Phòng nguy cơ mã độc Bad Rabbit tấn công, người dùng nên sao lưu dữ liệu thường xuyên

Các chuyên gia bảo mật nhận định trong giai đoạn tới, nhất là nửa cuối năm 2017, mã độc mã hóa dữ liệu tống tiền - ransomware sẽ tiếp tục diễn biến rất phức tạp, với nhiều hành vi và thủ đoạn mới nhằm tăng khả năng lây nhiễm (Ảnh minh họa. Nguồn: Internet)

Bad Rabbit sử dụng bộ khai thác thực thi mã từ xa EternalRomance SMB

Trong thông tin cập nhật hôm nay, ngày 28/10/2017, Diễn đàn an ninh mạng Việt Nam WhiteHat.vn cho hay, các chuyên gia vừa lên tiếng xác nhận mã độc mã hóa dữ liệu tống tiền - ransomware có tên gọi là Bad Rabbit sử dụng bộ công cụ khai thác lỗ hổng EternalRomance đã bị đánh cắp của NSA để lây lan.

Bad Rabbit là loại ransomware mới nổi lên hồi đầu tuần này, sau khi lây nhiễm hơn 200 tổ chức lớn chủ yếu tại Nga và Ukraine.

Trước đó, mã độc Bad Rabbit được các chuyên gia nhận định không sử dụng bất kỳ công cụ khai thác lỗ hổng nào của NSA, không EternalRomance hay EternalBlue. Tuy nhiên, theo Diễn đàn WhiteHat.vn, một báo cáo gần đây của Cisco cho thấy mã độc Bad Rabbit đã sử dụng công cụ khai thác lỗ hổng EternalRomance.

Mã độc mã hóa dữ liệu tống tiền Petya (hay còn gọi là NotPetya) đã lây nhiễm hàng chục nghìn hệ thống vào tháng 6/2017 cũng đã lợi dụng công cụ khai thác lỗ hổng EternalRomance cùng EternalBlue. EternalBlue cũng đã được mã độc WannaCry sử dụng trong các vụ tấn công hồi tháng 5/2017.

Theo phân tích của các chuyên gia, mã độc mã hóa dữ liệu tống tiền Bad Rabbit không sử dụng lỗ hổng EternalBlue nhưng lợi dụng bộ khai thác EternalRomance RCE để lây lan qua các hệ thống nạn nhân. EternalRomance là một trong nhiều công cụ tấn công được cho là của nhóm Equation Group, bị rò rỉ bởi nhóm hacker Shadow Brokers vào tháng 4 năm nay.

EternalRomance là một khai thác mã từ xa (CVE-2017-0145) trong Microsoft Windows Server Message Block (SMB), một giao thức để truyền dữ liệu giữa các máy tính Windows được kết nối, để vượt qua an ninh của các kết nối chia sẻ tệp tin, cho phép thực hiện mã từ xa trên các máy khách và máy chủ Windows.

Cùng với EternalChampion, EternalBlue, EternalSynergy và các bộ khai thác khác của NSA bị nhóm hacker Shadow Brokers rò rỉ, lỗ hổng EternalBomance cũng được Microsoft vá trong tháng 3/2017 (MS17-010).

Các chuyên gia cũng cho biết, mã độc Bad Rabbit được phát tán qua các cuộc tấn công drive-by download trên các trang web truyền thông bị xâm nhập của Nga, bằng cách sử dụng trình cài đặt Adobe Flash giả mạo để dụ nạn nhân cài đặt phần mềm độc hại và yêu cầu 0.05 bitcoin (tương đương khoảng 285 USD) từ nạn nhân để mở khóa các hệ thống của họ.

Làm gì để phòng chống nguy cơ bị Bad Rabbit tấn công?

Dẫn nguồn từ trang chuyên về bảo mật The Hacker News, trong thông tin cập nhật về Bad Rabbit, Diễn đàn WhiteHat.vn cho hay, theo các nhà nghiên cứu, Bad Rabbit đầu tiên quét mạng nội bộ để tìm kiếm các chia sẻ SMB mở, thử một danh sách các thông tin đăng nhập được sử dụng phổ biến để gài mã độc và sử dụng công cụ sau khai thác Mimikatz để trích xuất các thông tin xác thực từ các hệ thống bị ảnh hưởng.

Bad Rabbit cũng có thể khai thác giao diện kịch bản dòng lệnh WMIC (Windows Management Instrumentation Command-line) nhằm thực thi mã trên các hệ thống Windows khác trên mạng từ xa, EndGame cho biết. Tuy nhiên, theo Cisco, Bad Rabbit mang một mã sử dụng EternalRomance, cho phép tin tặc từ xa truyền từ máy tính bị nhiễm tới các mục tiêu khác hiệu quả hơn.

Các nhà nghiên cứu của Cisco nhận định: “Chúng tôi tin rằng Bad Rabbit bao gồm một cài đặt EternalRomance đã được tùy biến, từ đó cho phép khởi chạy các dịch vụ từ xa, trong khi ở NotPetya nó được sử dụng để cài đặt backdoor DoublePulsar. Cả hai hành động đều có thể thực hiện được vì EternalRomance cho phép kẻ tấn công đọc/ghi dữ liệu tùy ý vào không gian bộ nhớ kernel”.

Vì cả 2 loại ransomware Bad Rabbit và NotPetya đều sử dụng mã DiskCryptor để mã hóa ổ cứng của nạn nhân và mã “wiper” có thể xóa các ổ đĩa cứng gắn liền với hệ thống bị nhiễm, các nhà nghiên cứu tin rằng “rất có thể” cùng một kẻ tấn công đứng sau cả hai mã độc mã hóa dữ liệu tống tiền này.

Theo nghiên cứu của các chuyên gia, mã độc BadRabbit đã được “biên dịch” từ các nguồn NotPetya. BadRabbit có cùng chức năng tính toán băm, logic phân phối mạng và quá trình gỡ bỏ bản ghi… với NotPetya.

Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run.

Đặc biệt, chuyên gia Bkav cũng khuyến nghị, đối với quản trị hệ thống, cần rà soát kỹ các server (máy chủ) bởi với công cụ WMIC mã độc có thể dễ dàng lây nhiễm từ một server quản trị domain ra tất cả máy tính trong hệ thống.

Ngoài ra, người dùng cũng được khuyến cáo cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. “Riêng người dùng Bkav Pro hoặc Bkav Endpoint đã được tự động bảo vệ trước loại mã độc tống tiền mới Bad Rabbit”, chuyên gia Bkav cho biết thêm.

Trong chia sẻ với ICTnews hồi giữa năm nay, các chuyên gia CMC InfoSec, Bkav đều có chung nhận định trong giai đoạn tới, nhất là nửa cuối năm 2017, mã độc mã hóa dữ liệu tống tiền - ransomware sẽ tiếp tục diễn biến rất phức tạp, với nhiều hành vi và thủ đoạn mới nhằm tăng khả năng lây nhiễm. Cụ thể, chuyên gia CMC InfoSec khẳng định ransoware là loại mã độc của năm và thời gian tới ransomware sẽ không chỉ đơn thuần được sử dụng với mục đích tấn công trên diện rộng và đòi tiền chuộc. Kẻ tấn công sẽ sử dụng ransomeware không chỉ để tống tiền( như WannaCry), phá hoại hoàn toàn dữ liệu ( như NotPetya) mà còn với mục đích là để đánh lạc hướng, che giấu đằng sau các cuộc tấn công có chủ đích.