Hai botnet tấn công tiền ảo WannaMine và Smominru đang tàn phá hàng triệu máy tính

Cuộc tấn công không gian mạng WannaCry vào mùa hè năm 2017 đã làm tê liệt hàng nghìn máy tính bằng mã độc tống tiền trên phạm vi toàn cầu, làm chấn động giới an ninh bảo mật máy tính. EternalBlue - phương thức khai thác lỗ hổng trên Windows do chính NSA (Cơ quan An ninh Quốc gia Mỹ) phát triển nhưng vô tình để lộ ra ngoài, đã bị lợi dụng để thực thi WannaCry. Và lần này, một vụ tấn công tương tự cũng sử dụng EternalBlue để đột nhập vào các máy tính nhằm khai thác tiền mã hóa.

Smominru

Botnet mới có tên Smominru sau khi lây nhiễm thành công sẽ biến máy tính của các nạn nhân thành công vụ đào loại tiền ảo Monero – theo công bố của Công ty an ninh mạng Proofpoint.

Đáng nói là, botnet này đã bắt đầu hoạt động từ tháng 5/2017 và đã mang về cho hacker khoảng hơn 3,5 triệu USD. Smominru ra đời chỉ sau 1 tháng kể từ khi thông tin về EternalBlue bị rò rỉ.

Bất chấp những nỗ lực ngăn chặn, botnet này vẫn đang tiếp tục tấn công trên mạng. Hãng bảo mật Proofpoint cho biết, botnet này đã "sở hữu" hơn 526.000 máy chủ và nút mạng mà hầu hết đều là những server lớn chạy hệ điều hành Windows – vốn có sức mạnh xử lý hơn và khả năng hoạt động liên tục. Phần lớn các nốt mạng bị lây nhiễm này nằm ở Nga, Ấn Độ và Đài Loan, tuy nhiên rất ít tổ chức biết máy chủ của họ đang trở thành một nút trong botnet Smominru.

Rất nhiều lần, các nhà nghiên cứu an ninh đã thu thập thông tin và bẫy botnet này nhưng hacker đều tìm cách phục hồi được. Mạng botnet này lớn gấp đôi so với botnet đào tiền mã hóa Adylkuzz trước đây.

Các nhà nghiên cứu tại Proofpoint cho biết, Smominru đã khai thác được 8.900 Monero, trị giá khoảng từ 2,8 tới 3,6 triệu USD. Mỗi ngày Smominru lại khai thác được khoảng 24 Monerro, tương đương 8.500 USD.

Các chuyên gia bảo mật lưu ý rằng hacker sử dụng ít nhất 25 máy chủ để dò tìm những máy tính Windows có thể bị tấn công bằng EternalBlue. Bên cạnh đó, chúng cũng sử dụng phương thức khai thác EsteemAudit cho lỗ hổng trong RDP trên Windows Server 2003 và Windows XP để tăng thêm số nút cho botnet.

Proofpoint cảnh báo rằng các hoạt động này sẽ tiếp tục và các botnet như thế này sẽ phát triển về quy mô và tần suất trong tương lai.

WannaMine

Công ty bảo mật Panda Security của Tây Ban Nha là công ty đầu tiên chú ý tới botnet WannaMine mà họ mô tả là "một mánh làm ăn bùng nổ".

Tuy nó không ngăn người dùng hoàn toàn khỏi máy tính của họ, nhưng máy tính sẽ vận hành rất chậm và hầu như không làm được việc gì. Công ty an ninh mạng CrowdStrike cho biết, một khách hàng đã báo cáo "gần 100 phần trăm hệ thống của họ không thể sử dụng được vì sử dụng quá mức sức mạnh CPU của hệ thống".

WannaMine có thể di chuyển từ một máy tính cá nhân tới tất cả các máy tính khác thông qua mạng lưới công ty. Từ đây, các máy chủ công nghiệp có thể được sử dụng để đào tiền ảo Monero và làm chậm toàn bộ hệ thống máy tính.

Việc nhiễm mã độc này thường xảy ra thông qua các email lừa đảo hoặc cuộc tấn công truy cập từ xa thông qua việc phát tán Mimikatz - một gói công cụ cho phép một cá nhân truy cập vào mật khẩu và bộ nhớ của hệ thống. Việc giải quyết hậu quả sau đó là vô cùng khó khăn – nhất là trong việc theo dõi và loại bỏ các mã độc như WannaMine.

PandaLabs xác định phần mềm độc hại này là loại Advanced Volatile Threat (AVET) vì mã độc này được thiết kế để không bị lộ trên ổ cứng và làm việc từ RAM. Đặc biệt, các phần mềm chống virus và hệ thống phòng thủ thế hệ hiện tại không còn hiệu quả đối với các cuộc tấn công như vậy. Vì WannaMine không ghi bất kỳ dữ liệu nào vào ổ cứng của máy tính, ví dụ như chương trình McAfee Security không thể phát hiện ra bất kỳ lỗi nào.

WannaMine không hề tạo ra file nào trên máy tính (fileless) khiến cho việc phát hiện nó khó hơn nhiều. Thay vì cài đặt một ứng dụng, WannaMine vận hành bằng cách tận dụng các công cụ đã được cài đặt sẵn trên máy tính nạn nhân và làm rối trí các phần mềm chống virus khiến chúng không thể nhận ra khi quét virus.

Botnet này cũng khác với Smominru vì chúng tấn công các địa chỉ mỏ đào (mining pool) khác và sử dụng các server khác. 

Hết sức cảnh giác

Do hầu hết người dùng sẽ chỉ thấy máy tính của mình bị chậm dần đi, quét virus không phát hiện được gì, nên không biết là máy tính đã bị lợi dụng để khai thác tiền ảo. Để ngăn ngừa máy tính bị biến thành công cụ cung cấp hiệu năng cho tội phạm mạng kiếm tiền, các chuyên gia khuyên người dùng nên thực hiện các biện pháp dưới đây:

1. Không cài đặt phần mềm đáng ngờ từ các nguồn không đáng tin cậy trên máy tính của bạn.

2. Tính năng phát hiện adware có thể bị tắt theo mặc định trong giải pháp bảo mật của bạn. Hãy chắc chắn rằng bạn đã kích hoạt tính năng này.

3. Sử dụng một giải pháp Internet Security để bảo vệ môi trường số của bạn khỏi mọi mối đe dọa có thể bao gồm các phần mềm đào tiền ảo độc hại.

4. Nếu bạn đang chạy một máy chủ, đảm bảo rằng nó được bảo vệ bằng một giải pháp bảo mật, vì các máy chủ là những mục tiêu sinh lợi cho bọn tội phạm nhờ công suất tính toán cao (so với máy tính cá nhân trung bình)

Nguồn: vnreview.vn

*****

Từ khóa liên quan: Dịch vụ IT; Dịch vụ công nghệ thông tinDịch vụ tin học; Dịch vụ công nghệ thông tin quận 7; Dịch vụ IT quận 7Dịch vụ IT quận 1, quận 2, quận 3, quận 4, quận 5, quận 7, quận 8, quận 10, Dịch vụ bảo trì máy tính; Dịch vụ bảo trì hệ thống máy tính; Xử lý sự cố máy tính; Bảo trì máy tính; Bảo trì hệ thống mạng; Quản lý hệ thống mạng; Vận hành hệ thống công nghệ thông tin; Quản trị hệ thống máy chủ; Tích hợp hệ thống; Dịch vụ triển khai giải pháp công nghệ thông tin; Cho thuê thiết bị CNTT; Cho thuê nhân viên CNTT; Bảo mật hệ thống; Bảo mật mạngBảo mật dữ liệu; Phòng chống virus; Phòng chống tấn công mạng; Phòng chống Ransomware; Bảo vệ hệ thống mạng; Lướt web an toàn; Lưu trữ tập trung; Sao lưu dữ liệu; Lưu trữ dữ liệu an toàn; Chia sẻ dữ liệu an toàn; Chia sẻ dữ liệu nội bộ; Chia sẻ dữ liệu trong mạng LAN; Tổng đài điện thoại; Camera giám sát; Hệ thống Access Control; Cửa từ; Hội nghị trực tuyến; Họp online; Họp qua mạngThiết bị công nghệ thông tin; Thiết bi mạng; Tường lửa; Firewall; Máy chủ; Server; WatchGuard; Triển khai hạ tầng mạng; Triển khai hệ thống mạng; Triển khai hệ thống cáp mạng; Giải pháp kết nối nhiều chi nhánh; Kết nối các chi nhánh với văn phòng chínhThủ thuật công nghệ; Mẹo vặt công nghệ; Tin tức công nghệ; SaiGon TDC; Làm việc tại nhà; Kết nối mạng công ty tại nhà; Truy cập dữ liệu công ty tại nhà; Kết nối dữ liệu tại công ty khi làm việc tại nhà; Làm sao để lấy dữ liệu khi làm việc tại nhà; Kết nối mạng công ty để làm việc tại nhà; Làm thế nào để không bỏ lỡ các cuộc gọi của khách hàng khi đang làm việc tại nhà?; Dùng số điện thoại của công ty để gọi khi làm việc tại nhà; Gọi nội bộ công ty khi làm việc tại nhà; Hệ thống điện thoại cho nhân viên làm việc tại nhà; Chuyển cuộc gọi đến công ty vào điện thoại di động; Làm sao để về nhà làm việc mà vẫn có thể nhận cuộc gọi đến công ty?;

Share: