Mã độc WannaCry có dính dáng đến Triều Tiên

Chuyên gia nghiên cứu của Google phát hiện mã của WannaCry có nhiều điểm chung với mã độc từng được sử dụng để tấn công Sony Pictures do Triều Tiên hậu thuẫn cách đây hai năm.

Mã độc tống tiền WannaCry đang hoành hành trên toàn thế giới và có thể sẽ còn kéo dài. Một câu hỏi được đặt ra ai đứng sau mã độc này.

Chuyên gia Neel Mehta của Google nhận thấy, một phiên bản mã của WannaCry có các điểm tương tự với mã độc do nhóm tin tặc Lazarus phát tán hồi tháng 2/2015. Nhóm này, được cho là do Triều Tiên hậu thuẫn, đã tấn công vào máy chủ của Sony Pictures, tiết lộ hàng loạt dữ liệu bí mật và hạ thấp uy tín công ty.

Mới đầu tháng 4/2017, công ty an ninh mạng Kaspersky của Nga cho biết hoạt động tấn công mạng xuất phát từ Triều Tiên đang gia tăng, nhắm tới nhiều tổ chức tài chính, ngân hàng ở ít nhất 18 quốc gia, trong đó có Việt Nam. Hacker thực hiện các vụ tấn công này là Lazarus, có nguồn gốc từ Triều Tiên. “Triều Tiên là một phần rất quan trọng trong chương trình này”, Vitaly Kamluk, trưởng bộ phận nghiên cứu châu Á – Thái Bình Dương của Kaspersky, phát biểu.

Trước phát hiện mới của chuyên gia Google tuần này về sự liên quan của mã độc WannaCry với mã độc do Lazarus sử dụng, Kaspersky đã tham gia tìm hiểu và cũng khẳng định đúng là có sự giống nhau. Hãng bảo mật Symantec cũng lên tiếng công nhận mối liên quan giữa hai đoạn mã, nhưng cho biết sẽ nghiên cứu thêm để tìm ra những bằng chứng đủ mạnh hơn.

 

Trước đó, một số chuyên gia bảo mật dự đoán nhóm hacker Shadow Brokers là thủ phạm phát tán WannaCry, dựa trên công cụ mạng (cybertool) do Cơ quan An ninh Nội địa Mỹ (NSA) phát triển. NSA đã xây dựng một công cụ cho phép khai thác lỗ hổng trong hệ thống Microsoft, đặt tên là EternalBlue nhưng giữa năm 2016, hệ thống máy chủ của họ bị Shadow Brokers đột nhập và đánh cắp hàng trăm công cụ hack, trong đó có công cụ khai thác EternalBlue. Theo NYTimes, NSA không thừa nhận đồng thời cho biết đang điều tra nguyên nhân.

WannaCry là một biến thể của mã độc tống tiền (ransomware), còn có tên gọi khác là WannaCrypt0r 2.0 hay WCry, bắt đầu bùng phát trên toàn thế giới từ ngày 11/5. Ransomware nguy hiểm bởi chúng “hiểu” dữ liệu của người dùng luôn quan trọng và việc giữ dữ liệu làm “con tin” sẽ có hiệu quả hơn là chỉ đánh cắp hoặc xóa đi.

WannaCry đang là nỗi khiếp sợ cho hàng triệu người dùng máy tính khi đã gây ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân trong khoảng 150 quốc gia trên thế giới chỉ sau hơn 2 ngày xuất hiện.

Việt Nam nằm trong top 20 quốc gia, vùng lãnh thổ bị ảnh hưởng nhất, bên cạnh Ukraina, Ấn Độ, Trung Quốc, Đài Loan… Trên đồ họa của New York Times về WannaCry, Việt Nam xuất hiện với “điểm nóng” là Hà Nội và TP HCM. Công ty Bkav cho biết có tới 52% máy tính ở Việt Nam tồn tại EternalBlue – lỗ hổng đang bị mã độc WannaCry khai thác.

Bản đồ vùng ảnh hưởng của virus WannaCry, Việt Nam xuất hiện với điểm nóng là Hà Nội và TP HCM
Bản đồ vùng ảnh hưởng của virus WannaCry

Để tránh các tác hại của WannaCry, người dùng nên thường xuyên sao lưu dữ liệu, cập nhật ngay lên phiên bản Windows mới nhất. Cài đặt các phần mềm diệt virus nổi tiếng bản mới nhất và không mở các email lạ, giả mạo cũng là điều cần phải làm triệt để trong thời gian này.

Theo Châu An – Sohoa.vnexpress.net

(Visited 18 times, 1 visits today)

Đánh giá bài viết : 1 Star2 Stars3 Stars4 Stars5 Stars (Chưa có đánh giá)