Làm thế nào phòng và chống Ransomware WannaCry/Wcry Làn sóng nhiễm WanaCrypt0r – biến thể của WannaCry/Wcry đang tràn lan trên toàn cầu. Vậy thực chất loại mã độc tống tiền này là gì và cách phòng chống ra sao? Tiếp tục bài viết “Bảo vệ khỏi cuộc tấn công ransomware cực lớn đang diễn ra trên toàn cầu“, nhật ký công nghệ sẽ giải thích chi tiết nguyên lý hoạt động của ransomware WannaCry / WCry và đưa ra phương hướng phòng và chống trong các tổ chức, doanh nghiệp. Một làn sóng nhiễm độc ransomware chưa từng thấy đang đánh vào các tổ chức thuộc mọi ngành công nghiệp trên thế giới. Thủ phạm được phát hiện với tên gọi WannaCry / WCry ransomware (Trend Micro đã đặt mã nhận diện cho ransomware này là RANSOM_WANA.A and RANSOM_WCRY.I) hiện tại đã gây ra biết bao nhiêu thiệt hại trên toàn cầu. Hãng bảo mật Trend Micro khẳng định, thực tế Trend Micro đã theo dõi WannaCry từ khi nó nổi lên vào tháng 4 năm 2017. Sau đây là những gì mà người dùng cá nhân và doanh nghiệp cần biết về mối đe dọa lan rộng này và những gì có thể làm để chống lại WannaCry / WCry ransomware. Chuyện gì đã xảy ra? Mới đây, một số công ty ở châu Âu đã phát tín hiệu đầu tiên về việc các hệ thống Windows quan trọng của họ bị khóa và yêu cầu một khoản tiền chuộc. Sau đó, rất nhiều vụ tương tự diễn ra và phát triển thành một trong những vụ phá hoại ransomware lớn nhất từ trước đến nay. Cuộc tấn công này hiện đang ảnh hưởng đến một số lượng lớn các tổ chức trên khắp thế giới. Một số tổ chức bị ảnh hưởng đã phải chuyển cơ sở hạ tầng IT của họ sáng trạng thái ngoại tuyến (offline). Các nạn nhân hoạt động trong ngành chăm sóc sức khoẻ phải gián đoạn nhiều hoạt động và buộc phải chuyển bệnh nhân sang nơi khác cho đến khi hệ thống được tái hoạt động. Những ai bị ảnh hưởng do cuộc tấn công này? Biến thể của WannaCry ransomware tấn công các hệ thống cũ của Windows và để lại những thiệt hại vô cùng nghiêm trọng. Dựa trên bộ đo từ xa của Trend Micro, châu Âu có số lượng bị nhiễm ransomware WannaCry nhiều nhất. Tiếp đó là khu vực Trung Đông, Nhật Bản và một số quốc gia thuộc khu vực Châu Á Thái Bình Dương (APAC). Cửa sổ hiện ra yêu cầu nạn nhân trả tiền chuộc dữ liệu bằng bitcoin. Sự lây nhiễm của WannaCry đã ảnh hưởng đến nhiều doanh nghiệp thuộc nhiều ngành nghề khác nhau, bao gồm cả y tế, sản xuất, năng lượng (dầu khí), công nghệ, thực phẩm và sản xuất nước giải khát, giáo dục, truyền thông và chính phủ. Do tính chất phổ biến rộng rãi của chiến dịch này, dường như hacker không nhắm mục tiêu đến nạn nhân hoặc ngành cụ thể. Ransomware WannaCry làm gì? WannaCry ransomware tấn công và mã hóa 176 loại tập tin (file type). Một số loại tập tin mà WannaCry hướng đến là cơ sở dữ liệu, dữ liệu đa phương tiện, các tập tin lưu trữ, cũng như văn bản Office. Trong yêu cầu tiền chuộc hỗ trợ 27 ngôn ngữ, ban đầu hacker đòi 300 triệu đồng Bitcoin từ nạn nhân. Sau đó, khoản tiền này tăng dần sau một thời gian nhất định. Nạn nhân cũng được đưa ra một giới hạn bảy ngày trước khi các tập tin bị ảnh hưởng bị xóa – một chiến thuật gây lo sợ (fear-mongering tactic) thường được giới hacker sử dụng. WannaCry khai thác CVE-2017-0144, một lỗ hổng trong Server Message Block, để lây nhiễm cho cả hệ thống. Lỗ hổng bảo mật bị tấn công bằng cách khai thác lỗ hổng của nhóm Shadow Brokers – đặc biệt là khai thác “EternalBlue”. Nhóm Phản hồi An ninh của Microsoft (Security Response Center – MSRC) đã giải quyết lỗ hổng thông qua bản vá MS17-010 phát hành tháng 3 năm 2017. Điểm mạnh nhất của WannaCry là khả năng lây lan khủng khiếp của nó. Hành vi giống như sâu máy tính (worm-like) cho phép WannaCry lây lan qua các mạng, hệ thống được kết nối mà không có sự tương tác của người dùng. Do đó, chỉ cần 1 máy bị nhiễm thì cả hệ thống mạng có nguy cơ bị nhiễm theo. Khả năng lây lan của WannaCry làm chúng ta nhớ đến các ransomware như SAMSAM, HDDCryptor, và một số biến thể của Cerber – tất cả đều có thể lây nhiễm các hệ thống và máy chủ kết nối với mạng. Bạn có thể làm gì? WannaCry có những đặc điểm nguy hại như những ransomware khác, chẳng hạn như làm hệ thống tê liệt, hoạt động gián đoạn, tổn thất tài chính do không thể thực hiện các chức năng kinh doanh bình thường.. Đó là chưa kể đến chi phí để phục hồi hệ thống trở lại bình thường. Dưới đây là một số giải pháp hiệu quả mà các tổ chức có thể áp dụng để bảo vệ hệ thống khỏi các mối đe dọa WannaCry: Các ransomware khai thác một lỗ hổng trong máy chủ SMB. Cập nhật bản vá là cực kỳ quan trọng để bảo vệ hệ thống và chống lại các cuộc tấn công khai thác lỗ hổng bảo mật. Các bản vá này hiện đang sẵn sàng cho Windows, kể cả các hệ thống không còn được Microsoft hỗ trợ. Khi các tổ chức không thể vá trực tiếp, sử dụng một bản vá ảo có thể giúp giảm nhẹ mối đe dọa. Việc triển khai tường lửa, các hệ thống phát hiện và phòng chống xâm nhập có thể giúp làm giảm sự lây lan của mối đe dọa này. Một hệ thống an ninh có thể chủ động theo dõi các cuộc tấn công trong mạng cũng giúp ngăn chặn các mối đe dọa này. Ngoài việc khai thác lỗ hổng để lây lan, WannaCry cũng sử dụng spam như một cách tấn công. Do đó, đánh dấu các email thuộc loại spam là điều quan trọng. CNTT và quản trị viên hệ thống nên triển khai các cơ chế bảo mật có thể bảo vệ điểm cuối từ phần mềm độc hại dựa trên email. WannaCry “thả” một số thành phần độc hại trong hệ thống để thực hiện các thủ tục mã hóa của mình. Do đó, việc kiểm soát ứng dụng dựa trên danh sách trắng (whitelist) có thể ngăn chặn các ứng dụng không mong muốn và không xác định. Theo dõi hành vi có thể chặn những thay đổi bất thường đối với hệ thống. WannaCry mã hóa các tệp tin được lưu trữ trên hệ thống cục bộ và chia sẻ trong mạng. Việc thực hiện phân loại dữ liệu giúp giảm bất kỳ thiệt hại phát sinh từ hành vi vi phạm hoặc tấn công bằng cách bảo vệ dữ liệu quan trọng trong trường hợp bị nhiễm. Phân đoạn mạng (Network segmentation) cũng có thể giúp ngăn chặn sự lây lan của mối đe dọa này trong nội bộ. Thiết kế mạng lưới tốt có thể giúp ngăn chặn sự lây lan của ransomware này và giảm tác động của nó đối với các tổ chức. Tắt giao thức SMB trên các hệ thống không yêu cầu. Việc chạy các dịch vụ không cần thiết sẽ tạo ra nhiều cách hơn cho kẻ tấn công tìm ra lỗ hổng để khai thác. Giải pháp Trend Micro XGen đã và đang bảo vệ người dùng khỏi những mối đe dọa này và các hiểm hoạ khác nữa nhờ việc sử dụng kỹ thuật phân tích hành vi và hệ thống có khả năng học hỏi thông minh. Trend Micro XGen Security phát hiện và ngăn chặn tất cả các giai đoạn lây lan của WannaCry ransomware.