Mã độc Petya 2017 tiếp tục hoành hành

12:23, Chủ Nhật, 09/07/2017 (GMT+7)

(XHTT) - Văn phòng tại TP.HCM của hãng tàu biển Đan Mạch Maersk được tường thuật đang bị hàng loạt đối tác là các công ty forwarder  "dí chạy có cờ" bởi vì không xử lý được lệnh giao hàng, in hóa đơn,...

Theo Reuters, đại diện Maersk vào hôm 6/7 đã phát đi thông báo cho biết hãng này kỳ vọng các hoạt động vận chuyển và giao hàng container sẽ trở lại vào đầu tuần tới sau gần 3 tuần gián đoạn bởi ảnh hưởng của cuộc tấn công mạng do mã độc tống tiền Petya phiên bản 2017.

Trong tuần vừa qua, Maersk - 1 trong 7 hãng vận tải biển lớn nhất thế giới - cũng đã khẳng định rằng đã khôi phục lại các hệ thống CNTT then chốt của hãng, nhưng vẫn đang xử lý những đơn hàng tồn đọng cũng như dồn lực để sớm đưa vào vận hành trở lại các điểm giao nhận của hãng này tại các bến cảng.

Đại diện Maersk cho biết, các đầu việc liên quan đến "xuất hàng" đã được khắc phục, song việc "nhập hàng" chưa hoàn thiện và hãng này có một kế hoạch chặt chẽ để đảm bảo rằng "việc phục vụ khách hàng" sẽ được tái vận hành ổn định vào đầu tuần tới.

Được biết, do bị mã độc Petya 2017 tấn công vào hệ thống máy chủ nên tính đến thời điểm hiện tại thì tất cả hách hàng vẫn không thể kiểm tra (track) tình trạng vận đơn của mình vốn đang do các đội tàu Maersk chuyên chở.

Thiệt hại khôn lường

Như Xã hội Thông tin đã có nhiều bản tin tường thuật, mã độc Petya phiên bản 2017 (hay còn có tên gọi khác là NotPetya theo đề xuất của hãng bảo mật Kaspersky) vẫn đang hoành hành tại châu Âu, Mỹ và thậm chí biến thể mới của ransomware này cũng đã bắt đầu tấn công vài mục tiêu ở khu vực châu Á.

Theo TTXVN, hai nhà sản xuất hàng tiêu dùng quy mô lớn hàng đầu thế giới là Reckitt Benckiser (Anh) và Mondelez International (Mỹ) cũng đã tuyên bố họ nhiều khả năng đối mặt với khoản thiệt hại lên đến hàng trăm triệu USD vì hậu quả của việc bị dính mã độc Petya 2017.

Trong khi đó, nhiều công ty và tổ chức khác là nạn nhân của biến thể mã độc Petya mới không tiết lộ những tổn thất tài chính, nhưng theo ước tính thì con số cũng ở mức "khủng" chẳng kèm gì vụ WannaCry.

Rủi ro tiềm ẩn... không chỉ là Petya 2017

Trong bản tin đăng hồi cuối tuần này, hãng thông tấn Reuters dẫn lời Phó Chánh văn phòng Tổng thống Ucraina, ông Dmytro Shymkiv nói rằng, các máy chủ tại công ty cung cấp phần mềm kế toán M.E.Doc vốn bị nghi ngờ là nguồn phát tán mã độc Petya 2017 đã không được thực hiện bất kỳ cập nhật, nâng cấp nào từ tháng 2/2013.

Ông Shymkiv, vốn là cựu giám đốc của Microsoft tại Ucraina, cho biết thêm rằng hiện chưa rõ có bao nhiêu máy tính tại quốc gia này đã bị ảnh hưởng bởi vụ tấn công mạng liên quan đến mã độc Petya 2017.

Vào chiều tối ngày thứ Ba 4/7, cảnh sát Ucraina đã tiến hành lục soát trụ sở văn phòng của công ty Intellect Service sau khi các quan chức và chuyên gia an ninh mạng phát hiện sự hiện diện của một virus dạng backdoor được viết trong vài bản nâng cấp của phần mềm kế toán M.E.Doc.

Màn hình trên một máy ATM ở thủ đô Kiev, Ucraina hiển thị thông báo đòi tiền chuộc sau khi nhiễm mã độc Petya 2017.
Màn hình trên một máy ATM ở thủ đô Kiev, Ucraina hiển thị thông báo đòi tiền chuộc sau khi nhiễm mã độc Petya 2017.

Được biết, M.E.Doc là phần mềm kế toán được 80% doanh nghiệp Ucraina sử dụng và đã được cài đặt trên khoảng 1 triệu máy tính tại quốc gia châu Âu này.

Cũng theo Reuters, Bộ trưởng Nội vụ Ucraina là ông Arsen Avakov cho biết cảnh sát nước này cũng đã chặn đứng thành công vụ tấn công thứ 2 từ các máy chủ liên quan dến phần mềm kế toán M.E.Doc.

Phó Chánh văn phòng Tổng thống Ucraina Dmytro Shymkiv cũng thừa nhận các bằng chứng mới nhất cho thấy vụ tấn công mạng nhằm vào các máy tính tại quốc gia này đã có sự chuẩn bị kỹ lưỡng, trình độ cao cũng như được điều phối tốt.

"Chúng tôi đang xem xét những phân tích được thực hiện trên máy chủ M.E.Doc, và từ những gì mà tôi thấy, thì nó thực sự lo ngại, nhưng lo ngại chỉ là cách dùng từ sao cho nhẹ nhàng mà thôi", ông Shymkiv nói, "Có bao nhiêu cổng hậu (backdoor) vẫn còn đang mở? Thực sự là chúng tôi chưa biết".

Về phần mình, đại diện công ty sản xuất phần mềm M.E.Doc vào hôm 5/7 cũng đưa ra cảnh báo rằng tất cả máy tính trong cùng hệ thống mạng mà có 1 máy tính bị nhiễm Petya 2017 thì hoàn toàn có thể bị tấn công bởi hacker. 

CEO Intellect Service là bà Olesya Bilousova thừa nhận, đã có một mã độc dạng backdoor bị hacker cài vào M.E.Doc, và thực tế là backdoor ấy phải được đóng lại ngay lập tức.

"Virus đang chờ đợi tín hiệu (tấn công). Đã có dấu chân của hacker trên các máy tính cho dù rằng những máy tính ấy không sử dụng phần mềm của chúng tôi (tức M.E.Doc)", bà Olesya nói.

Chiêu thức mới

Trong quá trình điều tra, các chuyên gia bảo mật không gian mạng nói rằng hacker đã cài vài mẫu virus vào bản nâng cấp phần mềm M.E.Doc, qua đó đánh lừa máy tính lẫn quản trị viên vô từ cài mã độc vào hệ thống tại các danh nghiệp, đồng thời nhận định đây là vụ tấn công mạng có quy mô lớn nhất và phức tạp nhất nhằm vào Ucraina tính đến thời điểm hiện tại.

"Chúng tôi đang trong một giai đoạn mới của bảo mật không gian mạng bởi lẽ cách hành xử của hacker là phức tạp", ông Leo Taddep - cựu nhân viên điều tra an ninh mạng tại FBI và hiện là giám đốc điều hành hãng bảo mật Cyxtera Technologies nói, "Tôi không nghĩ một hệ thống cung ứng (bản nâng cấp) lại có thể bị khai thác làm nơi triển khai các cuộc tấn công mạng".

Ảnh minh họa.
Ảnh minh họa.

Các chuyên gia tại Cisco Systems, sau khi xem xét các máy chủ của Intellect Service cũng phát hiện ra chi tiết hacker đã sử dụng mật khẩu đánh cắp từ một nhân viên để đăng nhập vào các máy tính của công ty này.

Sau khi giành được quyền hạn cần thiết trên máy chủ, kẻ tấn công đã viét lại các tập tin cấu hình, sau đó chuyển hướng người dùng (khách hàng sử dụng M.E.Doc) tìm kiếm các bản nâng cấp đến các phiên bản giả mạo được lưu trữ ở chỗ khác, mà cụ thể là tại máy chủ của một công web hosting ở Pháp.

Ông  Craig Williams - chuyên gia kỹ thuật cao cấp tại bộ phận nghiên cứu an ninh mạng Talos tại Cisco nói rằng, phần mềm bị cài backdoor có thể lây lan sang các máy tính khác cũng đồng nghĩa với việc kẻ tấn công có thể sử dụng chính các "cửa hậu" ấy để cài cấy những công cụ hiểm độc khác.

Tuy nhiên, cũng theo chuyên gia này, việc các máy chủ của Intellect Service bị "nhà chức trách tắt nguồn cách đây vài hôm" sẽ chắc chắn gây khó khăn cho công ty này đẩy xuống các bản vá lỗi hay nâng cấp "sạch" trong tương lai.

Hay nói cách khác, phần mềm M.E.Doc sẽ không thể kết nối với máy chủ để tải về hay nâng cấp tự động.

Đại diện Talos cũng bày tỏ quan ngại rằng, nhiều khả năng đợt tấn công mạng vừa qua có liên quan đến loạt hành động tấn công vào hệ thống điện Ucraina trước đó, cũng như mục tiêu chính của Petya 2017 là các cơ quan chính phủ và doanh nghiệp sản xuất, kinh doanh nhằm tạo sự bất ổn chứ không hẳn là vì tiền chuộc.

Tiền chuộc leo thang

Hồi giữa tuần rồi, trang công nghệ MotherBoard cho hay, một nhóm hacker đã đăng tin offline chào mời rằng họ có thể giải mã mọi tập tin bị Petya 2017 "đóng băng" nếu nạn nhân đồng ý trả khoản tièn chuộc 256.000 USD thông qua bitcoin.

Tuy nhiên, Reuters cho biết chưa kiểm chứng được tính chính xác của bản tin tường thuật của MotherBoard.

Dẫu vậy, Phó Chánh văn phòng Tổng thống Ucraina, ông Dmytro Shymkiv khuyến nghị, người dùng nên cẩn trọng với những giao dịch chuộc dữ liệu bởi mã độc được thiết kế sao cho giống như một ransomware nhằm che giấu những mục tiêu thực sự khác.

 

"Ban đầu, mọi người, trong đó có cả tôi, đều nghĩ đó chỉ là một vụ tấn công bởi virus", ông Shymkiv nói, "Đó không phải là hành vi tấn công bằng virus, nó mở một cửa hậu nhằm triển khai các đợt hack các mạng máy tính, và rồi sau đó nó kết thúc nhiệm vụ theo cách thức mà virus thường phá hoại".

Giống bọn cướp, mã độc xông vào nhà bạn, chúng đánh cắp mọi thứ (dữ liệu) và rồi đốt cháy ngôi nhà ấy để phi tang dấu vết, theo ông Shymkiv.

Thiên Uy

.
.
.
.

.
.
.