WannaCry là gì? Tìm hiểu thêm về virus WannaCry ransomware và cách bảo vệ bạn khỏi nó.

Định nghĩa của WannaCry

WannaCry là một cuộc tấn công ransomware được phát hiện vào tháng 5 năm 2017, tấn công các mạng công ty trên khắp thế giới chạy Microsoft Windows trong một cuộc tấn công mạng quy mô lớn trên toàn cầu. WannaCry đã sử dụng một lỗ hổng bảo mật được gọi là EternalBlue trong phiên bản Windows Server Message Block (SMB) của giao thức mạng Windows Server Message Block (SMB) để lây lan như một con sâu thông qua các mạng được nhắm mục tiêu, yêu cầu thanh toán tiền chuộc bằng Bitcoin. [1]

Mặc dù Microsoft đã nhanh chóng phát hành bản vá cho WannaCry nhưng không phải tổ chức nào cũng có thể tung ra bản vá này đủ nhanh. Trên thực tế, một số khách hàng đã sử dụng phiên bản Windows lỗi thời đến mức không thể áp dụng bản vá. [2]

>>> Chi tiết: https://digitalfuture.vn/ransomware-wannacry-la-gi

Tấn công WannaCry

Vào ngày 11 tháng 5 năm 2017, các tổ chức ở Tây Âu và Hoa Kỳ đã bị đánh thức bởi báo cáo về một dòng ransomware lây lan nhanh chóng bằng cách sử dụng khai thác EternalBlue để tấn công lỗ hổng Server Message Block (SMB) đã biết. WannaCry đã tạo nên tên tuổi bằng cách là cuộc tấn công mạng đầu tiên trong đó một loại virus phá hoại sử dụng các lỗ hổng mạng để lây nhiễm các máy tính trên quy mô lớn.

Làm thế nào để anh ta lây nhiễm / tấn công?
WannaCry ransomware lây nhiễm mạng thông qua khai thác EternalBlue và nhắm mục tiêu vào lỗ hổng Server Message Block trong MICROSOFT Windows OS. Phần mềm tống tiền đã thành công nhất trong việc xâm nhập vào các phiên bản Windows cũ hơn mà các nhà khai thác mạng không thể cài đặt các bản cập nhật theo khuyến nghị.

Ngay sau khi WannaCry lây lan và xâm nhập mạng, tội phạm mạng sẽ mã hóa dữ liệu trên các hệ thống bị lây nhiễm, chặn nó khỏi chủ sở hữu hợp pháp của nó. Tội phạm buộc nạn nhân phải trả tiền chuộc để giải mã dữ liệu và khôi phục quyền truy cập.

Nó lây lan như thế nào?

Trước đây, tội phạm mạng đã phát tán ransomware qua email hoặc tải xuống từ Internet. Nhưng WannaCry đã báo trước một làn sóng phần mềm độc hại mới đã khai thác các lỗ hổng mạng để lây nhiễm các máy tính trên quy mô lớn. [3]

WannaCry được phát tán bằng cách sử dụng một phương thức khai thác có tên là EternalBlue, được tạo ra và sau đó bị đánh cắp từ Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). EternalBlue cho phép những kẻ tấn công tìm thấy các máy tính dễ bị tấn công trên mạng mục tiêu. WannaCry cũng sử dụng một cửa hậu NSA có tên là DoublePulsar để cài đặt WannaCry vào mạng.

Loại bỏ WannaCry

Ngăn chặn WannaCry ít đau hơn nhiều so với việc loại bỏ nó. WannaCry đã tạo ra và phát tán một loại sâu ransomware đã lây nhiễm hơn 250.000 hệ thống trên toàn thế giới. Các tổ chức bị nhiễm WannaCry có ít tiền nhưng phải trả tiền chuộc hoặc phá hủy hệ thống bị nhiễm và khôi phục dữ liệu mã hóa từ các bản sao lưu (nếu có).

May mắn thay, các nhà nghiên cứu bảo mật, bao gồm cả hai từ Proofpoint, đã phát hiện ra một tên miền được mã hóa trong phần mềm độc hại được sử dụng để kiểm soát liên lạc giữa kẻ tấn công và các máy bị nhiễm. Tác giả của WannaCry đã không thể đăng ký miền, điều này cho phép các nhà nghiên cứu ngăn chặn sự lây lan của nó.

Đứng đầu trong số các lỗ hổng mạng được đề cập là các hệ thống kế thừa không được cấp bằng sáng chế hoặc cấu hình kém. Cách tốt nhất để bảo vệ các mạng này là cài đặt các bản vá mới nhất, kiểm tra cài đặt bảo mật và kiểm tra cơ sở hạ tầng sao lưu của bạn để đảm bảo rằng bạn có thể khôi phục từng máy và dữ liệu trên toàn bộ công ty.

Tìm hiểu thêm về sự tham gia của Proofpoint trong việc ngăn chặn WannaCry.

Các phương pháp hay nhất về bảo vệ ransomware

Một trong những bài học chính rút ra từ phần mềm tống tiền WannaCry và các cuộc tấn công mạng liên quan là hãy siêng năng trong chiến lược quản lý bản vá để cập nhật hệ điều hành. Các tổ chức trên toàn thế giới nên cài đặt các bản vá lỗi mới nhất và các bản sao lưu đã được kiểm tra và sẵn sàng trong trường hợp bị tấn công bằng ransomware.

Nói một cách rộng rãi hơn, các tổ chức nên thực hiện một cách tiếp cận đa hướng đối với vấn đề ransomware, thay vì cho rằng mối đe dọa đang chậm lại.

Chiến lược bảo mật tốt nhất chống lại ransomware là sự kết hợp của các khả năng phòng ngừa, phát hiện và khôi phục. Vì phần lớn ransomware lây lan qua các email độc hại, các tổ chức phải đầu tư vào các giải pháp chặn gửi email độc hại.

Biện pháp phòng ngừa thứ hai yêu cầu điều chỉnh môi trường CNTT để chứa một trong những cách phổ biến nhất khiến ransomware lây lan qua các macro độc hại trong tài liệu. Hầu hết các tổ chức có thể chặn quyền truy cập của người dùng vào macro trong tài liệu được truy xuất từ ​​bên ngoài mạng mà không làm gián đoạn các quy trình kinh doanh.

Các điều khiển phát hiện cũng hữu ích. Các công cụ bảo mật mạng và điểm cuối thường có thể ngăn ransomware mã hóa tệp người dùng hoặc tải xuống khóa mã hóa từ cơ sở hạ tầng kiểm soát và lệnh của ransomware.

Cuối cùng, một chiến lược khôi phục chủ động có thể mang lại hiệu quả kỳ diệu cho việc bảo vệ ransomware. Các tổ chức lớn có quy trình sao lưu chắc chắn thường có thể tránh phải trả tiền chuộc; họ chỉ cần khôi phục dữ liệu đã mã hóa (mặc dù người dùng có thể mất vài giờ làm việc). Đáp lại, một số ransomware hiện đang cố gắng mã hóa các bản sao lưu trước. Điều này làm cho cấu hình bảo mật thích hợp cần thiết cho chính cơ sở hạ tầng sao lưu.

Leave a comment