An toàn thông tin: Theo dõi, phòng ngừa, ngăn chặn các mã độc tống tiền nguy hiểm
Những năm gần đây, các loại hình dịch vụ Internet ngày càng phát triển đa dạng, trong đó hầu hết mọi dữ liệu, thông tin đều được trao đổi qua không gian mạng. Đó là sự bùng nổ của công nghệ di động, điện toán đám mây, thương mại điện tử, trung tâm dữ liệu, đặc biệt là công nghệ di động 4G sắp được triển khai chính thức trong thời gian tới… Song song đó là vấn đề an toàn thông tin được đặt ra.
Thời gian qua, nước ta đã chứng kiến nhiều tấn công phát tán mã độc nhằm thu lợi bất chính như: Zbot/Zeus - một loại trojan nguy hiểm, lây nhiễm cho người dùng Windows; Zeus Gameover (P2P) - hoạt động dựa vào cơ sở hạ tầng botnet ngang hàng và đã lây nhiễm cho khoảng một triệu máy tính trên khắp thế giới; SpyEye (họ Zeus) - trộm tiền từ các tài khoản ngân hàng trực tuyến; Ice IX (họ Zeus) - một phiên bản sửa đổi của Zeus, một trojan ngân hàng khét tiếng, một trong những mã độc nguy hiểm nhất hiện nay; Citadel (họ Zeus) - giúp kẻ xấu ăn cắp thông tin cá nhân từ các nền tảng ngân hàng trực tuyến; Bugat (họ Zeus) - ăn cắp thông tin tài chính; Shylock (họ Zeus) - một phần mềm độc hại của ngân hàng; Torpig (họ Zeus) - thu thập thông tin nhạy cảm, chẳng hạn như tài khoản ngân hàng và thông tin thẻ tín dụng từ các nạn nhân; CryptoLocker - mã hóa dữ liệu, đòi tiền chuộc.
Và gần đây là mã độc WannaCry, lây nhiễm trên hàng trăm máy tính tại hơn 90 nước chỉ trong vài giờ. Tại Việt Nam, hơn 1.900 máy tính có chứa WannaCry và hơn 52% máy tính tồn tại lỗ hổng có thể bị tấn công; mã độc tống tiền Petya làm tê liệt hàng loạt ngân hàng, sân bay, máy ATM và nhiều doanh nghiệp lớn tại châu Âu; mã độc Bad Rabbit đã lan rộng trong hệ thống của ít nhất 200 tổ chức trên thế giới.
Theo các chuyên gia nhận định, trong thời gian tới hình thức đào tiền ảo, tấn công các sàn giao dịch tiền ảo, tống tiền… bằng cách phát tán virus có xu hướng tiếp tục bùng nổ thông qua Facebook, email, qua lỗ hổng hệ điều hành, USB… Do đó, việc theo dõi, phòng ngừa, ngăn chặn các mã độc nguy hiểm trong thời đại công nghệ thông tin ngày nay là rất cần thiết.
Và nay, các cơ quan chức năng đã phát hiện các chiến dịch phát tán mã độc GhostTeam và mã độc tống tiền GandCrab đang tấn công nhiều nước trên thế giới, trong đó có Việt Nam. Theo đó, mã độc GhostTeam được phát tán thông qua chợ ứng dụng Google Play, với thủ đoạn giả mạo các ứng dụng thường dùng như: quét mã vạch, ghi âm, trò chơi cờ vua,… Để vượt qua kiểm tra bảo mật của Google, GhostTeam không chứa mã độc khi tải lên Google Play, chỉ có tính năng hiển thị các quảng cáo. Tuy nhiên, khi chạy, ứng dụng này có thể tải các đoạn mã hoặc ứng dụng khác về thiết bị. GhostTeam thu thập thông tin về thiết bị (như: ID, vị trí, ngôn ngữ và thông số hiển thị), đánh cắp thông tin đăng nhập Facebook bằng cách lừa đảo người dùng đăng nhập các dịch vụ Google Play hoặc các ứng dụng giả mạo. Các mã JavaScript trong ứng dụng độc hại thường được phát tán qua nút “share” (chia sẻ) trên trang Facebook và lây nhiểm với “bạn bè” của nạn nhân.
Với lượng lớn người dùng, hệ điều hành Android là hệ điều hành bị nhiều tin tặc nhắm tới, nên Android là hệ điều hành có nguy cơ bị lây nhiễm mã độc hàng đầu hiện nay. Mã độc tống tiền GandCrab được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG, khi bị lây nhiễm, toàn bộ các tập tin dữ liệu trên máy tính người dùng sẽ bị mã hóa và phần mở rộng của tập tin bị đổi thành *.GDCB hoặc *CRAB, đồng thời mã độc sinh ra một tệp CRAB-DECRYPT.txt nhằm yêu cầu và hướng dẫn người dùng trả tiền chuộc từ 400 - 1000 USD bằng cách thanh toán qua tiền điện tử DASH để giải mã dữ liệu.
Do tính chất nguy hiểm của 02 mã độc nêu trên như có thể đánh cắp thông tin và mã hóa toàn bộ dữ liệu trên máy bị nhiễm. Tin tặc khai thác và tấn công sẽ gây ra nhiều hậu quả nghiêm trọng khác, Trung tâm Công nghệ thông tin - Bộ Khoa học và Công nghệ đã đề nghị các cá nhân, đơn vị thực hiện phòng ngừa, ngăn chặn sự tấn công của mã độc GandCrab và GhostTeam:
- Theo dõi, ngăn chặn kết nối đến các máy chủ máy chủ điều khiển mã độc tống tiền GandCrab và cập nhật vào các hệ thống bảo vệ như: IDS/IPS Firewall, ... các thông tin nhận dạng tại Phụ lục đính kèm;
- Nếu phát hiện mã độc GandCrab cần nhanh chóng cô lập vùng/máy bị nhiễm và báo cáo về Trung tâm Công nghệ thông tin;
- Các cán bộ cần nâng cao cảnh giác, không mở và click vào các liên kết (link) cũng như các tập tin đính kèm trong email có chứa các tập tin dạng .doc, .pdf, .zip,... được gửi từ người lạ hoặc nếu email được gửi từ người quen nhưng cách đặt tiêu đề hoặc ngôn ngữ khác thường. Và cần thông báo cho bộ phận chuyên trách quản trị hệ thống hoặc đảm bảo an toàn thông tin khi nhận được email nghi ngờ;
- Các cán bộ không cài đặt, sử dụng các phần mềm không rõ nguồn gốc trên điện thoại di động; cập nhật bản nâng cấp mới nhất của hệ điều hành;
- Tăng cường công tác bảo vệ bí mật nhà nước, tuyên truyền, phổ biến kiến thức bảo mật cho cán bộ.
Khi an ninh mạng ngày càng diễn biến phức tạp và có quy mô, các loại mã độc ngày càng khó nhận biết như hiện nay thì việc phòng ngừa, ngăn chặn mã độc và xử lý sự cố là một trong những yêu cầu trước tiên cho người dùng.
Trần Phước