WannaCry liên quan đến nhóm tin tặc tấn công Sony Pictures?

Theo Kaspersky Lab, số lượng các nỗ lực tấn công của WannaCry được phát hiện bởi hãng này vào thứ Hai, 15/5 đã giảm xuống 6 lần so với cùng thời điểm thứ 6 ngày 12/5. Điều này cho thấy sự lây nhiễm có thể đã được kiểm soát.

Sự tiến hóa của ransomware 

Vào thứ Sáu ngày 12/5, các tổ chức trên khắp thế giới bị tấn công đòi tiền chuộc đồng loạt bởi mã độc có tên là WannaCry, bằng cách khai thác một lỗ hổng (đã được vá) của Microsoft Windows được tiết lộ là Shadowbrokers vào ngày 14/3. Các nhà nghiên cứu của Kaspersky Lab đã tiếp tục theo dõi sự tiến triển của mối đe dọa này vào cuối tuần vừa qua. 

Tổng số các biến thể lưu hành vào ngày 11/5 vẫn còn chưa rõ ràng - nhưng cuối tuần qua đã có hai biến thể đáng chú ý xuất hiện: md5: d5dcd28612f4d6ffca0cfeaefd606bcf kết nối đến: ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com và md5: d724d8cc6420f06e8a48752f0da11c66. 

Biến thể đầu tiên bắt đầu lan rộng vào sáng Chủ nhật và được vá để kết nối với một tên miền khác. Cho đến thời điểm này, Kaspersky Lab đã ghi nhận được ba nạn nhân của biến thể này tại Nga và Brazil. 

Biến thể thứ hai xuất hiện trong suốt tuần qua dường như đã được vá để loại bỏ các chức năng vô hiệu hóa. Biến thể này không lan rộng, có thể do thực tế nó có lỗi. 

Kaspersky Lab cho rằng bất kỳ một biến thể nào trong số đó được tạo ra bởi các tác giả ban đầu - rất có thể chúng đã được vá bởi những người khác muốn khai thác các cuộc tấn công cho riêng họ.

Số lượng lây nhiễm đến nay 

Rất khó để ước tính tổng số ca bị lây nhiễm. Kaspersky Lab ghi nhận rằng đã có hơn 45.000 người dùng bị tấn công, tuy nhiên đây chỉ là một phần của tổng số các cuộc tấn công (Phản ánh bởi các khách hàng của Kaspersky Lab). 

Bối cảnh tình hình thế giới có thể thấy rõ hơn qua kỹ thuật sinkhole cho tính năng ngắt kết nối dữ liệu trên hầu hết các phiên bản của Wannacry: hiện nay sinkhole Malwaretech đã ghi nhận khoảng 200.000 trường hợp khi thu thập dữ liệu chuyển tiếp từ mã 'kill switch'. 

Cần lưu ý rằng con số này chưa bao gồm các trường hợp lây nhiễm trong các mạng doanh nghiệp mà đòi hỏi phải có máy chủ Proxy kết nối với Internet, có nghĩa là số nạn nhân thực tế hoàn toàn có thể cao hơn. 

Mối liên hệ giữa WannaCry và Lazarus Group 

Vào thứ Hai ngày 15/5, một nhà nghiên cứu bảo mật từ Google đã đăng tải lên Twitter thông tin chỉ ra khả năng có một sự liên kết giữa các cuộc tấn công đòi tiền chuộc WannaCry (vào hàng ngàn các tổ chức và người dùng cá nhân trên toàn thế giới) và mã độc có liên quan đến nhóm Lazarus khét tiếng, chịu trách nhiệm cho hàng loạt các cuộc tấn công phá hoại vào các tổ chức chính phủ và các tổ chức tài chính. Các hoạt động lớn nhất liên quan đến nhóm Lazarus bao gồm: các vụ tấn công vào hãng Sony Pictures năm 2014, Ngân hàng Trung ương Bangladesh năm 2016 và hàng loạt các vụ tấn công tương tự vẫn tiếp tục vào năm 2017. 

Nhà nghiên cứu của Google đã chỉ ra một mẫu mã độc WannaCry xuất hiện vào tháng 2/2017, 2 tháng trước khi xảy ra hàng loạt vụ tấn công gần đây. Các nhà nghiên cứu của Kaspersky Lab đã phân tích thông tin này, xác định và đã xác nhận sự giống nhau rõ ràng của mã giữa mẫu mã độc được đưa ra bởi nhà nghiên cứu của Google và các mã độc sử dụng trong các cuộc tấn công năm 2015 của nhóm Lazarus. 

Phân tích của các mẫu mã độc tháng Hai năm nay so với các mẫu mã độc WannaCry sử dụng trong các cuộc tấn công gần đây cho thấy rằng mã code có thể chỉ ra nhóm Larazus đã bị loại bỏ khỏi mã độc WannaCry sử dụng trong các cuộc tấn công thứ Sáu vừa qua. Điều này có thể là một nỗ lực nhằm che giấu các dấu vết được thực hiện bởi những người phụ trách chiến dịch WannaCry.

Mặc dù sự tương đồng này không hẳn là chứng cứ cho sự kết nối mạnh mẽ giữa mã độc đòi tiền chuộc WannaCry và nhóm Lazarus, nhưng nó cũng có thể dẫn đến những bằng chứng mới mà có thể làm sáng tỏ nguồn gốc của WannaCry mà hiện nay vẫn đang là một bí ẩn.

Để giảm rủi ro bị lây nhiễm, Kaspersky khuyến cáo cài đặt bản vá chính thức từ Microsoft để ngăn chặn lỗ hổng bị sử dụng để tấn công (Đã có các bản vá có sẵn cho Windows XP, Windows 8, and Windows Server 2003 Windows XP, Windows 8, và Windows Server 2003); Đảm bảo rằng các giải pháp bảo mật được bật trên tất cả các nút của mạng; Cài đặt công cụ miễn phí Kaspersky Anti-Ransomware Tool cho doanh nghiệp (KART)…

QA