Trickbot đã bị phá vỡ thông qua lệnh tòa mà Microsoft có được cũng như hành động kỹ thuật được thực hiện với sự hợp tác của một nhóm công nghiệp và nhà cung cấp viễn thông quốc tế, bao gồm Trung tâm Phân tích và Chia sẻ thông tin dịch vụ tài chính (the Financial Services Information Sharing and Analysis Center: FS-ISAC), một cộng đồng chia sẻ thông tin tình báo toàn cầu kết nối gần 7.000 tổ chức tài chính và NTT, một nhà cung cấp dịch vụ công nghệ hàng đầu thế giới. Cơ sở hạ tầng chính hiện đã bị cắt bỏ, nên những Trickbot đang vận hành sẽ không còn có thể tạo ra sự lây nhiễm mới hoặc kích hoạt ransomware đã được đưa vào hệ thống máy tính.
Sự gián đoạn, đứt quãng của Trickbot (vốn đã làm lây nhiễm hơn một triệu thiết bị máy tính trên khắp thế giới kể từ cuối năm 2016 đến nay), đánh dấu một bước phát triển quan trọng của châu Á – Thái Bình Dương. Khu vực này có tỷ lệ gặp phải các cuộc tấn công ransomware cao hơn mức trung bình của toàn cầu- cao hơn 1,7 lần so với phần còn lại của thế giới – trong đó các nước đang phát triển, bao gồm Indonesia, Sri Lanka, Ấn Độ và Việt Nam, là những quốc gia dễ bị phần mềm độc hại và ransomware tấn công nhất (Nguồn: https://news.microsoft.com/apac/2020/06/16/developing-markets-in-asia-pacific-challenged-by-ransomware-and-malware-encounters-while-developed-markets-struggle-with-increased-drive-by-download-attack-volumes-microsoft-security-endpoint-threat/).
Bà Mary Jo Schrade, Trợ lý Tổng cố vấn, Bộ phận Tội phạm kỹ thuật số của Microsoft châu Á cho biết: “Trong những tháng gần đây, chúng tôi đã chứng kiến các cuộc tấn công ransomware ảnh hưởng đến một số lượng lớn các tổ chức chính phủ và doanh nghiệp, từ các tập đoàn lớn đến bệnh viện, trường học và trường đại học ở châu Á. Ransomware cũng gây ra mối đe dọa đối với cơ sở hạ tầng bầu cử của một số quốc gia. Ngoài mối đe dọa đối với các cuộc bầu cử, Trickbot được biết đến với việc sử dụng phần mềm độc hại để đánh cắp tiền từ người dân và các tổ chức tài chính, từ các ngân hàng toàn cầu và bộ xử lý thanh toán cho đến khu vực các tổ chức tín dụng đã được nhắm mục tiêu bởi Trickbot”.
Để phá vỡ Trickbot, Microsoft đã thành lập một nhóm các nhà cung cấp công nghiệp và viễn thông quốc tế. Đơn vị chống lại tội phạm kỹ thuật số của Microsoft (Digital Crimes Unit – DCU) đã dẫn đầu các nỗ lực điều tra, bao gồm phát hiện, phân tích, đo từ xa và thiết kế ngược, với dữ liệu và thông tin chi tiết bổ sung để củng cố vụ án pháp lý từ mạng lưới đối tác toàn cầu. Mạng này bao gồm FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT và Symantec, một bộ phận của Broadcom, ngoài nhóm Microsoft Defender. Các hành động tiếp theo để khắc phục nạn nhân sẽ được hỗ trợ bởi các Nhà cung cấp dịch vụ Internet (Internet Service Provider – ISP) và Nhóm sẵn sàng ứng phó khẩn cấp cho máy tính (Computer Emergency Readiness Team – CERT) trên khắp thế giới.
Cuộc tấn công của Trickbot vào các hệ thống máy tính ở châu Á
Trong quá trình điều tra của Microsoft về Trickbot, khoảng 61.000 mẫu phần mềm độc hại Trickbot đã được phân tích. Điều khiến Trickbot trở nên nguy hiểm là nó có các khả năng phát triển mô-đun liên tục, gây lây nhiễm cho nạn nhân vì mục đích của người điều hành thông qua mô hình “phần mềm độc hại dưới dạng dịch vụ”. Các nhà điều hành của Trickbot có thể cung cấp cho khách hàng quyền truy cập vào các máy bị nhiễm và cung cấp cơ chế phân phối nhiều dạng phần mềm độc hại.
Trickbot được biết đến với việc sử dụng phần mềm độc hại để chặn thông tin đăng nhập của nạn nhân vào các trang web ngân hàng trực tuyến, nhưng nó cũng được sử dụng để làm lây nhiễm máy tính của nạn nhân bằng phần mềm ransomware Ryuk, đã được sử dụng trong các cuộc tấn công chống lại một loạt các tổ chức công và tư. Ransomware có thể có tác động tàn phá đáng sợ. Gần đây nhất, ransomware đã làm tê liệt mạng công nghệ thông tin của một bệnh viện ở Đức dẫn đến cái chết của một phụ nữ đang được cấp cứu.
Ngoài việc làm lây nhiễm vào máy tính của nạn nhân, Trickbot cũng đã gây lây nhiễm các thiết bị Internet vạn vật (IoT), chẳng hạn như bộ định tuyến, mở rộng phạm vi tiếp cận các hộ gia đình và tổ chức, mở rộng phạm vi mục tiêu dễ bị tấn công sang các thiết bị thường không được cập nhật hoặc được vá lỗi một cách kịp thời.
Các chiến dịch lừa đảo trực tuyến và spam của Trickbot, được sử dụng để phát tán phần mềm độc hại, đã tận dụng các chiêu dụ như Black Lives Matter (chống phân biệt chủng tộc) và đại dịch COVID-19, lôi kéo mọi người nhấp vào các tài liệu hoặc liên kết độc hại. Dựa trên dữ liệu từ Microsoft Office 365 Advanced Threat Detection, Trickbot là hoạt động phần mềm độc hại phổ biến nhất, sử dụng mồi nhử theo chủ đề COVID-19.
Cách doanh nghiệp và người dùng máy tính gia đình có thể tự bảo vệ mình
Các hành động hàng đầu mà các doanh nghiệp và người dùng máy tính gia đình có thể thực hiện để bảo vệ hệ thống của họ là sử dụng xác thực đa yếu tố, luôn làm tốt công tác vệ sinh email và cập nhật, vá lỗi hệ thống kịp thời. Việc xác thực đa yếu tố có thể ngăn chặn các cuộc tấn công dựa trên thông tin xác thực đã chết trong đường đi của chúng. Nếu không có quyền truy cập vào yếu tố bổ sung, kẻ tấn công không thể truy cập tài khoản hoặc tài nguyên được bảo vệ. Vì 90% các cuộc tấn công bắt đầu bằng email, nên việc ngăn chặn lừa đảo – phishing (và các biến thể dựa trên thư thoại và văn bản của nó, vishing và SMiShing) có thể hạn chế cơ hội thành công của những kẻ tấn công.
Các nền tảng làm vệ sinh email kết hợp với tính năng lọc trên đường vào và kiểm tra liên kết, như Liên kết an toàn, khi được nhấp vào (khi thoát ra) cung cấp sự bảo vệ toàn diện nhất. Cuối cùng, điều quan trọng là đảm bảo rằng, máy tính đang sử dụng phiên bản phần mềm cập nhật nhất, vì các bản vá và bản cập nhật này sửa chữa các lỗ hổng đã biết.
Đơn vị chống tội phạm kỹ thuật số của Microsoft (DCU) cũng sẽ tiếp tục tham gia vào các hoạt động để bảo vệ các tổ chức tham gia vào quá trình dân chủ và toàn bộ cơ sở khách hàng. Kể từ năm 2010 đến nay, thông qua DCU, Microsoft đã hợp tác với cơ quan thực thi pháp luật và các đối tác khác về 23 phần mềm độc hại và sự cố gián đoạn miền quốc gia, dẫn đến hơn 500 triệu thiết bị được giải cứu khỏi tội phạm mạng. Để biết thêm chi tiết về sự gián đoạn, hãy truy cập bài viết sau đây trên blog: https://blogs.microsoft.com/on-the-issues/?p=64132
Thông tin về Microsoft
Microsoft (có cổ phiếu giao dịch tại Sàn giao dịch chứng khoán Nasdaq, New York, Mỹ, với mã “MSFT” @microsoft) cho phép chuyển đổi kỹ thuật số cho kỷ nguyên của một đám mây thông minh và một điện toán biên thông minh. Sứ mệnh của Microsoft là trao quyền cho mọi người và mọi tổ chức trên thế giới để đạt được nhiều hơn.