Ransomware tống tiền Bad Rabbit đang tấn công toàn cầu
Chính phủ Hoa kỳ đã đưa ra cảnh báo về cuộc tấn công mới của mã độc ransomware đang lan rộng ở Nga, Ukraine và sắp sửa lan ra toàn thế giới.
Mã độc mới có tên gọi là “Bad Rabbit”, loại virus này mới xuất hiện và sử dụng ransomware để cố gắng tống tiền các nạn nhân trên toàn cầu. Hồi giữa năm, chúng từng được sử dụng trong hai vụ tấn công quốc tế lớn với tên gọi Wannacry và NotPetya đã gây ra thiệt hại khắp các doanh nghiệp, các cơ quan chính phủ và bệnh viện,…
Dẫu vậy hiện tại, số lượng nạn nhân của cuộc tấn công Bad Rubbit còn khá nhỏ so với NotPetya. Vì trong tháng 6 vừa qua, virus NotPetya đã tấn công hệ thống máy tính Ukraine gây nên thiệt hại cực kỳ nặng nề cho các công ty lớn của nước này.
1. Bad Rabbit là gì? Mối liên hệ giữa nó và NotPetya?
Các chuyên gia cho biết có mối liên hệ cực kỳ rõ ràng giữa hai loại Virus Bad Rabbit và NotPetya. Người đứng đầu nhóm nghiên cứu chống malware tại Kaspersky Lab cho hay cuộc tấn công của Bad Rabbit đều nhằm vào hệ thống mạng của các công ty và sử dụng các phương thức tương tự NotPetya.
Costin Raiu, giám đốc nhóm nghiên cứu và phân tích toàn cầu tại Kaspersky Lab cho biết: Cuộc tấn công Bad Rabbit được đưa ra thông qua “mạng lưới các trang web bị hack” có liên kết tới NotPetya.
Ngoài ra, Group-IB cũng đã xác định điểm tương đồng giữa mã độc NotPetya và Bad Rabbit.
2. Mục tiêu của virus Bad Rabbit là gì? Nó xâm nhập vào máy tính của nạn nhân thế nào?
Mã độc Bad Rabbit xâm nhập vào máy tính bằng cách giả làm trình cài đặt Adobe Flash trên các trang web tin tức và phương tiện truyền thông. Vì vậy mọi người không nên tải phần mềm nào từ quảng cáo pop-up hoặc các trang web không thuộc về công ty phần mềm.
Theo ESET, một khi mã độc này nhiễm vào một máy tính, nó sẽ quét mạng các thư mục chia sẻ với các tên miền phổ biến rồi cố gắng ăn cắp và khai thác thông tin người dùng trên các máy tính khác.
Các nhà nghiên cứu cho biết Bad Rabbit không sử dụng lỗ hổng EternalBlue, một module khai thác nằm trong bộ công cụ khai thác do nhóm tin tặc Shadow Brokers đã công bố sau khi tấn công và đánh cắp dữ liệu của 1 nhóm tin tặc khác là Equation Group (được cho là của NSA).
Không thể biết được kẻ đứng sau Bad Rabbit là ai, nhưng có lẽ hắn rất hâm mộ “Game of Thrones” (trò chơi vương quyền). Mã ransomware chứa các tham chiếu đến các nhân vật trong tiểu thuyết nổi tiếng trên và các nhân vật như Grey Worm và Daenerys’ dragons.
Hiện nay, nhiều phần mềm chống virus có thể phát hiện Bad Rabbit, trong đó có Windows Defender. Một nhà nghiên cứu từ Cybereason đã phát hiện ra một loại “vắc-xin” có thể bảo vệ máy tính khỏi bị nhiễm độc.
Về vấn đề này nhà nghiên cứu về phần mềm độc hại James Emery-Callcott cho rằng làn sóng tấn công ransomware có vẻ đang dần hụt hơi và ông chia sẻ:
“Theo tôi thấy, máy chủ của kẻ tấn công không thể tồn tại lâu dài và hầu hết các trang web bị nhiễm độc, có lưu trữ các tập lệnh cho phép nhắc nhở người dùng cập nhật Flash đã được khắc phục”.
3. Bad Rabbit đã xuất hiện tại bao nhiêu nước? Làm thế nào để không dính mã độc này?
Ngày 24/10 vừa qua, virus này đã tấn công các nhóm phương tiện truyền thông của Nga là Interfax và Fontanka, hệ thống giao thông ở Ukraine bao gồm sân bay Odessa, tàu điện ngầm Kiev và toàn bộ cơ sở hạ tầng tại quốc gia này.
Hầu hết các nạn nhân đều ở Nga, nhưng các cuộc tấn công cũng được ghi nhận ở Ukraine, Thổ Nhĩ Kỳ và Đức. Trong khi đó công ty an ninh mạng ESET đã xác thực các trường hợp nhiễm virus Bad Rabbit ở Nhật Bản và Bungary. Còn Avast cho biết ransomware đã được phát hiện tại Mỹ, Hàn Quốc và Ba Lan.
Như vậy có thể thấy, hiện tại mã độc đã lan sang khá nhiều quốc gia lớn và không ai có thể đoán trước được nơi nào sẽ là đích đến tiếp theo. Vậy nên, để tự bảo vệ mình thì bạn đừng bao giờ tải hay cập nhật bất cứ phần mềm nào liên quan đến Adobe mà không thông qua đường dẫn chính thức của hãng.
Hoặc cũng tuyệt đối đừng tin và click vào những quảng cáo hay thông báo nổi lên lúc duyệt web yêu cầu bạn cập nhật Adobe Flash Player. Cuối cùng là hãy quét virus thường xuyên để diệt mọi mầm mống có hại ra khỏi máy bạn nhé!