Đa số các bệnh viện, trung tâm y tế, trường học...
chưa chú trọng an ninh mạng, và khi bị tấn công, mức độ nghiêm trọng lại mạnh
hơn, đó là lý do tại sao lĩnh vực y tế, sức khỏe, giáo dục trở thành mục tiêu tấn
công an ninh mạng hàng đầu.
Y tế & giáo dục cơ sở hạ tầng quan trọng
tầm quốc gia, nhìn lại các cuộc tấn công
WannaCry vào ngày 12-5 đã lan rộng ra khắp thế giới và xâm nhập hơn
100.000 tổ chức ở hơn 150 quốc gia, trong đó phần lớn là các tổ chức y tế. Một
phần khác là so với các ngành công nghiệp khác, tội phạm mạng đã phát hiện
ra rằng trong lĩnh vực chăm sóc sức khoẻ
và giáo dục, việc triển khai tấn công có chi phí tương đối thấp do hệ thống cơ
sở quản lý dữ liệu, đặc biệt là các phần mềm của các tổ chức chăm sóc sức khoẻ
thường lỗi thời, đồng thời việc thực thi luật pháp và tìm kiếm thủ phạm rất khó
khăn. Trong khi đó, mức độ nghiêm trọng lại mạnh mẽ đến mức không thể tưởng tượng
được và dễ dàng đòi tiền chuộc hơn so với các cuộc tấn công vào các tổ chức
khác.
Bài viết 18/08/2017:
Một
dịch lây nhiễm ransomware mới được phát hiện ngày 15/08/2017, phát tán chủ yếu
tại Anh Quốc và Mỹ , mặc dù nhỏ và có chọn lọc nhằm vào các Trung tâm giáo dục,
chăm sóc Y tế và một số ngành công nghiệp khác như Sản xuất và Công nghệ.
Ransomware được mệnh danh là Defray, được giấu trong tài liệu đính kèm của
Microsoft Word và được gửi qua email, đây là dòng ransomware mới chưa được phát
hiện trước đây, được viết bằng C++.
"Defray"
được chọn dựa trên tên máy chủ lưu trữ của lệnh và kiểm soát (C&C) từ cuộc
tấn công được theo dõi đầu tiên là: defrayable-listings[.]000webhostapp[.]com
Phương thức lây nhiễm:
Nạn
nhân thường sẽ nhận được các e-mail dạng như: Bảng báo giá, đơn đặt hàng, trong
một số trường hợp khác sẽ là Hóa đơn... và dĩ nhiên đó là một tài liệu
Microsoft Word chứa một tệp thưc thi. Nếu nạn nhân kích đúp vào tập tin thực
thi được nhúng, ransomware sẽ được kích hoạt với tên như taskmgr.exe hoặc
explorer.exe trong thư mục %TMP% và được thực hiện mã hóa. Sau khi quá trình mã
hóa hoàn tất, Defray có thể gây ra các sự cố khác trên hệ thống bằng cách vô hiệu
hóa khôi phục khởi động và xóa các bản lưu hệ thống. Trên Windows 7, Defray
ransomware giám sát và vô hiệu hóa các chương trình đang chạy như trình quản lý
tác vụ, các trình duyệt web, thậm chí vô hiệu hóa trình antivirus kém hoặc chưa
cập nhập mã của Defray.
Khoản
tiền chuộc bởi Defray ransomware đưa ra khá cao, khoảng 5000 U$D. Ngoài ra kẻ tấn
công còn cung cấp địa chỉ email để nạn nhân có thể thương lượng một khoản tiền
chuộc nhỏ hơn, hoặc đặt câu hỏi, hoặc gợi ý nạn nhân có thể tải tải về một ứng
dụng có tên là BitMessage để tiện liên hệ như một sự lựa chọn phản ứng kịp thời
hơn. Đồng thời, kẻ tấn công còn khuyên các nạn nhân nên duy trì các bản sao lưu
ngoại tuyến để ngăn ngừa lây nhiễm trong tương lai.
Lời kết:
Defray
Ransomware là ransomware mới và hơi bất thường. Tuy mới xuất hiện và có những
cuộc tấn công nhỏ nhưng nó nhắm đến mục tiêu rõ ràng. Mặc dù chúng ta đang bắt
đầu thấy xu hướng nhắm mục tiêu thường xuyên hơn trong các cuộc tấn công
ransomware gần đây và có quy mô lớn nhưng có khả năng là Defray ransomware
không phải để bán, như là một dịch vụ ransomware đang còn trong giai đoạn
nghiên cứu và phát triển và có thể nhắm đến mục tiêu nhiều khả năng chi trả tiền
chuộc hơn. Chúng tôi sẽ tiếp tục theo dõi mối đe dọa này và cập nhật khi thông
tin mới xuất hiện.
Tỷ lệ phát hiện Defray
Ransomware trên VirusTotal: https://goo.gl/LbK414