TTO - Một số doanh nghiệp lớn ở Ấn Độ, Úc đã báo cáo về việc bị mã độc đòi tiền chuộc Petya mới tấn công. Các nhà bảo mật khuyến cáo khả năng lây lan xảy ra tại Việt Nam.
Hệ thống máy tính của siêu thị Rost tại thành phố Kharkov (Ukraine) chết đứng ngày 27-6 khiến khách hàng cũng bối rối - Ảnh: Reuters |
“Chúng tôi khuyến cáo tất cả các tổ chức về việc sao lưu dữ liệu. Dữ liệu được sao lưu đúng lúc và đúng cách sẽ rất hữu dụng khi cần phục hồi lại các tập tin gốc trong trường hợp xấu nhất là dữ liệu bị mất |
Bà Võ Dương Tú Diễm (đại diện Kaspersky Lab tại Việt Nam) |
Sau khi ghi nhận các trường hợp tấn công bằng mã độc đòi tiền chuộc tại Ukraine và Nga ngày 27-6, mã độc mới nhanh chóng được báo cáo tấn công các hệ thống của những tập đoàn lớn của châu Âu sau đó.
Có vẻ chúng chỉ tập trung vào các tập đoàn doanh nghiệp lớn và các cơ quan chính quyền. Sang ngày 28-6, giới doanh nghiệp ở khu vực châu Á - Thái Bình Dương bắt đầu báo cáo về những trường hợp lây nhiễm tương tự .
Ấn Độ, Úc xác nhận dính mã độc Petya
Theo Hãng tin Reuters, trong ngày 28-6, một trong ba hệ thống mạng của Jawaharlal Nehru Port (JNPT) tại thành phố Mumbai - cảng container lớn nhất của Ấn Độ - bị sụp mạng.
Đây là hệ thống mạng do Hãng tàu A.P Moller-Maersk (MAERSKb.CO) của Đan Mạch vận hành, và được báo cáo có liên đới đến tận hệ thống bên thành phố Los Angeles (Mỹ). Ông Anil Diggikar, chủ tịch JNPT, kể với Reuters rằng công ty phải cho xếp container theo kiểu thủ công.
Cùng ngày 28-6, nhật báo Los Angeles Times đưa tin mã độc Petya đã tấn công vào hệ thống máy tính tại nhà ga lớn nhất của cảng Los Angeles, khiến mọi hoạt động tê liệt.
Các nhà ga của cảng Los Angeles do Tập đoàn vận tải biển A.P Moller-Maersk của Đan Mạch điều hành, chiếm khoảng 16% hạm đội tàu thế giới đã phải đóng cửa trong nhiều giờ do hệ thống công nghệ thông tin (IT) của công ty bị nhiễu loạn.
Công ty Beiersdorf (nhà sản xuất sản phẩm bảo vệ da Nivea) đặt tại Ấn Độ và Công ty Reckitt Benckiser (RB.L) cũng xác nhận với Reuters rằng một số hệ thống mạng của mình bị nhiễm mã độc mới có tên gọi Petya.
Tại Úc, một quan chức quản lý doanh nghiệp xác nhận với Hãng tin Reuters rằng hệ thống mạng của một nhà máy sản xuất sôcôla Cadbury bị nhiễm mã độc. Việc sản xuất của nhà xưởng Hobart trên đảo Tasmania của Úc đã phải ngừng từ tối 27-6 do hệ thống máy tính tắt ngúm.
Chủ sở hữu của Cadbury là Tập đoàn Mondelez International Inc (MDLZ.O) đã phát đi thông báo về vấn đề trục trặc kỹ thuật mạng với các đơn vị của mình khắp toàn cầu.
Các công ty bảo mật Kaspersky Lab và FireEye Inc (FEYE.O) thông tin với Hãng Reuters rằng họ đã ghi nhận những vụ tấn công vào các doanh nghiệp ở một số quốc gia trong khu vực châu Á - Thái Bình Dương nhưng không cung cấp thêm chi tiết.
Một nhân viên công ty chi nhánh tại Hong Kong của Tập đoàn WPP, tập đoàn đa quốc gia chuyên về quảng cáo và quan hệ công chúng, chụp ảnh ghi dấu máy tính nhiễm mã độc ngày 28-6 - Ảnh: Reuters |
Máy tính Việt Nam có thể bị tấn công
Theo đánh giá của Hãng bảo mật Kaspersky Lab với Tuổi Trẻ, mã độc Petya nguy hiểm hơn WannaCry (từng gây ra cuộc tấn công toàn cầu hồi tháng 5 vừa qua) do mã hóa toàn bộ ổ cứng và có khả năng lây lan rộng trong mạng nội bộ.
Đây là một vụ tấn công vô cùng phức tạp bao gồm nhiều hình thức tấn công. Trong đó, một chi tiết rất đáng chú ý là một lỗ hổng EternalBlue (từng bị khai thác trong các cuộc tấn công của mã độc WannaCry tháng trước) đã được chỉnh sửa và được sử dụng cho sự lây lan lần này trong mạng lưới doanh nghiệp.
Chuyên gia bảo mật Nguyễn Minh Đức, giám đốc hệ thống bảo mật thông minh Cyradar, đánh giá: “Với tốc độ lây lan và danh sách các nạn nhân của Petya tại châu Âu, chúng ta có thể thấy độ nguy hiểm của nó không thua kém gì WannaCry.
Cùng khai thác lỗ hổng tương tự, nên việc Petya có thể lây lan sang khu vực châu Á và Việt Nam là hoàn toàn có thể xảy ra. Do đã có những đề phòng và chuẩn bị hạ tầng từ vụ WannaCry, nên các doanh nghiệp, tổ chức Việt Nam sẽ có thể đỡ vất vả hơn trong khâu sẵn sàng ứng phó.
Tuy nhiên, chúng ta cũng không nên chủ quan vì nếu đã bị lây nhiễm thì không có gì đảm bảo cho việc trả tiền mà lấy lại được dữ liệu cả”.
Cùng chung đánh giá, ông Vũ Ngọc Sơn - phó chủ tịch phụ trách mảng chống mã độc thuộc Tập đoàn Bkav - cũng cho rằng khả năng phát tán mã độc tại Việt Nam trong thời gian tới là cao.
“Mã độc Petya kết hợp nhiều hình thức phát tán và hình thức khai thác lỗ hổng SMB trong hệ điều hành Windows giống như cách thức WannaCry lây nhiễm tháng trước. Do vậy, khả năng phát tán của mã độc này cao hơn WannaCry” - ông Sơn nhận định.
Theo thống kê của Công ty an ninh mạng CMC Infoset, Việt Nam hiện vẫn còn hơn 9.700 máy chủ có nguy cơ lây nhiễm rất cao với các mã độc khai thác qua EnternalBlue. Phần lớn các máy chủ này thuộc về các tập đoàn, công ty và tổ chức lớn.
Mặc dù ở thời điểm hiện tại chưa phát hiện trường hợp lây nhiễm cụ thể tại Việt Nam, tuy nhiên với tình trạng các máy chủ và máy cá nhân dùng không được vá như hiện tại, việc lây lan ồ ạt tại Việt Nam trong thời gian ngắn là điều có thể xảy ra.
“Dễ bị lây nhiễm nhất là các hòm thư điện tử do doanh nghiệp, tổ chức tự vận hành, đặc biệt là các máy chủ chạy mail servers trên Windows. Các tổ chức, doanh nghiệp sở hữu địa chỉ email dạng ten@abc.gov.vn hoặc ten@abc.com.vn cần hết sức lưu ý” - đại diện CMC Infoset cảnh báo.
Cần làm gì? Bà Võ Dương Tú Diễm, đại diện Kaspersky Lab tại Việt Nam, khuyến cáo tất cả đơn vị đang sử dụng hệ điều hành Windows XP và Windows 7 về việc cài đặt bản vá MS17-010 của Microsoft để bảo vệ trước đợt tấn công này. Bên cạnh đó, người dùng và các tổ chức nên nghiêm túc thực hiện các biện pháp phòng vệ như sau: - Không truy cập vào các đường dẫn hoặc các tập tin đính kèm trong email, trong các tin nhắn trừ khi xác nhận được những tập tin đính kèm và đường dẫn này là an toàn; - Sử dụng tính năng AppLocker của hệ điều hành Windows để vô hiệu hóa bất cứ tập tin thực thi nào có mang tên perfc.dat cũng như của tính năng PSExec (một phần của Sysinternals Suite); - Sử dụng công cụ phòng chống mã độc tống tiền (miễn phí) của Kaspersky Lab để tăng cường bảo vệ; - Các quản trị viên bộ phận an ninh mạng cần thông báo cho người dùng trong tổ chức/công ty biết về mã độc mới để nâng cao cảnh giác; - Trang bị ngay biện pháp bảo vệ hiệu quả trước mã độc đòi tiền chuộc cho các thiết bị của bạn. |
Microsoft nhìn nhận kẽ hở của Windows Tập đoàn Microsoft xác nhận vụ tấn công mạng bằng mã độc đòi tiền chuộc bắt đầu từ ngày 27-6 là do khai thác kẽ hở của hệ điều hành Windows. Một người phát ngôn của tập đoàn công nghệ hàng đầu của Mỹ xác nhận với Hãng tin AFP: “Mã độc đòi tiền chuộc đã sử dụng nhiều kỹ thuật để phát tán lây nhiễm, gồm cả công cụ vá lỗi MS17-010 do Microsoft sử dụng để vá lỗi cho các hệ điều hành từ Windows XP cho đến Windows 10”. Trong vụ tấn công mã độc WannaCry hồi tháng 5, phía Microsoft đã gửi thông báo yêu cầu khách hàng của mình sử dụng bản vá lỗi MS17-010. Người phát ngôn của Microsoft cũng kêu gọi khách hàng cẩn thận khi mở các tệp tin không rõ nguồn bởi “mã độc đòi tiền chuộc thường sử dụng thư điện tử để phát tán”. |
Cơ quan an ninh Quốc gia Mỹ có dính líu? Trang WikiLeaks ngày 28-6 đã tiết lộ rằng các công cụ tấn công mạng được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA) đã được sử dụng trong cuộc tấn công mạng quy mô lớn lần này. Đài truyền hình CNN đưa tin: "Các nhà nghiên cứu cho rằng vụ tấn công ngày 27-6 sử dụng một lỗ hổng của hệ điều hành Windows với tên gọi EternalBlue để tấn công mạng lưới các công ty. Mã độc WannaCry trước đây cũng đã tận dụng khai thác lỗ hổng EternalBlue và được biết tới như một trong các công cụ tấn công mạng của NSA". Trước đó, trang WikiLeaks đã cung cấp dữ liệu về EternalBlue và các chương trình tấn công mạng khác, cho rằng các chương trình này do NSA phát triển và được các cơ quan đặc biệt của Mỹ sử dụng. |