Cập nhật diễn biến cuộc tấn công mạng bởi mã độc WannaCry

(ICTPress) - Các nước trên toàn cầu cuối tuần qua đã bị chấn động bởi vụ việc tấn công mạng bằng mã độc WannaCry trên toàn cầu đã làm đình trệ các hoạt động tại các nhà máy sản xuất ô tô, bệnh viện, cửa hàng và trường học.

Các chuyên gia an ninh mạng cho biết việc lây lan diện rộng mã độc WannaCry đã khóa hơn 200.000 máy tính ở hơn 150 quốc gia hiện đã chậm lại nhưng cũng đã giấy lên lo ngại các phiên bản mới của mã độc này sẽ lại tấn công.

Trong một đăng tải trên blog ngày 14/5, Chủ tịch Microsoft Brad Smith ngầm ý cho biết những gì các nhà nghiên cứu đã kết luận: Tấn công mã độc này xuất phát từ một công cụ tấn công, do Cơ quan an ninh Mỹ (NSA) phát triển, đã bị rò rỉ trực tuyến hồi tháng 4. Microsoft ngày 14/5 đã lên tiếng về việc Chính phủ không tiết lộ nhiều thông tin về các lỗ hổng phần mềm.

“Đây là một vụ việc mới trong năm 2017. Chúng ta đã từng chứng kiến các lỗ hổng được CIA lưu trữ đã xuất hiện trên WikiLeaks và hiện nay lỗ hổng này đã bị đánh cắp từ NSA đã ảnh hưởng đến các khách hàng trên toàn thế giới”, Smith viết.

Các chuyên gia kinh tế đưa ra các quan điểm khác nhau về cuộc tấn công và các rò rỉ máy tính liên quan, sẽ gây tốn kém cho doanh nghiệp và chính phủ. Viện nghiên cứu thuộc tổ chức phi lợi nhuận các hậu quả mạng của Mỹ đã dự báo tổn thất sẽ trong khoảng hàng trăm triệu USD, không vượt 1 tỷ USD. Phần lớn các nạn nhân đã nhanh chóng phục hồi các hệ thống bị lây nhiễm mã độc với các dự phòng, nhà kinh tế chủ chốt Scott Borg của Viện này cho biết

Tuy nhiên, hãng mô phỏng rủi ro mạng Cyence ở California dự báo tổng tổn thất kinh tế có thể lên tới 4 tỷ USD, trích dẫn từ các chi phí liên quan đến gián đoạn của các doanh nghiệp.

Trước nguy cơ của cuộc tấn công diện rộng, Tổng thống Mỹ Donald Trump đêm 12/5 cho biết đã yêu cầu cố vấn an ninh nội địa Tom Bossert, triệu tập một “cuộc họp khẩn cấp” để đánh giá mối đe dọa của cuộc tấn công toàn cầu này, một viên chức cấp cao của chính quyền Tổng thống Mỹ cho Reuters hay.

Các nhân viên an ninh cấp cao của Mỹ đã tổ chức một cuộc họp khác tại Nhà Trắng hôm 13/5, và FBI và NSA đang hợp tác để giảm thiểu tổn thất và xác định những kẻ tấn công mạng diện rộng này.

Việc điều tra cuộc tấn công đang ở trong giai đoạn đầu và việc phân tích các cuộc tấn công là khá khó khăn. Cuộc tấn công đầu tiên đã giảm vào cuối ngày 12/5 sau khi một nghiên cứu viên an ninh nắm được kiểm soát server kết nối tới sự bùng phát này, đã làm giảm khả năng tạo ra mã độc để lây lan nhanh chóng trên các mạng bị lây nhiễm.

Các máy tính bị lây nhiễm mã độc phần lớn các máy đã lỗi thời mà các tổ chức cho rằng không cần phải tiêu tốn vào việc nâng cấp, hay trong một số trường hợp, các máy móc liên quan đến sản xuất hay ở bệnh viện cho thấy quá khó để vá nếu không dừng các hoạt động quan trọng, các chuyên gia an ninh cho hay.

Microsoft đã công bố các bản vá cuối tháng trước và ngày 12/5 để sửa lỗ hổng đã làm cho mã độc lây lan trên các mạng, một khả năng hiếm và mạnh mẽ gây ra các lây nhiễm bùng phát hôm 12/5.

Những kẻ tấn công đã khai thác lỗ hổng "Eternal Blue” được công bố trên Internet tháng trước bởi nhóm tin tặc Shadow Brokers.

Renault cho biết đã phải dừng sản xuất ở các nhà máy ở Pháp và Rumani để ngăn chặn sự lan rộng của mã độc này.

Các nạn nhân khác có nhà máy sản xuất Nissan ở Sunderland, đông Bắc nước Anh, hàng trăm bệnh viện và trạm y tế ở Anh, nhà khai thác đường sắt Đức Deutsche Bahn và hãng vận tải quốc tế FedEx.

Trưởng cơ quan cảnh sát Liên minh châu Âu cho biết ngày 14/5 cuộc tấn công mạng đã tấn công 200.000 nạn nhân ở ít nhất 150 quốc gia và con số này sẽ gia tăng khi mọi người quay trở lại làm việc vào ngày thứ Hai đầu tuần.

Các bộ trưởng tài chính các nước G7 đang nhóm họp tại Bari, phía Nam Italy đã thông báo cho hay: “Chúng tôi đã nhận thấy các vụ việc mạng đang ngày càng đe dọa các nền kinh tế và các phản ứng chính sách kinh tế phù hợp là cần thiết”.

Các bộ trưởng kinh tế đã đề nghị chia sẻ các thực tiễn chung để lưu ý nhanh chóng bất kỳ lỗ hổng nào trong hệ thống tài chính của thế giới và nhấn mạnh tầm quan trọng của các biện pháp hiệu quả để đánh giá an ninh mạng trong các tổ chức tài chính riêng rẽ và ở cấp ngành.

Bộ trưởng Bộ Tài chính Italia Carlo Padoan cho báo chí biết các bàn thảo đã được lên kế hoạch từ trước các cuộc tấn công vào thứ 6 nhưng thật may mắn là rất kịp thời.

Diễn biến ở châu Á

Thứ Hai 15/5 được dự báo là một ngày bận rộn, đặc biệt ở châu Á khi các công ty và tổ chức bắt đầu tuần làm việc và khởi động máy tính. Cuộc tấn công sẽ nhằm vào các tổ chức bất kể quy mô nào.

Michael Gazeley, giám đốc điều hành của Network Box, một hãng an ninh phần mềm có trụ sở tại Hong Kong cho biết vẫn còn nhiều rủi ro có thể xảy ra đối với khu vực này, phần lớn các cuộc tấn công xuất hiện qua thư điện tử.

Ở Trung Quốc, nền kinh tế lớn thế hai thế giới, công ty năng lượng PetroChina cho biết các hệ thống thanh toán ở một số trạm xăng đã bị tấn công, mặc dù phần lớn các hệ thống đã được phục hồi. Nhiều cơ quan thuộc chính phủ, trong đó có các cơ quan cảnh sát và giao thông, đã cho biết các cơ quan này đã bị ảnh hưởng bởi tấn công.

Cơ quan cảnh sát quốc gia Nhật Bản đã thông báo cho biết có hai lỗ hổng máy tính ở nước này vào ngày chủ nhật 14/5, tại một bệnh viện và một trường hợp khác liên quan tới một cá nhân -nhưng không bị mất tiền chuộc.

Tập đoàn công nghiệp Hitachi cho biết vụ tấn công đã ảnh hưởng đến các hệ thống của Tập đoàn này tại một số điểm vào cuối tuần qua, làm họ không thể nhận và gửi thư điện tử hay mở các đính kèm trong một số trường hợp. Tình trạng này vẫn đang diễn ra, Hitachi cho biết.

Các thị trường tài chính ở châu Á đã không gặp trục trặc nào vào ngày 15/5 bởi các tin tức tấn công mạng, với các cổ phiếu phần lớn đều tăng trong khu vực.

Một phát ngôn viên của Thị trường chứng khoán Hong Kong, một trong những thị trường lớn nhất trong khu vực, cho biết tất cả các hệ thống cho tới nay vẫn hoạt động bình thường. “Chúng tôi vẫn phải cảnh giác cao”.

Một nghiên cứu viên an ninh mạng ở châu Á đã từ chối nêu tên cho biết trong khi phần lớn các ngân hàng trên toàn cầu đã thoát khỏi bị đe dọa, nhưng không phải tất cả đều đã cập nhật bản vá kịp thời. Kết quả là một số thư điện tử phishing đã trượt qua và người sử dụng đã kích hoạt nhưng đã được các hệ thống an ninh khác giám sát tại chỗ.

Tại bệnh viện ung thư lớn nhất của Indonesia, Dharmais ở Jakarta, khoảng 100 – 200 người đã phải đợi sau khi bệnh viện nay bị tấn công mạng ảnh hưởng đến các kết quả máy tính. Vào cuối giờ sáng, một số người vẫn phải điền mẫu bằng tay nhưng bệnh viện cho biết 70% hệ thống đã được phục hồi trực tuyến.

Ở một số nước khác trong khu vực, các công ty đã cảnh báo người sử dụng và nhân viên không được nhấp vào các đính kèm hay các đường link. Một trường học ở Hàn Quốc đã không cho học sinh sử dụng Internet. Chính phủ Đài Loan đã nỗ lực không bị tác động lớn, có thể bởi vì các quy định ở nước này đều yêu cầu các bộ phận cài đặt cập nhật phần mềm khi có phiên bản cập nhật.

Văn phòng nhà xanh của Tổng thống Hàn Quốc cho biết có 5 trường hợp mã độc đã được phát hiện ở nước này, nhưng không cung cấp chi tiết về địa điểm các cuộc tấn công mạng được phát hiện.

Ở Australia, Dan Tehan, bộ trưởng phụ trách an ninh mạng cho biết có 3 doanh nghiệp đã bị tấn công, mặc dù có những quan ngại lây nhiễm mã độc diện rộng. Ở New Zeland có hai trường hợp không được báo cáo.

Ở Hong Kong, Gazeley cho biết nhóm của ông đã phát hiện ra một phiên bản virus mới không sử dụng thư điện tử để đánh lừa nạn nhân. Thay vào đó, nó đã tải các script vào các trang bị tấn công nơi người sử dụng nhấp vào một đường link độc hại sẽ bị ảnh hưởng trực tiếp. Gazeley cho biết thêm nhiều công ty lớn ở châu Á đã bị tấn công bởi mã độc tống tiền này.

Các chuyên gia an ninh mạng cho biết việc lan rộng của mã độc đã chậm lại kể từ khi xuất hiện vào hôm thứ Sáu 12/5. Đáng chú ý là những kẻ tấn công hay những kẻ tấn công mù quáng đã phát triển các phiên bản mã độc mới mặc dù một nghiên cứu viên an ninh đã tạo ra một phiên bản sớm hơn của mã độc cho Reuters biết phần lớn các báo cáo này đã cho thấy là sai.

Các địa chỉ tài khoản đã được mã cứng vào virus WannaCry độc hại đã cho thấy các kẻ tấn công đã nhận được gần 32.500 USD giá trị bitcoin nặc danh vào 7h sáng ngày Chủ nhật, nhưng số tiền này có thể gia tăng khi nhiều nạn nhân nhanh chóng thanh toán các khoản tiền chuộc từ 300 USD trở lên.

Mối đe dọa đã giảm nhiệt cuối tuần sau khi một nhà nghiên cứu ở Anh đã từ chối cho biết tên mình năng đăng tải trên mạng Twitter dưới cái tên @MalwareTechBlog cho biết đã tìm ra cách để giới hạn ít nhất là tạm thời việc lây lan của mã độc này bằng cách đăng ký một địa chỉ web để từ đó người này thông báo mã độc đang muốn kết nối.

QM (Theo Reuters)