặc 300 USD tiền ảo bitcoin để đổi lấy "chìa khóa giải mã". Cuộc chiến chống lại các vụ tấn công mạng khiến chi tiêu cho lĩnh vực bảo mật thông tin tăng lên nhanh chóng, với thị trường an ninh mạng ước tính đạt 120 triệu USD trong năm nay, lớn hơn 30 lần so với một thập kỷ trước đó.
Tuy nhiên, theo các chuyên gia, con số khổng lồ đó dường như sẽ giảm đi trong vài năm tới sau các vụ tấn công bằng mã độc gây thiệt hại cho các máy tính trên toàn cầu trong tuần qua…/.
EU chi 10,8 triệu euro tăng cường an ninh mạng
Uỷ viên châu Âu phụ trách về an ninh Julian King ngày 29/6 cảnh báo Liên minh châu Âu (EU) cần tăng cường khả năng phòng thủ chống lại các cuộc tấn công mạng vốn lợi dụng sự phụ thuộc của thế giới hiện đại vào mạng Internet và các thiết bị di động.
EU sẽ chi 10,8 triệu euro cho 14 quốc gia EU để tăng cường lực lượng ứng phó về mạng sau vụ tấn công mạng toàn cầu quy mô lớn xảy ra hồi đầu tuần. Theo ông King, vụ tấn công hiện nay, cũng như vụ tấn công WannaCry mới đây và nhiều vụ tấn công mạng khác, đã cho thấy các mối đe dọa mạng mà chúng ta phải đối mặt đang ngày càng nghiêm trọng hơn. Ông nhấn mạnh sự phụ thuộc của con người vào mạng Internet, các thiết bị kết nối mạng và công nghệ mạng hiện nay lớn hơn khả năng chúng ta bảo vệ chính mình.
Ông King nhận định các vụ tấn công mạng "ngày càng có chiến lược hơn vì chúng gây nguy hại tới hạ tầng quan trọng". Ông cho rằng bên cạnh khoản chi bổ sung cho các trung tâm quốc gia ứng phó về an ninh mạng, cần tăng cường sự ủng hộ cho Cục tội phạm mạng thuộc Cơ quan cảnh sát châu Âu (Europol)./.
