Kaspersky Lab cập nhật về WannaCry

14:0017/05/2017

(ĐTTD) Cuộc tấn công của WannaCry bằng cách khai thác một lỗ hổng (đã được vá) của Microsoft Windows đã khiến cả thế giới “điên đảo”, và các nhà nghiên cứu của Kaspersky Lab đã liên tục đưa ra các bản cập nhật của mối đe dọa này.

Theo các chuyên gia của Kaspersky, tổng số các biến thể lưu hành vào ngày 11/5 vẫn còn chưa rõ ràng, nhưng cuối tuần qua đã có hai biến thể đáng chú ý xuất hiện. Biến thể đầu tiên bắt đầu lan rộng vào sáng Chủ nhật và được vá để kết nối với một tên miền khác. Biến thể thứ hai xuất hiện trong suốt tuần qua dường như đã được vá để loại bỏ các chức năng vô hiệu hóa.

Tính đến thời điểm hiện tại, các phân tích sâu hơn về các bản ghi cho thấy ransomware WannaCry có thể đã lan rộng vào thứ Năm, 11/5.“Chúng tôi ghi nhận rằng đã có hơn 45.000 người dùng bị tấn công, tuy nhiên đây chỉ là một phần của tổng số các cuộc tấn công” - phản ánh bởi các khách hàng của Kaspersky Lab.

Hiện nay sinkhole Malwaretech đã ghi nhận khoảng 200.000 trường hợp khi thu thập dữ liệu chuyển tiếp từ mã 'kill switch'.Và cũng cần lưu ý rằng con số này chưa bao gồm các trường hợp lây nhiễm trong các mạng doanh nghiệp mà đòi hỏi phải có máy chủ Proxy kết nối với internet, có nghĩa là số nạn nhân thực tế hoàn toàn có thể cao hơn.

Số lượng các nỗ lực tấn công của WannaCry được phát hiện bởi Kaspersky Lab vào thứ Hai, 15/5 đã giảm xuống 6 lần so với cùng thời điểm thứ 6 ngày 12/5. Điều này cho thấy sự lây nhiễm có thể đã được kiểm soát.

Các chuyên gia của Kaspersky cũng cho biết, có mối liên hệ giữa WannaCry và Lazarus Group. Đó là vào ngày thứ hai, 15/5, một nhà nghiên cứu bảo mật từ Google đã đăng tải lên Twitter thông tin chỉ ra khả năng có một sự liên kết giữa các cuộc tấn công đòi tiền chuộc WannaCry (vào hàng ngàn các tổ chức và người dùng cá nhân trên toàn thế giới) và mã độc có liên quan đến nhóm Lazarus khét tiếng, chịu trách nhiệm cho hàng loạt các cuộc tấn công phá hoại vào các tổ chức chính phủ và các tổ chức tài chính. Cụ thể, các vụ tấn công vào hãng Sony Pictures năm 2014, Ngân hàng Trung ương Bangladesh năm 2016 và hàng loạt các vụ tấn công tương tự vẫn tiếp tục vào năm 2017.

Nhà nghiên cứu của Google cũng đã chỉ ra một mẫu mã độc WannaCry xuất hiện vào tháng 2/2017, 2 tháng trước khi xảy ra hàng loạt vụ tấn công gần đây.

Mặc dù sự tương đồng này không hẳn là chứng cứ, tuy nhiên nó cũng có thể dẫn đến những bằng chứng mới mà có thể làm sáng tỏ nguồn gốc của WannaCry mà hiện nay vẫn đang là một bí ẩn.

Vì vậy các chuyên gia của Kaspersky cũng khuyến cáo người dùng:

-          Cài đặt bản vá chính thức từ Microsoft để ngăn chặn lỗ hổng bị sử dụng để tấn công (Đã có các bản vá có sẵn cho Windows XP, Windows 8, and Windows Server 2003 Windows XP, Windows 8, và Windows Server 2003).

-          Đảm bảo rằng các giải pháp bảo mật được bật trên tất cả các nút của mạng.

-          Đối với những người dùng không sử dụng các giải pháp của Kaspersky Lab, chúng tôi đề nghị cài đặt công cụ miễn phí Kaspersky Anti-Ransomware Toolcho doanh nghiệp (KART).

-          Nếu có sử dụng các giải pháp của Kaspersky Lab, hãy đảm bảo rằng nó có bao gồm thành phần System Watcher, một tính năng chủ động phát hiện hành vi, và đừng quên bật tính năng này.

-          Chạy tính năng Critical Area Scan trong giải pháp của Kaspersky Lab để phát hiện ngay các khả năng lây nhiễm một cách nhanh nhất (Nếu không bị tắt nó sẽ tự động phát hiện trong vòng 24h).

-          Khởi động lại hệ thống sau khi phát hiện MEM: Trojan.Win64.EquationDrug.gen.

-          Sử dụng dịch vụ báo cáo các mối đe dọa cụ thể cho khách hàng để được thông báo về các cuộc tấn công có thể xảy ra.

-          WannaCry cũng nhắm vào các hệ thống nhúng. Chúng tôi khuyên bạn nên đảm bảo rằng các giải pháp bảo mật dành riêng cho các hệ thống nhúng được cài đặt và chúng có cả tính năng bảo vệ chống lại phần mềm độc hại và chức năng Default Deny.

Bản ghi mạng lưới Kaspersky Lab và dữ liệu từ SANS ISC

(https://isc.sans.edu/port.html?port=445)

ĐTTD





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • Quảng cáo ASUS
  • DTTD