Truyền thuyết Bắc Âu cổ đại nói về một con rắn khổng lồ tên là Jörmungandr, lớn đến nỗi nó bao quanh thế giới và giữ cái đuôi của nó bên trong răng của nó.

Truyền thuyết tuyệt vời như thế này thường chỉ được nói đến trong thần thoại, nhưng thứ sáu tuần trước, chúng ta đã chứng kiến ​​sự ra đời của “con rắn thế giới thực”, một con sâu lây lan cho đến nay đã bao phủ toàn cầu, lây nhiễm các dịch vụ như quốc gia của Vương quốc Anh. Dịch vụ y tế và các công ty lớn ở các nơi khác trên thế giới như Telefónica ở Tây Ban Nha.

Mặc dù các chuyên gia vẫn đang cố gắng tìm ra cách sâu này tiếp tục lây lan như thế nào và cách chống lại mối đe dọa, chúng tôi có ý tưởng tốt về những gì đã xảy ra và cách bạn có thể hành động để ngăn chặn tổn hại cho hệ thống của bạn.

Chuyện gì đã xảy ra?

Vào ngày 12 tháng 5 năm 2017, một cuộc tấn công mạng khổng lồ đã diễn ra bởi một phần mềm ransomware chưa biết (đọc thêm về phần mềm ransomware tại đây). Cuối cùng được đặt tên là WannaCry, nó quản lý để lây nhiễm một hệ thống chưa từng có 230.000 trải rộng trên 150 quốc gia bằng cách sử dụng kết hợp lừa đảo và khai thác các hệ thống chưa được vá thông qua các khối thông báo máy chủ cục bộ (SMB).

Các ransomware sẽ khóa bạn ra khỏi các tập tin của bạn và cho bạn thấy một màn hình (hiển thị dưới đây) mà yêu cầu $ 300 trong Bitcoin trong vòng ba ngày để lấy lại quyền truy cập cho họ hoặc người nào khác giá sẽ tăng gấp đôi.

Mặc dù đây là cách mà phần mềm ransomware thường hoạt động, nhưng có một chút cản trở khiến nó lan truyền nhanh hơn. WannaCry đã tận dụng lợi thế của một lỗ hổng trong SMB (có trách nhiệm chia sẻ tệp và máy in) cho phép nó lây lan sang các máy tính khác trong cùng một mạng con. Nó chỉ lấy nhiễm trùng của một máy tính duy nhất để sa thải toàn bộ mạng. Đây là cơ bản những gì làm cho nhiễm trùng một cơn ác mộng cho NHS và các tổ chức lớn khác.

Có lẽ một điều đáng chú ý nữa cần đề cập ở đây là việc khai thác SMB được lấy từ lỗ hổng bộ công cụ hack NSA cách đây hơn một tháng. Chúng tôi đã báo cáo về sự rò rỉ tương tự của các tệp Vault 7 của CIA, cũng chứa nhiều hoạt động khai thác có thể được sử dụng tại bất kỳ thời điểm nào của tin tặc để viết phần mềm độc hại tương tự.

The Kill Switch

Một số nhà nghiên cứu bảo mật không xác định người đi theo biệt danh "MalwareTech" đã đăng ký một tên miền đã được tìm thấy trong mã của WannaCry đã ngăn chặn sự lây lan của phần mềm. Bạn thấy đấy, mỗi khi phần mềm độc hại chạy trên máy tính, nó sẽ kiểm tra xem liệu miền có tồn tại hay không (đó là iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, nhân tiện). Nếu nó được đăng ký, phần mềm độc hại sẽ có thể kết nối với nó và khi làm điều đó ngay lập tức sẽ ngừng lan rộng. Dường như tin tặc đã viết nó muốn kiểm tra các vùng biển và có một kế hoạch dự phòng trong trường hợp mọi thứ trở nên hoàn toàn có thể xảy ra. Khoảnh khắc tình cờ này đã ngăn chặn phần mềm ransomware khỏi bị tàn phá ... ít nhất là bây giờ.

Đây là sự thật nghiệt ngã: Không có kết thúc hạnh phúc ở đây. Biên dịch mã, và bạn có thể dễ dàng tìm thấy các phần mà ứng dụng gọi hàm WinAPI “InternetOpenURLA ()” hoặc “InternetOpenA ().” Cuối cùng, bạn sẽ có thể chỉnh sửa đoạn mã mà nó cố gắng kết nối với lệnh giết chuyển đổi tên miền. Nó không đòi hỏi một lập trình viên có kỹ năng cực kỳ để làm điều này, và nếu một số hacker có ý tưởng sáng tạo để tạo ra một phiên bản mới của WannaCry với công tắc diệt được chỉnh sửa trước khi mọi người vá lỗi hệ thống của họ, sự lây lan sẽ tiếp tục. Nhiều hacker tin tưởng hơn thậm chí sẽ chỉnh sửa tài khoản Bitcoin mà các khoản thanh toán phải đến và tạo ra lợi nhuận khổng lồ.

Các phiên bản của WannaCry với các tên miền chuyển đổi diệt khác nhau đã được phát hiện trong tự nhiên, và chúng tôi vẫn chưa xác nhận liệu một phiên bản mà không có một công tắc giết đã xuất hiện.

Bạn có thể làm gì?

Theo những gì đã xảy ra, Microsoft đã phản ứng nhanh chóng với các bản vá, thậm chí bao gồm các phiên bản hệ điều hành không được hỗ trợ như Windows XP. Miễn là bạn giữ cho hệ thống của bạn được cập nhật, bạn không nên trải nghiệm sự lây nhiễm cấp SMB. Tuy nhiên, bạn vẫn có thể bị nhiễm nếu bạn mở một email lừa đảo. Hãy nhớ không bao giờ mở các tệp thi hành được gửi dưới dạng tệp đính kèm email. Miễn là bạn tập thể dục một chút thận trọng, bạn sẽ có thể sống sót sau sự tấn công.

Đối với các tổ chức chính phủ đã bị tấn công, điều này sẽ không xảy ra nếu họ chỉ đơn giản là sẽ làm gián đoạn các hệ thống nhiệm vụ quan trọng của họ.

Chúng ta có nên mong đợi các cuộc tấn công táo bạo hơn sau khi tin tặc thực hiện khai thác được tìm thấy trong các rò rỉ an ninh gần đây của Mỹ không? Hãy cho chúng tôi biết những gì bạn nghĩ trong một bình luận!