Các cuộc tấn công khai thác tiền điện tử bằng cách sử dụng các công cụ hack NSA bị rò rỉ vẫn hoạt động tích cực sau một năm

Khoa Học/Công Nghệ

Đã hơn một năm kể từ khi khai thác được phân loại cao do Cơ quan An ninh Quốc gia xây dựng đã bị đánh cắp và xuất bản trực tuyến. Một trong những công cụ có tên EternalBlue, có thể đột nhập vào hầu hết các máy tính Windows trên toàn thế giới. Nó đã không mất nhiều thời gian cho tin tặc để bắt đầu sử dụng cũ…

Đã hơn một năm kể từ khi khai thác được phân loại cao do Cơ quan An ninh Quốc gia xây dựng đã bị đánh cắp và xuất bản trực tuyến.

Một trong những công cụ có tên EternalBlue, có thể đột nhập vào hầu hết các máy tính Windows trên toàn thế giới. Nó đã không mất nhiều thời gian cho các tin tặc để bắt đầu sử dụng các khai thác để chạy ransomware trên hàng ngàn máy tính, mài bệnh viện và các doanh nghiệp dừng lại. Hai cuộc tấn công riêng biệt trong nhiều tháng sử dụng WannaCry và NotPetya ransomware, lan truyền như cháy rừng. Khi một máy tính trong mạng bị nhiễm, phần mềm độc hại cũng sẽ nhắm mục tiêu các thiết bị khác trên mạng. Sự phục hồi chậm và các công ty thiệt hại hàng trăm triệu đô la.

Tuy nhiên, hơn một năm kể từ khi Microsoft phát hành các bản vá đã đóng sập cửa sau, gần một triệu máy tính và mạng vẫn chưa được vá và dễ bị tấn công.

Mặc dù nhiễm WannaCry đã bị chậm lại, tin tặc vẫn đang sử dụng các khai thác NSA có thể truy cập công khai để lây nhiễm các máy tính để khai thác tiền điện tử.

Không ai biết rằng tốt hơn so với một công ty đa quốc gia lớn của Fortune 500, bị ảnh hưởng bởi một vụ khai thác tiền điện tử WannaMine lớn chỉ vài ngày trước.

Biện pháp trừng phạt của Mỹ đối với Bắc Triều Tiên đối với vụ tấn công của Sony và WannaCry

"Khách hàng của chúng tôi là một công ty rất lớn với nhiều văn phòng trên toàn thế giới", Amit Serper, người đứng đầu nhóm nghiên cứu bảo mật tại Cybereason có trụ sở tại Boston, nói.

"Một khi máy tính đầu tiên của họ đã bị tấn công phần mềm độc hại đến hơn 1.000 máy trong một ngày", ông nói, mà không đặt tên công ty.

Cryptomining tấn công đã được khoảng một thời gian. Nó phổ biến hơn cho các tin tặc để đưa mã khai thác tiền điện tử vào các trang web dễ bị tổn thương, nhưng số tiền thưởng thấp. Một số trang web tin tức hiện đang cài đặt mã khai thác của riêng họ làm phương án thay thế cho việc chạy quảng cáo.

Nhưng WannaMine hoạt động khác nhau, Cybereason cho biết sau khi chết. Bằng cách sử dụng những khai thác NSA bị rò rỉ đó để có được một chỗ đứng duy nhất trong mạng, phần mềm độc hại sẽ cố lây nhiễm sang bất kỳ máy tính nào bên trong. Nó liên tục nên phần mềm độc hại có thể tồn tại khi khởi động lại. Sau khi nó được cấy ghép, phần mềm độc hại sử dụng bộ vi xử lý của máy tính để khai thác tiền điện tử. Trên hàng chục, hàng trăm hoặc thậm chí hàng nghìn máy tính, phần mềm độc hại có thể khai thác tiền điện tử nhanh hơn và hiệu quả hơn. Mặc dù nó là một nguồn năng lượng và tài nguyên máy tính, nó thường có thể không được chú ý.

Sau khi phần mềm độc hại lan truyền trong mạng, nó sẽ thay đổi cài đặt quản lý năng lượng để ngăn máy tính bị nhiễm đi ngủ. Không chỉ vậy, phần mềm độc hại cố gắng phát hiện các kịch bản mã hóa khác đang chạy trên máy tính và chấm dứt chúng - có khả năng ép từng bit năng lượng ra khỏi bộ vi xử lý, tối đa hóa nỗ lực khai thác của nó.

Ít nhất 300.000 máy tính hoặc mạng vẫn còn dễ bị tấn công bởi các công cụ hack EternalBlue của NSA.

Dựa trên số liệu thống kê cập nhật từ Shodan, một công cụ tìm kiếm cho các cổng và cơ sở dữ liệu mở, ít nhất 919.000 máy chủ vẫn còn dễ bị EternalBlue, với khoảng 300.000 máy ở Mỹ. Và đó chỉ là đỉnh của tảng băng trôi - con số đó có thể đại diện cho một trong hai máy tính dễ bị tổn thương hoặc máy chủ mạng dễ bị lây nhiễm có khả năng lây nhiễm hàng trăm hoặc hàng nghìn máy.

Cybereason cho biết các công ty vẫn bị ảnh hưởng nghiêm trọng vì hệ thống của họ không được bảo vệ.

"Không có lý do tại sao các khai thác này nên vẫn chưa được vá", bài đăng trên blog cho biết. “Các tổ chức cần phải cài đặt các bản vá bảo mật và các máy cập nhật”.

Nếu không phải là tiền chuộc ngày hôm qua, ngày nay nó sẽ giải mã phần mềm độc hại. Với cách khai thác EternalBlue linh hoạt như thế nào, ngày mai nó có thể là thứ tồi tệ hơn - như trộm cắp dữ liệu hoặc phá hủy.

Nói cách khác: nếu bạn chưa vá, bạn còn chờ gì nữa?

Có thể bạn quan tâm