Ransomware WannaCry tuy chỉ mới xuất hiện từ tuần trước nhưng đang đứng trước nguy cơ bị lấn áp bởi một malware khác – cái mà có thể biến các máy tính chạy Windows thành những “nô lệ” trong botnet để đào Monero.
Ngay sau cuộc tấn công mạng toàn cầu chưa từng có tiền lệ bắt đầu từ thứ sáu vừa qua bởi phần mềm độc hại WannaCry thì một loại malware mới, là chương trình đào tiền thuật toán có tên Adylkuzz, đã lây nhiễm cho hàng trăm và có thể là hàng nghìn máy tính cá nhân trên khắp thế giới, theo số liệu của các nhà nghiên cứu tại hãng bảo mật mạng Proofpoint.
“Chỉ cần hoạt động trên Internet trong khoảng 20 phút thì máy tính của bạn sẽ đứng trước nguy cơ cao bị kéo vào botnet đào tiền của Adylkuzz”, các nhà nghiên cứu tiết lộ.
Malware Adylkuzz tận dụng giao thức MS17-010 của hệ điều hành Windows, tương tự cái mà WannaCry đã tấn công vào để xâm nhập. Sau đó, malware này sẽ lan rộng ra EternalBlue, lỗ hổng máy tính bị nhóm tin tặc Shadow Broker đánh cắp từ kho công cụ mạng của Cơ quan An ninh Quốc gia Mỹ (NSA).
Nhưng Adylkuzz rất khó bị phát hiện vì nó hoạt động ẩn mình, không mã hoá file và đòi tiền chuộc như WannaCry. Thay vào đó, chương trình này bí mật kiếm tiền cho bọn tin tặc thông qua khai thác Monero, một loại tiền điện tử với mức độ riêng tư còn cao hơn cả Bitcoin.
Hầu hết các nạn nhân thậm chí sẽ không biết là máy của mình đã bị lây nhiễm. Dấu hiệu duy nhất là việc PC sẽ hoạt động chậm chạp hơn và người dùng mất đi khả năng truy cập vào các tài liệu đã chia sẻ trên Windows Drive.
Các nhà nghiên cứu tiết lộ:
“Những thống kê ban đầu cho thấy quy mô của cuộc tấn công này thậm chí còn lớn hơn cả WannaCry, có thể nó đã xâm nhập vào hàng trăm, hàng nghìn máy tính và server trên thế giới; nhưng bởi vì Adylkuzz tắt đi kết nối SMB để ngăn việc lây nhiễm thêm các malware khác (bao gồm cả WannaCry, vốn xâm nhập máy tính thông qua SMB) nên có khả năng là nó đã giúp thu hẹp tốc độ phát tán của ransomware WannaCry.”
Chương trình khai thác tiền điện tử này thậm chí còn xuất hiện sớm hơn cả cuộc tấn công toàn cầu của WannaCry, ‘bắt đầu từ trễ nhất là ngày 2/5 và có khi là từ 24/4’. Các nhà nghiên cứu cũng đã cung cấp bằng chứng cho thấy là đang diễn ra hoạt động đào Monero bí mật: một trong vài địa chỉ Monero đã hiển thị lượng tiền điện tử mới khai thác được tương đương $22,000 trước khi ngừng hoạt động.
Ryan Kalember, chuyên viên chiến lược an ninh mạng cấp cao của Proofpoint cho biết:
“Một laptop đơn lẻ thì chỉ có thể tạo ra được vài đô la mỗi tuần, nhưng khi ta liên kết lượng lớn các máy tính thông qua Adylkuzz chỉ để phục vụ khai thác thì khoản tiền thu về mỗi ngày có thể lên đến 5 chữ số.”
Một địa chỉ khác có mức thanh toán là $7,000, trong khi cái thứ ba còn cao hơn nữa – tổng tiền mà nó đang “hiện tại” đào lên được là $14,000.
“Chúng tôi vẫn chưa thống kê hết được quy mô của nó trải rộng như thế nào” – Phó Chủ tịch mảng Email của Proofpoint Robert Holmes trả lời phỏng vấn của hãng tin AFP. Tuy nhiên, điều ông khẳng định là “nó lớn hơn nhiều so với WannaCry”.
“Proofpoint đã từng chạm trán nhiều malware đào tiền điện tử trước đây, nhưng tất cả chúng đều không ở mức độ nghiêm trọng như trường hợp lần này” – Holmes nhận xét thêm.
Các máy tính chạy hệ điều hành Windows cũ hiện tại đang phơi nhiễm trước sự tấn công của chương trình đào tiền Monero, cũng như là ransomware WannaCry. Các chuyên gia bảo mật khuyên tất cả người dùng Windows cần phải cập nhật những bản vá lỗi mới nhất vào máy của họ.
Monero (XMR) là một hệ thống tiền tệ bảo mật, riêng tư và không thể truy vết. XMR sử dụng một thuật toán crypto đặc biệt giúp các giao dịch mua bán XMR đảm bảo 100% không thể liên kết và truy dấu được. Trong một thế giới ngày càng trở nên minh bạch, đặc điểm của đồng Monero chính là lý do khiến đồng tiền điện tử này trở nên hấp dẫn với nhà đầu tư.
