Hai botnet tấn công tiền ảo WannaMine và Smominru đang tàn phá hàng triệu máy tính

Cuộc tấn công không gian mạng WannaCry vào mùa hè năm 2017 đã làm tê liệt hàng nghìn máy tính bằng mã độc tống tiền trên phạm vi toàn cầu, làm chấn động giới an ninh bảo mật máy tính. EternalBlue - phương thức khai thác lỗ hổng trên Windows do chính NSA (Cơ quan An ninh Quốc gia Mỹ) phát triển nhưng vô tình để lộ ra ngoài, đã bị lợi dụng để thực thi WannaCry. Và lần này, một vụ tấn công tương tự cũng sử dụng EternalBlue để đột nhập vào các máy tính nhằm khai thác tiền mã hóa.

Smominru

Botnet mới có tên Smominru sau khi lây nhiễm thành công sẽ biến máy tính của các nạn nhân thành công vụ đào loại tiền ảo Monero – theo công bố của Công ty an ninh mạng Proofpoint.

Đáng nói là, botnet này đã bắt đầu hoạt động từ tháng 5/2017 và đã mang về cho hacker khoảng hơn 3,5 triệu USD. Smominru ra đời chỉ sau 1 tháng kể từ khi thông tin về EternalBlue bị rò rỉ.

Bất chấp những nỗ lực ngăn chặn, botnet này vẫn đang tiếp tục tấn công trên mạng. Hãng bảo mật Proofpoint cho biết, botnet này đã "sở hữu" hơn 526.000 máy chủ và nút mạng mà hầu hết đều là những server lớn chạy hệ điều hành Windows – vốn có sức mạnh xử lý hơn và khả năng hoạt động liên tục. Phần lớn các nốt mạng bị lây nhiễm này nằm ở Nga, Ấn Độ và Đài Loan, tuy nhiên rất ít tổ chức biết máy chủ của họ đang trở thành một nút trong botnet Smominru.

Rất nhiều lần, các nhà nghiên cứu an ninh đã thu thập thông tin và bẫy botnet này nhưng hacker đều tìm cách phục hồi được. Mạng botnet này lớn gấp đôi so với botnet đào tiền mã hóa Adylkuzz trước đây.

Các nhà nghiên cứu tại Proofpoint cho biết, Smominru đã khai thác được 8.900 Monero, trị giá khoảng từ 2,8 tới 3,6 triệu USD. Mỗi ngày Smominru lại khai thác được khoảng 24 Monerro, tương đương 8.500 USD.

Các chuyên gia bảo mật lưu ý rằng hacker sử dụng ít nhất 25 máy chủ để dò tìm những máy tính Windows có thể bị tấn công bằng EternalBlue. Bên cạnh đó, chúng cũng sử dụng phương thức khai thác EsteemAudit cho lỗ hổng trong RDP trên Windows Server 2003 và Windows XP để tăng thêm số nút cho botnet.

Proofpoint cảnh báo rằng các hoạt động này sẽ tiếp tục và các botnet như thế này sẽ phát triển về quy mô và tần suất trong tương lai.

WannaMine

Công ty bảo mật Panda Security của Tây Ban Nha là công ty đầu tiên chú ý tới botnet WannaMine mà họ mô tả là "một mánh làm ăn bùng nổ".

Tuy nó không ngăn người dùng hoàn toàn khỏi máy tính của họ, nhưng máy tính sẽ vận hành rất chậm và hầu như không làm được việc gì. Công ty an ninh mạng CrowdStrike cho biết, một khách hàng đã báo cáo "gần 100 phần trăm hệ thống của họ không thể sử dụng được vì sử dụng quá mức sức mạnh CPU của hệ thống".

WannaMine có thể di chuyển từ một máy tính cá nhân tới tất cả các máy tính khác thông qua mạng lưới công ty. Từ đây, các máy chủ công nghiệp có thể được sử dụng để đào tiền ảo Monero và làm chậm toàn bộ hệ thống máy tính.

Việc nhiễm mã độc này thường xảy ra thông qua các email lừa đảo hoặc cuộc tấn công truy cập từ xa thông qua việc phát tán Mimikatz - một gói công cụ cho phép một cá nhân truy cập vào mật khẩu và bộ nhớ của hệ thống. Việc giải quyết hậu quả sau đó là vô cùng khó khăn – nhất là trong việc theo dõi và loại bỏ các mã độc như WannaMine.

PandaLabs xác định phần mềm độc hại này là loại Advanced Volatile Threat (AVET) vì mã độc này được thiết kế để không bị lộ trên ổ cứng và làm việc từ RAM. Đặc biệt, các phần mềm chống virus và hệ thống phòng thủ thế hệ hiện tại không còn hiệu quả đối với các cuộc tấn công như vậy. Vì WannaMine không ghi bất kỳ dữ liệu nào vào ổ cứng của máy tính, ví dụ như chương trình McAfee Security không thể phát hiện ra bất kỳ lỗi nào.

WannaMine không hề tạo ra file nào trên máy tính (fileless) khiến cho việc phát hiện nó khó hơn nhiều. Thay vì cài đặt một ứng dụng, WannaMine vận hành bằng cách tận dụng các công cụ đã được cài đặt sẵn trên máy tính nạn nhân và làm rối trí các phần mềm chống virus khiến chúng không thể nhận ra khi quét virus.

Botnet này cũng khác với Smominru vì chúng tấn công các địa chỉ mỏ đào (mining pool) khác và sử dụng các server khác. 

Hết sức cảnh giác

Do hầu hết người dùng sẽ chỉ thấy máy tính của mình bị chậm dần đi, quét virus không phát hiện được gì, nên không biết là máy tính đã bị lợi dụng để khai thác tiền ảo. Để ngăn ngừa máy tính bị biến thành công cụ cung cấp hiệu năng cho tội phạm mạng kiếm tiền, các chuyên gia khuyên người dùng nên thực hiện các biện pháp dưới đây:

1. Không cài đặt phần mềm đáng ngờ từ các nguồn không đáng tin cậy trên máy tính của bạn.

2. Tính năng phát hiện adware có thể bị tắt theo mặc định trong giải pháp bảo mật của bạn. Hãy chắc chắn rằng bạn đã kích hoạt tính năng này.

3. Sử dụng một giải pháp Internet Security để bảo vệ môi trường số của bạn khỏi mọi mối đe dọa có thể bao gồm các phần mềm đào tiền ảo độc hại.

4. Nếu bạn đang chạy một máy chủ, đảm bảo rằng nó được bảo vệ bằng một giải pháp bảo mật, vì các máy chủ là những mục tiêu sinh lợi cho bọn tội phạm nhờ công suất tính toán cao (so với máy tính cá nhân trung bình)

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.