Các chuyên gia bảo mật vừa phát hiện mã độc mới mang tên EternalRocks, có khả năng tự lây lan bằng cách khai thác lỗ hổng trong giao thức chia sẻ tập tin SMB của Windows, với mức độ nghiêm trọng hơn mã độc WannaCry
Theo Thehackernews, khác với mã độc tống tiền WannaCry, mã độc EternalRocks có khả năng lây rộng nhờ sử dụng tới 7 công cụ tấn công bị rò rỉ của NSA, trong khi WannaCry chỉ khai thác hai trong số này.
Cụ thể, WannaCry chỉ sử dụng hai công cụ EternalBlue và DoublePulsar, trong khi đó EternalRocks khai thác đến 7 công cụ gồm: EternalBlue, EternalRomance, EternalChampion, EternalSynergy, SMBTouch, ArchTouch và DoublePulsar.
SMBTouch và ArchTouch là các công cụ giám sát SMB, được thiết kế để quét các cổng SMB mở trên internet công cộng. Còn EternalBlue, EternalChampion, EternalSynergy và EternalRomance là các lỗ hổng để tin tặc tấn công vào máy tính Windows. Riêng DoublePulsar được sử dụng để lây lan sâu từ một máy tính bị ảnh hưởng sang các máy tính dễ bị tổn thương khác hoạt động trên cùng một mạng.
Miroslav Stampar – nhà nghiên cứu an ninh của Trung tâm ứng cứu khẩn cấp máy tính Croatia là người phát hiện ra EternalRocks. Theo Stampar, EternalRocks không giống với WannaCry khi nó dường như được thiết kế hoạt động bí mật để không bị phát hiện trên hệ thống bị ảnh hưởng.
Phương thức lây nhiễm của mã độc này vẫn dựa trên các lỗ hổng Windows tương tự như WannaCry, nhưng thay vì mã hóa các tập tin trên máy khách, EternalRocks cho phép hacker có quyền điều khiển từ xa các máy bị lây nhiễm.
Theo hãng bảo mật Trend Micro, cơ chế này nguy hiểm hơn rất nhiều lần so với WannaCry, cho phép hacker có thể sử dụng mạng lưới các máy bị lây nhiễm vào các mục đích xấu như tấn công từ chối dịch vụ DDOS, ăn cắp và phá hoại dữ liệu, hay thậm chí là các hành vi nguy hiểm hơn như theo dõi và tống tiền người dùng trực tiếp.
Sau khi lây nhiễm vào máy tính, để tránh bị phát hiện, EternalRocks tải về trình duyệt ẩn danh Tor, sau đó dùng trình duyệt này kết nối với máy chủ điều khiển (C&C server). Đồng thời, mã độc cũng “ẩn mình” 24 giờ sau mới kết nối tới máy chủ điều khiển và tải về các công cụ khai thác lỗ hổng SMB. Tiếp đến, EternalRocks quét trên mạng, tìm ra các máy tính có lỗ hổng SMB và tự lây nhiễm sang.
Ông Ngô Tuấn Anh – Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết: “Đúng như nhận định của chúng tôi, lỗ hổng SMB đã tiếp tục được hacker khai thác để phát tán mã độc, cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích APT”.
Chuyên gia của Bkav khuyến cáo, người sử dụng có thể sử dụng công cụ quét mã độc WannaCry được Bkav phát hành ngày 15.5 để quét và vá các lỗ hổng SMB trên máy tính.
“Công cụ chúng tôi đã phát hành có thể kiểm tra và bịt tất cả các lỗ hổng SMB, giúp máy tính chống lại cả 7 phương thức tấn công mà virus có thể sử dụng. Do vậy, có thể dùng ngay công cụ này để kiểm tra và tự động vá lỗ hổng, phòng tránh mã độc EternalRocks”, ông Ngô Tuấn Anh cho biết thêm.
Ngoài ra, hãng bảo mật Trend Micro cũng khuyến cáo thêm để đề phòng ngừa nguy cơ mã độc tấn công, người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các tập tin nhận từ internet trong môi trường cách ly. Bên cạnh đó, cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.
Theo ThanhNiên