Để giúp người đọc có thể nắm bắt toàn cảnh về mã độc bắt cóc dữ liệu tống tiền WannaCry, các chuyên gia công nghệ bởi Kaspersky đã chia sẻ một số thông tin đầy bất ngờ và lý thú về chúng:
Ransomware: xu hướng và khám phá chính của năm 2016
Đổ bộ vào năm 2016, thế giới xuất hiện Cerber, Locky, CryptXXX cũng như 44.287 biến thể ransomware mới.
Cerber và Locky xuất hiện vào đầu mùa xuân, cả hai đều là ransomware độc hại được phổ biến rộng rãi, chủ yếu thông qua tập tin đính kèm của thư rác và bộ dụng cụ khác nhau. Chúng nhanh chóng tự khẳng định mình là “những người chơi chính”. Nhắm mục tiêu đến cá nhân và doanh nghiệp.
Sau đó là CryptXXX. Cả ba gia đình ransomware tiếp tục phát triển và đe dọa thế giới để đòi tiền chuộc cùng với các họ ransomware tiên phong khác như: CTBLocker, CryptoWall và Shade.
Con số nói lên tất cả
Có 62 gia đình ransomware mới đã xuất hiện trong năm 2016.
Số lượng biến thể ransomware đã tăng gấp 11 lần: từ 2.900 biến thể trong khoảng tháng 1 đến tháng 3/2016 lên đến 32.091 trong tháng 7 đến tháng 9/2016.
Các cuộc tấn công vào doanh nghiệp tăng lên gấp 3 lẫn giữa tháng 1 và cuối tháng 9. Trước đây, mỗi 2 phút có một cuộc tấn công và sau này là cứ mỗi 40 giây/lần.
Đối với cá nhân, tỷ lệ tấn công tăng lên từ mỗi 20 giây thành mỗi 10 giây.
Một trong 5 doanh nghiệp vừa và nhỏ đã trả tiền chuộc nhưng không bao giờ lấy lại được dữ liệu.
Cách tiếp cận độc đáo
Các phương pháp tiếp cận mới bao gồm mã hóa ổ đĩa, nơi kẻ tấn công chặn truy cập, hoặc mã hóa tất cả các tệp cùng một lúc.
Petya là một ví dụ về việc này, xáo trộn hiển thị chủ của ổ cứng người dùng và làm cho không thể khởi động lại. Một Trojan khác, Dcryptor, còn gọi là Mamba nguy hiểm hơn, khóa toàn bộ ổ đĩa cứng. Ransomware này đặc biệt khó chịu, xáo trộn mọi khu vực ổ đĩa, bao gồm hệ điều hành, ứng dụng, tập tin chia sẻ và tất cả dữ liệu cá nhân – sử dụng bản sao của phần mềm DiskCryptor nguồn mở.
Lây nhiễm của Dcrypter được thực hiện thủ công với mật khẩu hacker tấn công để truy cập từ xa vào máy tính nạn nhân. Mặc dù không mới, nhưng cách tiếp cận này đã trở nên nổi bật hơn đáng kể vào năm 2016, thường là cách để nhắm mục tiêu vào các máy chủ và giành được quyền vào hệ thống công ty.
Nếu cuộc tấn công thành công, Trojan sẽ cài đặt và mã hóa các tập tin trên máy chủ và có thể ngay cả trên tất cả các mạng chia sẻ có thể truy cập từ nó. Ví dụ: TeamXRat thực hiện cách tiếp cận này để phát tán chu trình trộm cắp của mình trên máy chủ Brazil.
Từ cá nhân chuyển hướng tấn công doanh nghiệp
Theo nghiên cứu của Kaspersky Lab, vào năm 2016, cứ 1 trong 5 doanh nghiệp trên toàn thế giới đã phải chịu một sự cố bảo mật về công nghệ thông tin, kết quả của một cuộc tấn công ransomware:
42% doanh nghiệp vừa và nhỏ bị tấn công bởi ransomware trong 12 tháng qua.
32% trong số đó trả tiền chuộc.
1/5 không bao giờ lấy lại được dữ liệu của họ, ngay cả sau khi trả tiền.
67% số doanh nghiệp bị ảnh hưởng bởi ransomware bị mất một phần hoặc tất cả dữ liệu của công ty và 1/4 phải dành vài tuần để khôi phục quyền truy cập.
Lỗi kỹ thuật và lỗi nhân sự vẫn là những yếu tố chính trong việc các công ty bị tấn công. Một trong 5 trường hợp liên quan đến mất dữ liệu đáng kể là thông qua thiếu thận trọng của nhân viên hoặc thiếu nhận thức.
Hiểu thêm Wannacry
Đây là ransomware đầu tiên lan rộng và lây nhiễm lớn nhất trong lịch sử.
WannaCrypt kết hợp các khai thác bị rò rỉ để tự lây lan.
Chỉ trong 6 giờ đầu tiên lây lan Wannacry, đã hơn 7.000 máy tính bị lây nhiễm.
10.000 số máy ngừng hoạt động từ máy bị lây nhiễm và có dữ liệu bị phá hủy.
74 là số quốc gia bị lây nhiễm Wannacry theo thống kê của Kaspersky Security Network.
Sự lan truyền tăng theo số mũ – khi càng nhiều máy bị nhiễm, khiến WannaCry nhân lên càng nhanh.