Phát hiện mã độc đào tiền ảo lây nhiễm hơn nửa triệu máy tính qua lỗ hổng NSA

Năm 2017 có thể nói  là một năm mà các cuộc tấn công dữ liệu phát triển ở mức độ cao, kèm theo đó là các cuộc tấn công mã độc tống tiền, nhưng chỉ mới từ đầu năm nay, các chuyên gia bảo mật đã chứng kiến một sự thay đổi rõ rệt và nhanh hơn từ các nguy cơ an ninh mạng. Bởi phần mềm độc hại có liên quan đến tiền kỹ thuật số đang dần trở nên một sự lựa chọn phổ biến và thu được lợi nhuận cao về cho kẻ tấn công.

Nhiều công ty an ninh mạng đã công bố các bản báo cáo mới có liên quan đến các virus đào tiền kỹ thuật số đang lây lan với tốc độ nhanh chóng bằng cách sử dụng lỗ hổng EternalBlue – cùng lỗ hổng bảo mật NSA bị khai thác đã bị rò rỉ bới nhóm hacker Shadow Brokers và cũng là lỗ hổng mà vụ tấn công mã độc WannaCry lợi dụng để lây lan trên toàn thế giới vào năm ngoái.

Các nhà nghiên cứu từ Proofpoint đã phát hiện ra một mạng botnet toàn cầu có tên là Smomiru đã khai thác lỗ hổng EternalBlue SMB (CVE-2017-0144) để lây nhiễm hàng loạt máy tính Windows để khai thác tiền ảo Monero, trị giá hàng triệu USD cho chủ của nó.

Theo các nhà nghiên cứu thì Smominru botnet đã hoạt động từ ít nhất tháng 5 năm 2017, mạng botnet Smominru đã lây nhiễm cho trên 526.000 máy tính Windows, hầu hết được cho là các máy chủ chạy các phiên bản Windows chưa được vá lỗi.

Các nhà nghiên cứu cho biết “Dựa vào sức mạnh lây nhiễm có liên kết đến địa chỉ thanh toán Monero cho hoạt động này, có vẻ như mạng botnet có khả năng tấn công và kích thước lớn gấp đôi Adylkuzz.

Các nhà vận hành mạng Botnet đã khai thác khoản 8.900 Monero, trị giá lên đến 3,6 triệu USD với tốt độ khoản 24 Monero mỗi ngày (tương đương 8.500 USD) bằng cách ăn cắp tài nguyên máy tính của hàng triệu hệ thống trên thế giới.

Được biết, số lượng lây nhiễm Smominru cao nhất là ở Nga, Ấn Độ và Đài Loan.

Cơ sở hạ tầng quản lý của Smominru botnet được lưu trữ trên dịch vụ bảo vệ DDoS SharkTech, đã được báo cáo về sự lạm dụng tấn công, thế nhưng công ty này đã bỏ qua các báo cáo này.

Theo các nhà nghiên cứu của Proofpoint thì các tội phạm mạng đang sử dụng ít nhất 25 máy để quét Internet, để tìm ra các máy tính Windows dễ bị tấn công và sử dụng lỗ hổng RDP của NSA, EsteemAudit (CVE-2017-0176) để lây nhiễm.

Một công ty bảo mật khác tên CrowdStrike gần đây đã đăng một thông tin báo cáo rằng một phần mềm độc hại không có tập tin khai thác tiền ảo trên phạm vi rộng mang tên WannaMine. Các nhà nghiên cứu quan sát thấy phần mềm độc hại này đã khai thác lỗ hổng EternalBlue để lây nhiễm nhiều máy tính và cày tiền Monero. Bởi mã độc này không tải bất kỳ phần mềm nào trên máy tính bị lây nhiễm, nên WannaMine rất khó bị phát hiện bởi các phần mềm diệt virus. Được biết, mã độc này đã làm cho một số công ty không thể hoạt động được trong nhiều ngày, thậm chí là vài tuần.

Bên cạnh các hệ thống lây nhiễm, bọn tội phạm trực tuyến cũng đang áp dụng các hình thức tấn công Cryptojacking trên phạm vi rộng, trong đó trình điều khiển JavaScript dựa trên trình duyệt web, lợi dụng khách truy cập web để khai thác tiền ảo.

Điểm đáng chú ý là các cuộc tấn công khai thác tiền kỹ thuật số gần đây đã khai thác lỗ hổng EternalBlue, một lỗ hổng vốn được Microsoft vá lỗi từ năm ngoái, người dùng nên cập nhật vá lỗi hệ thống và phần mềm để tránh trở thành nạn nhân bị tấn công.

Xuân Dung