Ransomware đòi tiền chuộc NotPetya tiếp tục hoành hành tại nhiều nơi trên thế giới, đe dọa an ninh mạng toàn cầu.
Sau khi xâm nhập vào hệ thống máy tính, NotPetya sẽ mã hóa tất cả dữ liệu và đòi nộp số tiền tương đương 300 USD bằng Bitcoin mới cung cấp cách giải mã cứu dữ liệu. Tính tới hiện tại đã có khá nhiều người nộp tiền cho hacker với tổng số lên tới khoảng 7500 USD, nghĩa là gần 3,1 bitcoin.
Nhà nghiên cứu Mikko Hypponen tại F-secure đã công bố danh sách các tập tin mà NotPetya “bắt giữ”, trong đo bao gồm cả zip, ai, 7z, ppt, pptx, pdf,… Ứng phó trước đợt tấn công này, nhiều công ty yêu cầu các nhân viên tắt máy tính, không dùng Wifi để hạn chế tiếp tục bị lây nhiễm.
Được biết đợt tấn công ban đầu của NotPetya nhắm tới những tập đoàn dầu khí lớn, các ngân hàng, công ty điện, nhà máy, quân đội và sân bay tại Ukraine. Sau đó, nó nhanh chóng lan sang các máy tại Tây Ban Nha, Pháp, Nga và Ấn Độ. Không cần phải nói, NotPetya sẽ không ngừng lây lan sang những cơ quan chính phủ và công ty từ nhiều quốc gia khác trên thế giới. Nhiều người dùng cá nhân cho biết đã dính phải NotPetya và thậm chí, một số cây ATM và siêu thị cũng đã bị dính.
Các nhà nghiên cứu của Kaspersky Lab đang điều tra một làn sóng tấn công mới của ransomware nhắm vào các tổ chức trên toàn thế giới. Những phát hiện ban đầu của Kaspersky Lab cho thấy đây không phải là biến thể của Ransomware Petya, mà đây là một ransomware mới chưa từng thấy trước đây. Đó là lý do tại sao Kaspersky Lab đặt tên nó là NotPetya.
Dữ liệu từ xa của công ty cho thấy đã có khoảng 2.000 cuộc tấn công cho đến thời điểm này. Các tổ chức bị ảnh hưởng nhiều nhất là ở Nga và Ukraine, Kaspersky Lab cũng ghi nhận nhiều cuộc tấn công khác ở Ba Lan, Ý, Anh, Đức, Pháp, Mỹ và nhiều quốc gia khác.
Đây là một tấn công vô cùng phức tạp bao gồm nhiều hình thức tấn công. Kaspersky Lab có thể xác nhận là một lỗ hổng EternalBlue đã được chỉnh sửa và được sử dụng cho sự lây lan này trong mạng lưới doanh nghiệp.
Kaspersky Lab phát hiện mối đe doạ này là: DangeroundObject.Multi.Generic.
Các chuyên gia Kaspersky Lab mong muốn phát hành các chữ ký mới, bao gồm cả thanh phần System Watcher càng sớm càng tốt và xác định liệu có thể giải mã được dữ liệu đã bị khóa trong cuộc tấn công hay không với ý định phát triển công cụ giải mã sớm nhất có thể.
Kaspersky Lab khuyến nghị tất cả các doanh nghiệp cập nhật ngay phần mềm Windows, kiểm tra các giải pháp bảo mật và chắc chắn là đã sao lưu dữ liệu cũng như phát hiện được ransomware kịp thời.
Các khách hàng doanh nghiệp của Kaspersky Lab cũng được khuyến nghị như sau:
- Đảm bảo các phương pháp bảo mật đã được kích hoạt và bật thành phần KSn/System Watcher
- Sử dụng tính năng AppLocker để vô hiệu hoá các hoạt động của bất kì tập tin nào có tên “perfc.dat” cũng như Tiện ích PSExec từ bộ Sysinternals Suite.
