Theo thống kê của Bkav, đã có 36 giao dịch trả tiền chuộc cho Petya được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.
Sau khi các vụ tấn công mạng gây ra bởi WannaCry vừa kết thúc. Cả thế giới lại tiếp tục bị chao đảo bởi một loại mã độc tống tiền mới có tên Petya. Chỉ một thời gian ngắn sau khi xuất hiện, Petya đang lây lan với tốc độ khủng khiếp trên toàn cầu.
Petya đã tạo nên một cuộc khủng hoảng về an ninh mạng nghiêm trọng tại nhiều quốc gia lớn ở châu Âu như Ukraine, Tây Ban Nha, Isarel, Anh, Hà Lan và Hoa Kỳ. Quốc gia bị ảnh hưởng nặng nề nhất bởi Petya là Ukraine.
Hiện tại, một loạt các hệ thống thông tin bao gồm cả khối chính phủ nhiều nước châu Âu, các hệ thống vận tải như nhà ga, sân bay, ngành năng lượng, hóa dầu, ngân hàng, hệ thống ATM và cả hệ thống nhà máy điện hạt nhân Chernobyl đều báo cáo đã bị lây nhiễm bởi mã độc này.
Petya nguy hiểm và khó chịu hơn cả WannaCry
Petya đã xuất hiện vào khoảng đầu năm 2016, tuy nhiên đây là biến thể Petya mới, được biên dịch vào ngày 18 tháng sáu năm 2017. Mã độc này thực chất đóng vai trò lây lan và đòi tiền chuộc.
Việc mã hóa toàn bộ bảng Phân vùng và sector 0 của ổ cứng được thực hiện bởi một virus tên là Petya (được phát hiện từ năm 2016). Patya được nhúng trong Petya sau khi đã bị thay đổi một số thông tin bao gồm thông tin hiển thị tới người dùng và mã khóa mới.
Theo các chuyên gia trong lĩnh vực an ninh mạng, tốc độc lây lan của Petya tương đương với mã độc WannaCry xuất hiện vào tháng 5 năm 2017. Các máy tính bị lây nhiễm sẽ tự động bị tắt nguồn, khi khởi động lại sẽ có một thông báo đòi tiền chuộc với trị giá là 300$/máy tính.
Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMB tương tự như cách ransomware WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng trước. Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng nội bộ dù các máy tính đã được cập nhật bản vá Windows SMB.
Petya lây nhiễm vào hệ thống thế nào?
Theo các chuyên gia của Công ty CP An ninh an toàn thông tin CMC (CMC Infosec), Petya được phát tán qua file đính kèm vào các hòm thư điện tử. Khi người sử dụng mở một file tài liệu office được tạo sẵn để khai thác lỗi bảo mật CVE-2017-0199 (ảnh hưởng tới Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016). Nếu người sử dụng mở tập tin đính kèm, mã độc sẽ được download ngầm và thực thi trên máy của nạn nhân.
Cũng như WannaCry, Petya khả năng lây lan qua mạng nội bộ giữa các máy tính với nhau. Các máy tính có mở cổng 445 đều có nguy cơ bị lây nhiễm. Petya dùng 02 cách chính để lây nhiễm sang máy bên cạnh:
Ở phương thức lây lan thứ nhất, lỗi SMB chia sẻ tập tin của Windows EternalBlue (giống như đã bị WannaCry khai thác). Với phương thức lây lan thứ hai, Petya sử dụng công cụ của tin tặc để trích xuất mật khẩu của các máy tính bên cạnh từ bộ nhớ của máy đã bị nhiễm và cài đặt từ xa bằng công cụ psexec hợp pháp của Microsoft.
Số tiền trong ví Bitcoin của các hacker tăng lên hàng ngày nhờ Petya.
Chia sẻ về Petya, ông Vũ Ngọc Sơn - Phó Chủ tịch mảng chống động của Tập đoàn Bkav cho biết:
“Petya là một loại ransomware "vô cùng khó chịu" và không giống bất kỳ loại mã độc tống tiền nào trước đây. Petya không những thực hiện mã hoá tập tin dữ liệu trên máy nạn nhân, mà còn khởi động lại máy tính, mã hóa bảng master file của ổ cứng (MFT) và làm cho Master Boot Record (MBR) ngừng hoạt động, khiến người dùng không thể truy cập vào bất kỳ file nào trên ổ cứng.
Ransomware Petya thay thế MBR của máy tính bằng mã độc của chính nó, hiển thị thông báo đòi tiền chuộc và khiến máy tính không thể khởi động.”
Theo thống kê sơ bộ của Bkav, trên thế giới đã có 36 giao dịch trả tiền chuộc cho Petya được thực hiện thông qua bitcoin, tương đương với số tiền hơn 9.000 USD.
Trọng Đạt
Cục An toàn Thông tin cảnh báo mã độc Petya
Sau đợt tấn công hồi tháng 5 của mã độc tống tiền WannaCry, ngày 27/6/2017 mã độc Ransomware lại tiếp tục gây ảnh hưởng tới nhiều nước trên thế giới.
Nhà máy hạt nhân Chernobyl bị tin tặc tấn công, cả thế giới nín thở
Vụ nổ nhà máy điện hạt nhân Chernobyl đã từng gây chấn động toàn cầu. Và nguy cơ này một lần nữa có thể tái diễn khi hệ thống giám sát của nhà máy này đang bị tin tặc tấn công.
Mỹ 'tố' tin tặc Nga gây khủng hoảng Qatar
Các nhà điều tra Mỹ tin rằng tin tặc Nga đã xâm nhập hãng thông tấn Qatar và cài một bản tin giả góp phần tạo nên cuộc khủng hoảng giữa các đồng minh của Mỹ ở Vùng Vịnh.