Các công cụ hack của chính phủ bị đánh cắp, hệ thống Windows chưa được vá lỗi và các hoạt động bí mật của Triều Tiên đã khiến WannaCry trở thành cơn bão ransomware hoàn hảo.
WannaCry là một loại sâu ransomware lây lan nhanh chóng trên một số mạng máy tính vào tháng 5/2017. Sau khi lây nhiễm vào máy tính Windows, nó sẽ mã hóa các tệp trên ổ cứng của PC, khiến người dùng không thể truy cập và sau đó yêu cầu một khoản tiền chuộc bằng bitcoin để giải mã chúng.
Một số yếu tố khiến sự lây lan ban đầu của WannaCry trở nên đặc biệt đáng chú ý: nó tấn công một số hệ thống quan trọng và nổi tiếng, bao gồm nhiều hệ thống trong NHS của Vương quốc Anh; nó đã khai thác một lỗ hổng Windows mà nó nghi ngờ lần đầu tiên được phát hiện bởi Cơ quan An ninh Quốc gia Hoa Kỳ; và trước đây cô đã được Symantec và các nhà nghiên cứu bảo mật khác liên kết với Lazarus Group, một tổ chức tội phạm mạng có thể có liên hệ với chính phủ Bắc Triều Tiên.
>>> Tìm hiểu chi tiết: Ransomware Wannacry là gì? Cơ chế làm việc của nó ra sao
WannaCry Ransomware là gì?
WannaCry Ransomware bao gồm một số thành phần. Nó đến trên máy tính bị nhiễm dưới dạng ống nhỏ giọt, một chương trình độc lập trích xuất các thành phần ứng dụng khác được nhúng trong chính nó. Các thành phần này bao gồm:
Một ứng dụng mã hóa và giải mã dữ liệu
Tệp chứa khóa mã hóa
Bản sao Tor
Mã chương trình không bị xáo trộn và tương đối dễ phân tích bởi các chuyên gia bảo mật. Sau khi khởi chạy, WannaCry cố gắng truy cập vào URL được mã hóa cứng (được gọi là công tắc tiêu diệt); nếu không thể, nó sẽ tiếp tục tìm và mã hóa các tệp ở nhiều định dạng quan trọng khác nhau, từ tệp Microsoft Office đến MP3 và MKV, khiến người dùng không thể truy cập được. Sau đó, nó hiển thị thông báo đòi tiền chuộc, yêu cầu 300 đô la Bitcoin để giải mã các tệp.
WannaCry lây nhiễm sang PC như thế nào?
Vectơ tấn công cho WannaCry thú vị hơn so với chính ransomware. Lỗ hổng WannaCry nằm trong việc Windows triển khai giao thức Server Message Block (SMB). SMB giúp các nút khác nhau trên mạng giao tiếp và việc triển khai của Microsoft có thể đánh lừa các gói được chế tạo đặc biệt để thực thi mã tùy ý.
Cơ quan An ninh Quốc gia Hoa Kỳ được cho là đã phát hiện ra lỗ hổng này và thay vì báo cáo cho cộng đồng infosec, đã phát triển một mã để khai thác nó có tên là EternalBlue. Đến lượt mình, chiến công này đã bị đánh cắp bởi một nhóm hacker có tên Shadow Brokers, người đã phát hành nó bằng cách làm xáo trộn nó trong một bài đăng có vẻ chính trị trên Medium vào ngày 8 tháng 4 năm 2017. Bản thân Microsoft đã phát hiện ra lỗ hổng này một tháng trước đó và phát hành bản vá, nhưng nhiều hệ thống vẫn dễ bị tấn công và WannaCry, sử dụng EternalBlue để lây nhiễm máy tính, bắt đầu lây lan nhanh chóng vào ngày 12/5. Sau khi bùng phát, microsoft đã chỉ trích chính phủ Hoa Kỳ vì đã không chia sẻ kiến thức về lỗ hổng bảo mật sớm hơn.
Ngay cả khi máy tính đã bị lây nhiễm thành công, WannaCry sẽ không nhất thiết bắt đầu mã hóa tệp. Điều này là do, như đã lưu ý ở trên, trước tiên nó cố gắng truy cập vào một URL rất dài, vô nghĩa trước khi hoạt động. Nếu anh ta có thể truy cập miền này, WannaCry sẽ tắt. Không hoàn toàn rõ ràng mục đích của chức năng này là gì. Một số nhà nghiên cứu cho rằng nó được dùng để trở thành một phương tiện để những kẻ tạo ra phần mềm độc hại thực hiện cuộc tấn công. Tuy nhiên, Markus Hutchins, một nhà nghiên cứu bảo mật người Anh đã phát hiện ra rằng WannaCry đang cố gắng truy cập URL này, tin rằng điều này nhằm mục đích làm cho mã khó phân tích cú pháp hơn. Nhiều nhà nghiên cứu sẽ chạy phần mềm độc hại trong môi trường hộp cát mà từ đó bất kỳ URL hoặc địa chỉ IP nào đều có thể truy cập được; Bằng cách mã hóa cứng WannaCry để cố gắng liên kết đến một URL vô nghĩa không thực sự tồn tại, những người tạo ra nó hy vọng đảm bảo rằng phần mềm độc hại sẽ không đi qua các bước của nó để các nhà nghiên cứu nhìn thấy.
Hutchins không chỉ phát hiện ra URL được mã hóa cứng mà còn trả 10,96 đô la để đăng ký miền và tạo trang web ở đó, từ đó giúp lây lan phần mềm độc hại ngu ngốc, mặc dù không thể ngăn cản. Ngay sau khi được mệnh danh là anh hùng, Hutchins đã bị bắt vì bị cáo buộc phát triển nhiều phần mềm độc hại vào năm 2014. Anh ta tuyên bố mình vô tội.
