Truy tìm nguồn gốc WannaCry

Nguy cơ về ransomware không phải là mới, nó là một loại phần mềm độc hại xâm nhập vào thiết bị đầu cuối với mục đích mã hóa tất cả các tệp trên đó và sau đó yêu cầu một khoản thanh toán tiền chuộc để trả lại cho chủ sở hữu hợp pháp của chúng.

Đại diện IBM X-Force cho biết, các mối đe dọa này phát sinh từ năm 1989, khi nó lần đầu tiên xuất hiện trên đĩa mềm gửi đến các chủ sở hữu máy tính không nghi ngờ. Nó đã đạt được đà tăng trưởng nhanh từ năm 2014 cùng với sự gia tăng mật mã được sử dụng trên toàn cầu, cho phép bọn tội phạm mạng theo cách yêu cầu thanh toán từ bất kỳ ai và giữ cho mình vô danh.

Ransomware trở thành mối đe dọa trực tuyến phổ biến nhất vào năm 2016, với hơn 40.000 cuộc tấn công mỗi ngày, chiếm hơn 65% tất cả các thư rác có chứa các tải trọng nguy hiểm.

Các nhà nghiên cứu của IBM X-Force theo dõi các xu hướng spam đã chỉ ra rằng sự gia tăng số lượng thư rác vào năm 2016 đã lên tới 6.000%, từ 0,6% thư rác vào năm 2015, tới 40% tổng số spam spam vào năm 2016. Tình hình năm 2017 càng tồi tệ hơn.

FBI và cơ quan thực thi pháp luật quốc tế đã đưa ra cảnh báo về mối đe dọa này. FBI ước tính rằng ransomware sẽ là một nguồn thu nhập trị giá 1 tỷ USD cho tội phạm mạng vào cuối năm 2016, một con số dự kiến ​​tiếp tục gia tăng vào năm 2017.

Vụ tấn công mạng toàn cầu lớn nhất sử dụng ransomware bắt đầu vào sáng thứ sáu, ngày 12/5/2017 và không có dấu hiệu chậm lại. WannaCry ransomware đã đánh trúng các tổ chức ở hơn 100 quốc gia trong vòng 48 giờ với hơn 300.000 hệ thống ở hơn 100 quốc gia được cho là bị tổn hại. Con số này tiếp tục gia tăng trong những ngày tiếp theo.

Các cuộc tấn công WannaCry đã làm tê liệt cơ sở hạ tầng quan trọng, bao gồm các bệnh viện, viễn thông và phân phối, dịch vụ chuỗi cung ứng. Sự phát tán của WannaCry chỉ bị chậm lại sau khi một nhà nghiên cứu bảo mật tìm ra một công cụ "kill switch" đã có thể ngăn chặn phần mềm độc hại thực thi. Cần lưu ý rằng hiệu quả của việc chuyển đổi kill trong thời gian dài là không xác định được vì cấu hình của các mạng công ty có thể cho phép nó bị bỏ qua.

Các đội phân tích mã độc của IBM phân tích tất cả các bằng chứng để hiểu rõ hơn về cuộc tấn công và hiểu nguồn gốc của nó. Sau khi phân tích hơn 1 tỷ email spam và dữ liệu từ nhiều môi trường khách hàng, các chuyên gia khẳng định không có bằng chứng cho thấy vụ việc này đã bắt đầu thông qua một email lừa đảo giả mạo. Tuy nhiên phân tích vẫn tiếp tục để hiểu cách người dùng và các tổ chức bị nhiễm WannaCry. Điều này có nghĩa là phương thức tấn công ban đầu cho WannaCry vẫn không được biết một cách rõ ràng.

Dựa trên phân tích của IBM X-Force, dường như những nạn nhân ban đầu của WannaCry không bị lây nhiễm bằng cách mở các e-mail hoặc tệp đính kèm độc hại. Điều này có nghĩa là bọn tội phạm có thể xâm nhập bằng các phương tiện khác vào hệ thống. Điều này làm cho việc tìm ra "bệnh nhân zero" thậm chí còn quan trọng hơn trong cuộc điều tra. IBM X-Force đang tích cực làm việc với một số nạn nhân để theo dõi dữ liệu này.

Với sự phổ biến rộng rãi của công cụ ransomware WannaCry ở Đông Âu và Châu Á, nhóm nghiên cứu gợi ý rằng các khu vực này có thể đang sử dụng phần mềm Microsoft cũ hơn không được hỗ trợ hoặc là bản sao chép lậu. Hạn chế về ngân sách thường cản trở các tổ chức ưu tiên áp dụng các bản vá lỗi một cách tích cực. Ngay cả trong những môi trường CNTT phức tạp nhất, việc kiểm tra những gợi ý của miếng vá trên hệ thống của họ thường làm chậm trễ.

IBM X-Force Research cho rằng phần lớn những người trả tiền chuộc là những người dùng cá nhân bị nhiễm mã độc. Nếu có hơn 300.000 thiết bị đầu cuối đã được báo cáo là bị nhiễm bệnh, và nạn nhân đã chọn để trả 300 đô la để mở khóa mỗi thiết bị, tiền chuộc sẽ lên tới hơn 90 triệu đô la. Hãy nhớ đây là trường hợp giả định tối thiểu. Yêu cầu đòi tiền chuộc của WannaCry có thể bắt đầu từ 300USD. Tiền chuộc cũng tăng sau 3 ngày đến 600 USD. Các trường hợp ransomware trong quá khứ, đôi khi các tổ chức đã có thể đàm phán về mức giá chuộc giảm xuống.

Ai đứng đằng sau những cuộc tấn công?

Cũng giống như các cuộc tấn công mạng, hầu hết các cuộc tấn công trên mạng là khó tạo ra. Có một số tính năng đã thấy trong các cuộc tấn công cho biết rằng có thể đó là tội phạm mạng chuyên nghiệp. Mặc dù IBM Security đồng ý với sự phân tích có sự chồng chéo mã tồn tại giữa WannaCry2 và Cantopee, cửa sau được sử dụng bởi Lazarus Group. Điều này  giúp sớm kết nối tới kẻ cụ thể chỉ đạo sau tấm màn đen. Cần có nhiều bằng chứng hơn dữ liệu đơn lẻ này trước khi có thể kết luận tác giả của chúng.

Phần mềm WannaCry sử dụng mã hóa mạnh, bất đối xứng, sử dụng mật mã RSA 2048 để mã hóa các tệp tin. Sử dụng phương pháp này được coi là tương đối chậm so với mật mã đối xứng, nhưng nó rất mạnh và hầu như không thể phá vỡ.

Kiến trúc của phần mềm độc hại là mô đun và tính năng được biết là được sử dụng trong phần mềm hợp pháp hoặc trong các dự án phần mềm độc hại phức tạp như TroyBank. Mã độc ransomware thiết kế không phải là mô đun và việc thực hiện các nhiệm vụ của nó cũng không có bất kỳ mô đun nào. Điều này có nghĩa là các tác giả phía sau WannaCry có nhiều khả năng là một nhóm người, không chỉ là một nhà phát triển và thậm chí một trong những băng đảng tội phạm mạng có tổ chức phân phối các phần mềm độc hại như Dridex và Locky.

Rõ ràng, những kẻ tấn công này rất chuyên nghiệp. Cuộc tấn công lan rộng có mức độ nghiêm trọng cao và mặc dù mã khai thác được sử dụng để tấn công được vá vào năm 2014. Chuyện này xảy ra như thế nào?

Quy mô của cuộc tấn công này có thể xảy ra do một lỗ hổng trong Hệ điều hành Microsoft Windows. Việc khai thác được gọi là ETERNAL BLUE tận dụng lợi thế của lỗ hổng Microsoft SMB đã được vá bởi Microsoft với MS17-010. Sự khai thác ETERNAL BLUE đã được làm sẵn có từ nhóm "ShadowBrokers" sau khi họ bị cáo buộc là công cụ NSA công khai. SMB là một giao thức dùng để chia sẻ (các tệp, máy in, các thứ khác) giữa các máy chủ Windows.

WannaCry quét mạng và Internet cho các máy để lây lan mà Windows SMB dễ bị tổn thương vá lỗi. Điều này cho phép nó lây lan mà không có người sử dụng phải mở một tài liệu bị nhiễm bệnh. Đây là một dạng "sâu" bởi vì nó có thể lan truyền trên riêng của mình mà không có người hoặc tin tặc giúp đỡ.

Sự kiện này là một lời nhắc nhở vang dội về những điều cơ bản về kiểm thử “làm sạch” phần mềm, đặc biệt là khi vá lỗi sản phẩm của Microsoft. Cuộc tấn công có thể đã hoàn toàn tránh được nếu các bản vá lỗi của Microsoft Windows được áp dụng kịp thời qua các mạng lưới tổ chức trong các ngành. Các tổ chức không ngừng cố gắng để duy trì các chu trình vá thường xuyên vì việc áp dụng các bản vá có thể ảnh hưởng đến hoạt động hàng ngày trong một số trường hợp.