Dấu hiệu và cách thức lây nhiễm: Petya lây lan qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Sau khi thực thi, máy tính bị nhiễm sẽ được khởi động lại, thay vào việc hệ điều hành được khởi động thì mã độc Petya được khởi động, yêu cầu người dùng cần trả 0.9 bitcoin (khoảng US $381) để đổi lấy khóa mã hóa khôi phục các tệp tin của hệ thống.  Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 2 cách chính để lây nhiễm sang máy bên cạnh: - Lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác). - Sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft. Các biện pháp phòng ngừa 1. Áp dụng các bản vá chống lại EternalBlue (MS17-010) theo như các hướng dẫn trước đây tại địa chỉ sau: http://antoanthongtin.thanhhoaict.gov.vn/n35c4-Huong_dan_ra_quet_va_va_lo_hong_bao_mat_lien_quan_ma_doc_WannaCry.htm 2. Cập nhật bản vá bảo mật đối với lỗ hổng CVE 2017-0199 theo địa chỉ sau: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 3. Trên các thiết bị bảo mật tại đơn vị (Firewall; IPS/IDS) tiến hành chặn các kết nối từ bên trong ra ngoài Internet tại các địa chỉ IP như sau: 185.165.29.78; 84.200.16.242; 111.90.139.247; 95.141.115.108 4. Chặn toàn bộ kết nối liên quan đến dịch vụ SMB (các cổng 445,137,138,139) từ ngoài Internet và trong mạng LAN thông qua phần mềm Antivirus/ Firewall trên các máy tính hoặc trên các thiết bị bảo mật (Firewall; IPS/IDS) tại hệ thống mạng của đơn vị. 5. Vô hiệu hóa giao thức SMBv1 theo hướng dẫn sau: https://support.microsoft.com/vi-vn/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows 6. Tắt WMIC (Windows Management Instrumentation Command-line) theo hướng dẫn sau: https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx 7. Tạo tệp tin “C:\Windows\perfc” để ngăn ngừa nhiễm mã độc. Đây là tập tin mã độc kiểm tra trước khi thực hiện các hành vi độc hại trên máy tính. Vào thư mục C:\Windows, tạo một file trống, không có đuôi mở rộng, đặt tên là “perfc” và thiết lập quyền chỉ được đọc file bằng cách nhấn chuột phải vào file, chọn Read Only. Để bảo vệ hạn chế sự lây nhiễm ransomware nào, người dùng nên: 1. Luôn nghi ngờ các tệp tin và tài liệu không mong muốn được gửi qua email, đặc biệt là các email phát tán mã độc như sau: [email protected] [email protected] [email protected] [email protected] 2. Không nên nhấp vào các liên kết bên trong trừ khi đã được xác minh nguồn gốc. 3. Luôn sao lưu các dữ liệu quan trọng. 4. Sử dụng và cập nhật thường xuyên các bộ phần mềm chống mã độc. 5. Quan trọng nhất là luôn duyệt Internet một cách an toàn. Theo ict.thanhhoa.gov.vv Đã một năm kể từ ngày Mã độc WannaCry bùng phát và lan rộng trên toàn thế giới vào tháng 5 năm 2017. Loại mã độc này khai thác một lỗ hổng bảo mật trong hệ điều hành Microsoft Windows, lây nhiễm trên 200.000 máy tính tại hơn 150 quốc gia và khóa dữ liệu của người dùng. Thủ phạm của các cuộc tấn công yêu cầu một khoản thanh toán Bitcoin trị giá 300 USD từ người bị nhiễm mã độc máy tính để đổi lấy việc mở khóa dữ liệu đó; nếu không trả tiền chuộc, dữ liệu sẽ bị hủy. Đến nay, một thực trạng đáng báo động đó là mã độc WannaCry vẫn len lỏi và hoành hành tại hầu hết các hệ thống mạng của các tổ chức, doanh nghiệp. Theo báo cáo từ các chuyên gia của Công ty bảo mật SecurityBox, trong quá trình triển khai đánh giá an ninh mạng tại các tổ chức, doanh nghiệp, 99% các tổ chức, doanh nghiệp được kiểm tra, đánh giá vẫn còn tồn tại lỗ hổng MS17010 - Lỗ hổng mã độc WannaCry khai thác và tấn công vào hệ thống mạng. Như vậy, nếu WannaCry tấn công trở lại thì nguy cơ lây nhiễm là rất cao. Điển hình là vụ việc công ty điện tử nổi tiếng LG mới đây đã bị WannaCry tấn công tại Hàn Quốc... Điều đáng nói ở đây khi kiểm tra tại nhiều đơn vị với hệ thống lên tới 1500 - 2000 thiết bị thì có tới 95% số lượng máy tính vẫn còn tồn tại lỗ hổng này. Kết quả đó cho thấy nhận thức của tổ chức, người dùng về việc phòng ngừa các nguy cơ an ninh, nguy cơ tấn công mạng vẫn còn ở mức đáng báo động. Một số giải pháp phòng chống mã độc WannaCry Theo các chuyên gia an ninh mạng tại SecurityBox, các doanh nghiệp và tổ chức có thể áp dụng nhiều phương án sau để giảm nguy cơ gây ra bởi những mối đe dọa này, trong đó cần chú trọng vào các vấn đề sau: cập nhật phần mềm, tạo các bản sao lưu dữ liệu, nâng cao chiến lược phòng thủ tổng thể và nâng cao nhận thức an ninh mạng. Luôn luôn cập nhật Khi có những thông tin đầu tiên về lỗ hổng MS17-010 vào tháng 4/2017, Microsoft ngay lập tức thông báo rằng họ đã phát hành một bản vá bảo mật cho lỗ hổng này. Thực tế, họ đã phát hành bản vá này vào tháng 3/2017 - một tháng trước những thông tin đầu tiên về lỗ hổng và vụ rỏ rỉ của NSA. Nếu mọi người cập nhật bản vá kịp thời, quy mô và mức độ thiệt hại gây ra từ WannaCry đã không nghiêm trọng như chúng ta đã chứng kiến. Thực tế, các bản cập nhật hệ thống thường gồm những bản vá bảo mật quan trọng để bảo vệ chúng ta trước các cuộc tấn công không gian mạng. Do đó, việc trì hoãn cập nhật hệ thống sẽ khiến người dùng chịu thiệt hại nặng nề khi các cuộc tấn công diễn ra. Hơn 200.000 nạn nhân của WannaCry đều là những máy tính chưa được vá lỗ hổng MS17-010. Mặc dù cuộc tấn công diễn ra hồi tháng 5/2017, người dùng đã không chịu cập nhật bản vá của Microsoft từ hồi tháng 3. Mỗi khi được thông báo về một bản cập nhật mới, hãy ghi nhớ rằng đó có thể là cách tốt nhất giúp bảo vệ chúng ta khỏi các cuộc tấn công như WannaCry. Nếu phải trì hoãn cài đặt, cố gắng đừng trì hoãn quá lâu. Tạo các bản sao lưu dữ liệu Cách đối phó an toàn nhất trước các cuộc tấn công mã độc tống tiền chính là tạo và bảo vệ các bản sao lưu dữ liệu. Nếu đã có bản sao tất cả dữ liệu, khi máy tính bị nhiễm mã độc tống tiền, người dùng chỉ cần làm sạch hệ thống khỏi mã độc và khôi phục dữ liệu đã sao lưu mà không phải quan tâm đến việc tống tiền và mất mát dữ liệu. Nhưng bản sao lưu chỉ có hiệu quả nếu ta thực hiện đúng cách. Khi áp dụng quy trình sao lưu, cần nhớ các quy tắc cơ bản: - Dữ liệu sao lưu nên được lưu trữ riêng biệt với hệ thống mà ta đang sao lưu. Nếu thực hiện sao lưu cục bộ trên một ổ cứng gắn ngoài, hãy để ổ đĩa đó được tháo ra khỏi hệ thống của bạn khi không sao lưu. Nếu sử dụng dịch vụ cloud lưu trữ dữ liệu, hãy nghiên cứu các biện pháp bảo vệ mà nhà cung cấp dịch vụ có để phòng ngừa lây nhiễm ransomware. - Thường xuyên kiểm tra lại bản sao lưu. Hãy coi bản sao lưu này là cách duy nhất bảo vệ ta trước một cuộc tấn công mã độc tống tiền. Cần đảm bảo quy trình hoạt động đúng, hãy định kỳ kiểm tra lại việc khôi phục dữ liệu. - Bảo vệ dữ liệu sao lưu như là bảo vệ dữ liệu gốc. Khi sao lưu thông tin nhạy cảm, đảm bảo rằng nó được mã hóa và bảo vệ bằng mật khẩu. Nếu đó là một ổ đĩa cứng vật lý, giữ nó ở nơi mà không ai có thể dễ dàng lấy nó. Nâng cao nhận thức về an ninh mạng Một tháng sau vụ tấn công WannaCry, một vụ tấn công bằng mã độc khác nghiêm trọng không kém là Petya (hoặc NotPetya). Mã độc này xóa hoàn toàn dữ liệu trên ổ cứng của máy tính bị lây nhiễm. Đặc biệt hơn, cách thức lây nhiễm của nó lại dựa trên chính lỗ hổng MS17-010 mà WannaCry từng sử dụng trước đó. Nhiều người trong chúng ta không hành động cho đến khi phát hiện ra mình đã là nạn nhân của một cuộc tấn công không gian mạn. Chúng ta cần phải chuẩn bị cho những mối đe dọa này trước khi quá muộn. Mặc dù biết rằng ban đầu ransomware được phân phối qua email với một tập tin đính kèm .zip nhưng bên cạnh đó thì một số người tải về sau đó chia sẻ lên các mạng xã hội, đây chính là một cách lây lan mà chúng ta khó kiểm soát và rất nguy hiểm. Do quá chủ quan với những gì công nghệ đang phát triển, chúng ta đang tự đưa mình vào những hiểm họa khi dùng những phần mềm và những đường link không an toàn; bên cạnh với sự hiểu biết về an ninh và hậu quả của nó gây ra mà một số người lại là người giúp việc tích cực cho việc phát tán chúng đi một cách nhanh chóng. Người dùng thiếu kiến thức trong an toàn thông tin, có một số người dùng đang dùng hệ điều hành không có nguồn gốc và miễn phí không chú trọng đến bản quyền; chưa có thói quen cập nhận lỗ hổng, cũng như các bản mới của nhà sản xuất. Một số doanh nghiệp chưa thấy rõ điều quan trọng của an toàn mạng và khi có sự cố thì mới đối phó, do đó sẽ dẫn đến hiện tượng phản ứng chậm, gây thiệt hại rất lớn. Đối với Việt Nam, chúng ta đang thiếu trầm trọng một người am hiểu và tư vấn đúng về công nghệ cho những hệ thống; ví dụ vào tháng 7/2016 chúng ta đã bị tấn công đối với hãng hàng không quốc gia Vietnamairline, mà có thể sẽi có những cuộc tấn công mới nếu chúng ta không phòng thủ ngay từ bây giờ. Nâng cao chiến lược phòng thủ tổng thể với các hệ thống giám sát mạng tự động Các hệ thống giám sát mạng tự động và quản lý bảo mật tập trung giúp tăng cường khả năng phòng thủ trong không gian mạng ngày càng rộng lớn khi các công ty dần mở rộng triển khai các thiết bị đầu cuối của mình trên toàn thế giới và sự phát triển của điện toán đám mây. An ninh mạng phải mở rộng trên các thiết bị đầu cuối cũng như dịch vụ điện toán đám mây, các doanh nghiệp và tổ chức cần áp dụng chính sách an toàn thông tin của mình tại bất kỳ đâu và kết nối chúng với các công cụ an ninh mạng quản lý tập trung tự động phát hiện và cảnh báo người dùng trước các mối đe dọa. |
