Cuộc tấn công đầu tiên của mã độc WannaCry đầu tiên tại Việt Nam là 1 máy chủ ở Thái Nguyên

(Techz.vn) Thời gian gần đây khi nghe đến WannaCry làm mọi người đứng ngồi không yên. Tuy nhiên ít người biết rằng trường hợp lây nhiễm mã độc đầu tiên này tại Việt Nam là 1 máy chủ tại Thái Nguyên.

Theo thông tin từ đại diện lãnh đạo VNCERT cho biết, cảnh báo, điều phối các lỗ hổng của Windows, Cisco và sự cố mã độc tống tiền WannaCry là một trong những hoạt động điều phối, ứng cứu sự cố nổi bật của mạng lưới ứng cứu khẩn cấp sự cố an toàn thông tin mạng từ đầu năm 2017 đến nay.

Cuộc tấn công đầu tiên của mã độc WannaCry đầu tiên tại Việt Nam là 1 máy chủ ở Thái Nguyên

Hội nghị phổ biến Quyết định 05/2017/QĐ-TTg ngày 16/3/2017.

Cuộc tấn công trên diện rộng bằng mã độc và mã hóa dữ liệu đòi tiền chuộc này bắt nguồn từ nhóm tin tặc Shadow Brokers đã ăn cắp thông tin lỗ hổng của NSA Mỹ. WannaCry sử dụng 1 lỗ hổng EnternalBlue (MS 17-010) trong 9 lỗ hổng của hệ điều hành Windows. Sau khi phát tán mã độc này nhóm hacker này đã dịch thông báo ra 28 ngôn ngữ khác nhau và mã hóa 179 loại tệp tin. Được biết, mã độc WannaCry còn sử dụng DOUBLEPULSAR làm backdoor để truy cập và thực thi mã trên các hệ thống đã bị xâm nhập trước đó.

Cuộc tấn công đầu tiên của mã độc WannaCry đầu tiên tại Việt Nam là 1 máy chủ ở Thái Nguyên

Cách thực thi mã độc trên các hệ thống đã xâm nhập.

Mã độc WannaCry tấn công các máy tính trên thế giới. Danh sách 20 quốc gia ảnh hưởng nặng nề của mã độc này trong đó Nga sau đó là Ukraina, Ấn Độ, Đài Loan, Trung Quốc, Romania, Ai Cậu, Iran, Brazil, Tây Ban Nha, Ý và Indonesia. Điển hình là tại Trung Quốc, với các hệ thống thông tin của ngân hàng (rút tiền qua thẻ ATM), rất nhiều cây ATM bị ngừng hoạt động; các cửa hàng bán xăng dầu và các trường đại học, bệnh viện… cũng bị ảnh hưởng.

Quay trở lại với Việt Nam, điều đáng chú ý nhất là trường hợp đầu tiên bị nhiễm mã độc tống tiền WannaCry được ghi nhận là 1 máy chủ phân giải tên miền ở Thái Nguyên vào 16h thứ 6 ngày 12/5/2017.

Theo như ông Nguyễn Khắc Lịch chia sẻ “Có thể nói, đây là trường hợp điển hình về sự chủ quan trong công tác đảm bảo an toàn thông tin. Dù đã được cảnh báo về các lỗ hổng của hệ điều hành Windows song hệ thống của đơn vị này vẫn còn tồn tại những lỗ hổng đó. Chúng tôi đã hỗ trợ xử lý sự cố, “làm cứng” lại hệ thống của đơn vị”.

Cuộc tấn công đầu tiên của mã độc WannaCry đầu tiên tại Việt Nam là 1 máy chủ ở Thái Nguyên

Ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT hiện Việt Nam chỉ còn vài trường hợp nhiễm mã độc tống tiền WannaCry chưa xử lý, khắc phục xong.

Ông Lịch cũng cho biết: theo thông tin từ Intel.malwaretech.com, tính đến ngày 17/5/2017, mã độc tống tiền WannaCry đã lây nhiễm tới hơn 300.000 máy tính Windows tại 99 quốc gia; và trong tổng số hơn 300.000 máy bị lây nhiễm mã độc WannaCry, đến ngày 17/5 đã có 248.995 máy được xử lý và còn 79.155 máy chưa xử lý xong. Theo số liệu được VNCERT theo dõi trên trang Intel.malwaretech.com đến 6h sáng nay, ngày 18/5/2017, trên toàn cầu hiện còn khoảng 7.000 máy bị nhiễm mã độc WannaCry chưa xử lý, khắc phục xong, trong đó Việt Nam chỉ còn vài trường hợp.

Cuộc tấn công đầu tiên của mã độc WannaCry đầu tiên tại Việt Nam là 1 máy chủ ở Thái Nguyên

Thông tin về cuộc tấn công này được intel.malwaretech.com công bố.

Ngay sau khi vụ tấn công đầu tiên tại Việt Nam xảy ra vào ngày 13/5/2017, VNCERT đã ra văn bản điều phối 144 yêu cầu các đơn vị thực hiện khẩn cấp các việc để phòng ngừa, ngăn chặn sự tấn công của mã độc tống tiền WannaCry.

Thời gian trước đó vào ngày 24/4/2017 VNCERT đã ra văn bản điều phối 123 hướng dẫn chi tiết với các cơ quan, đơn vị về những lỗ hổng bảo mật liên quan đến hệ điều hành Windows (9 lỗ hổng); đồng thời khuyến cáo các biện pháp cần thực hiện ngay để phòng ngừa bị tấn công.

Trong Hội Nghị đại diện của VNCERT một lần nữa đưa ra khuyến nghị về mã độc tống tiền WannaCry. Theo đó, cùng với việc đề nghị người dùng bị nhiễm mã độc tống tiền WannaCry không trả tiền cho hacker, VNCERT cũng yêu cầu người dùng cần cài đặt các bản vá bảo mật mới nhất; cài các bản vá lỗi cho dịch vụ SMB (CVE-2017-0148 và SMB MS17-010); vô hiệu hóa dịch vụ SMB; thiết lập firewall để chặn các kết nối tới cổng của SMB; sử dụng một công cụ diệt virus; cẩn trọng trong việc duyệt web, mở mail và mở các tập tin lạ; đồng thời cần thực hiện sao lưu dữ liệu.

Tham khảo: ictnews

tối thiểu 5 từ tiếng Việt có dấu không chứa thẻ HTML

Gửi bình luận

Bài liên quan

Mới nhất