Gửi lúc: 19/02/2019 14:55:46
Bookmark and Share

Mã độc tống tiền W32.WeakPass tấn công hàng trăm máy chủ tại Việt Nam

Ngày 14/02/2019, Bkav đã phát đi cảnh báo về một chiến dịch phát tán mã độc tống tiền W32.WeakPass nhắm mục tiêu vào các máy chủ tại Việt Nam.



Hệ thống giám sát virus của Bkav cảnh báo, đã phát hiện một chiến dịch tấn công có chủ đích của tin tặc nước ngoài nhắm vào các máy chủ cung cấp dịch vụ của Việt Nam. Các địa chỉ phát động tấn công có nguồn gốc từ Nga và một số nước ở châu Âu, châu Mỹ. Tuy không công bố cụ thể đơn vị nào đã bị tấn công, nhưng theo ước tính của Bkav, tính đến cuối buổi chiều ngày 14/02/2019, số nạn nhân có thể đã lên đến hàng trăm cơ quan, tổ chức.

Cách thức tấn công của các tin tặc là rà quét các máy chủ sử dụng hệ điều hành Windows của các cơ quan, tổ chức tại Việt Nam. Từ đó, dò mật khẩu các máy chủ bằng cách tấn công từ điển, sử dụng danh sách mã để thử mật khẩu. Nếu thành công, chúng sẽ thực hiện đăng nhập từ xa qua dịch vụ điều khiển máy tính từ xa (remote desktop) và cài mã độc tống tiền để mã hóa dữ liệu trên máy tính. Nếu nạn nhân muốn lấy lại dữ liệu, thì phải trả tiền chuộc cho tin tặc. 

Hiện Bkav đã cập nhật mẫu nhận diện mã độc tống tiền này là “W32.WeakPass” trên các phiên bản phần mềm diệt virus của Bkav (bao gồm cả phiên bản miễn phí). Quản trị viên và người dùng có thể sử dụng phần mềm diệt virus của Bkav để quét và kiểm tra các máy chủ của đơn vị mình. 

Trong chiến dịch tấn công này, tin tặc không công bố cụ thể số tiền nạn nhân phải trả như các mã độc tống tiền thông thường khác, mà yêu cầu nạn nhân liên lạc qua email để trao đổi, thỏa thuận từng trường hợp cụ thể. Theo ghi nhận của Bkav, với mỗi máy chủ bị mã hóa dữ liệu, tin tặc sẽ để lại một email khác nhau để liên hệ.

Bkav cũng khuyến cáo quản trị viên cần sớm lên kế hoạch rà soát toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng công khai, có kết nối Internet. Cần sử dụng mật khẩu mạnh, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không cần thiết để ngăn chặn truy cập từ xa của tin tặc. Trong trường hợp phải duy trì remote desktop, cần giới hạn quyền truy cập, hoặc cấu hình chỉ cho các IP tĩnh được truy cập.

T.U