Mã độc đào tiền ảo có cách lây lan tương tự WannaCry đang phát tán mạnh tại Việt Nam

Các chuyên gia nhận định, việc phát triển mạng lưới mã độc, lợi dụng tài nguyên của các máy bị nhiễm để “đào” tiền ảo cũng đang là lựa chọn của nhiều tin tặc (Ảnh minh họa. Nguồn: Internet)

Lỗ hổng nguy hiểm dẫn đến tốc độ lây lan chóng mặt của mã độc

Từ giữa tháng 1/2018 cho đến nay, hệ thống giám sát CyRadar - startup do FPT ươm tạo và phát triển - ghi nhận liên tục các gói tin tấn công giao thức SMB gửi qua lại giữa các máy tính trong mạng của nhiều doanh nghiệp, tổ chức. Chỉ trong vài tiếng, số lượng máy tính bị nhiễm mã độc trong 1 doanh nghiệp đã lên tới con số hàng trăm.

Các cuộc tấn công liên tục được hệ thống giám sát CyRadar ghi nhận.

Qua phân tích,  các chuyên gia CyRadar nhận định các gói tin SMB được gửi nội bộ giữa các máy tính chính là mã khai thác lỗ hổng MS17-010 của Windows. Đây là mã khai thác nổi tiếng còn được biết đến dưới cái tên EternalBlue, do NSA phát triển (National Security Agency), bị lộ ra vào tháng 4/2017 bởi nhóm hacker Shadow Brokers. Ngay sau thời điểm công bố, mã khai thác này đã trở thành công cụ ưa thích của giới tin tặc trong việc tấn công, phát tán mã độc. Trong đó, đặc biệt nổi bật là dòng mã độc tống tiền WannaCry đã bùng nổ trên phạm vi toàn cầu từ tháng 5/2017.

Cách thức lây lan của loại mã độc đào tiền ảo mới.

Cũng theo phân tích của CyRadar, từ một máy tính bị nhiễm trong mạng, mã độc sẽ tự động thực hiện dò quét các IP trong cùng mạng nội bộ (LAN) và sử dụng mã khai thác EternalBlue để lây lan qua cổng 445 của những máy tính tồn tại lỗ hổng. Sau khi mã khai thác được chạy thành công, bộ các files độc hại sẽ được tải xuống những máy mới bị nhiễm, và các máy này tiếp tục có khả năng lây lan, nên nếu chúng được kết nối sang mạng khác, việc lây lan lại tiếp diễn và nhân rộng.

Đào tiền ảo đang nở rộ thành một xu hướng mới của mã độc

Các chuyên gia CyRadar nhận định, đi cùng với xu thế tiền ảo (còn gọi tiền số, tiền mã hóa - cryptocurrency) ngày càng được biết đến và chấp nhận rộng rãi, thì việc phát triển mạng lưới mã độc, lợi dụng tài nguyên của các máy bị nhiễm để “đào” tiền ảo cũng đang là lựa chọn của nhiều tin tặc.

Trong nhiều loại tiền mã hóa đang lưu hành hiện nay, có một số loại được giới tin tặc quan tâm, ưa thích hơn cả. Đó là những đồng tiền sử dụng thuật toán CryptoNight, với 2 đặc tính quan trọng, phù hợp với việc “đào” bằng mã độc:

Tính nặc danh, không thể lần vết giao dịch theo các địa chỉ ví. (Trong khi những đồng tiền nổi tiếng như Bitcoin, Ethereum… cho phép lần vết để biết một địa chỉ ví đã nhận và chuyển đi những địa chỉ nào, số tiền bao nhiêu)

Có thể “đào” bằng CPU thông thường. (Trong khi để đào Bitcoin hay Ethereum…, người ta cần phải sử dụng máy chuyên dụng, cấu hình cao, chạy GPU).

Mã độc trong bài phân tích này, bên cạnh những chức năng duy trì kết nối tới server điều khiển, sẵn sàng nhận lệnh, tải file, như một backdoor thông thường, thì còn có thành phần thực hiện đào tiền ảo, như xu thế nói trên, và loại tiền mà nó khai thác là Monero, đồng tiền lớn nhất trong các đồng sử dụng CryptoNight hiện nay.

File SecUpdateHost.exe thực chất là một “coin miner”

Phân tích của CyRadar cho thấy, tham số được truyền cho file miner khi chạy là

Địa chỉ mining pool (tạm hiểu là địa chỉ server tập trung cho các “thợ đào” tham gia “cùng đào coin”) ở đây là p3.qsd2xjpzfky.site:45560, qua tìm hiểu, là server của MinerGate, một mining pool khá nổi, được đông đảo kết nối tới. Rất “xu thế”, từ cách thức đào, loại tiền ảo, cho đến mining pool đều rất phổ biến. "Như vậy ngoài nguy cơ nhiễm trojan (phần mềm gián điệp) tiềm ẩn, thì máy tính bị nhiễm mã độc này còn đang âm thầm bị lợi dụng tài nguyên (khiến chậm máy, nóng máy, tiêu hao điện năng và tuổi thọ của thiết bị) để kiếm tiền cho tin tặc", CyRadar cho hay.

Kết quả phân tích virus của các chuyên gia CyRadar cho thấy, tên miền điều khiển được sử dụng cho mã độc là: ccc.njaavfxcgk3.club, mới được đăng ký vào ngày 17/11/2017, và chỉ bắt đầu trỏ đến một máy chủ (IP 45.32.127.108) từ ngày 08/01/2018.

Hệ thống đánh giá tên miền CyRadar MalwareGraph xây dựng đồ thị liên quan đến tên miền này.

CyRadar cho biết thêm, liên quan gần đến tên miền "njaavfxcgk3.club" còn có : "phimhayhdviet1.us" và "phimhayhdviet2.us", tất cả các tên miền này đều được đăng ký vào cuối năm 2017, và cùng mới được trỏ tới server 45.32.127.108 vào đầu năm 2018. Qua kiểm tra về server này tại thời điểm viết bài, cổng 36215 dành cho phiên bản virus này tải file xuống máy, đã bị đóng, nhưng có một số cổng “lạ” khác đang mở (48882, 48883):

ma_doc_6.jpg

Đề cập đến việc liệu những cổng 48882, 48883 có thể dành cho phiên bản mã độc khác không và liệu có liên quan gì đến 2 tên miền "phimhayhdviet1.us", "phimhayhdviet2.us", theo CyRadar, hiện chưa thể có câu trả lời ngay nhưng có thể thấy các tên miền này, mặc dù có nghĩa giống một website, nhưng trên server nó trỏ đến lại không mở bất cứ cổng thông thường nào dành cho website (80 và 443) ?

Do đó, CyRadar dự đoán cả 3 tên miền "njaavfxcgk3.club", "phimhayhdviet1.us" và " phimhayhdviet2.us" cùng thuộc sở hữu bởi một người hoặc nhóm người biết tiếng Việt. Các tên miền "phimhayhdviet" hiện chưa ghi nhận có mã độc nào kết nối tới, nhưng rất có thể chúng đang được tin tặc chuẩn bị cho một chiến dịch tấn công khác dùng trong thời gian tới.

Người dùng cần làm gì?

Nhận định những chiến dịch mã độc đào tiền ảo sẽ tiếp tục xuất hiện nhiều trong tương lai, ông Nguyễn Minh Đức - Giám đốc CyRadar cho rằng người dùng cá nhân và các doanh nghiệp nên chú ý các biện pháp bảo vệ. Cụ thể, ông  Đức khuyến nghị người dùng cần thường xuyên cập nhật các bản vá cho Hệ điều hành và các phần mềm chạy trên đó; trang bị các phần mềm diệt virus của các hãng uy tín.

Bên cạnh đó, các tổ chức, doanh nghiệp cần trang bị hệ thống giám sát mạng để kịp thời phát hiện các cuộc tấn công vào máy tính của người sử dụng, hoặc các kết nối của mã độc tới server điều khiển.

Ngoài ra, tổ chức hoặc doanh nghiệp có thể thực hiện thêm bước cô lập mạng giữa các máy tính trong mạng với nhau, để tránh khả năng lây lan nội bộ như trường hợp lần này.