Trong khi mã độc WannaCry còn đang gây ầm ĩ trong thời gian vừa qua, thì phát hiện mới cho thấy đây chưa phải là cuộc tấn công gây nhiều thiệt hại nhất liên quan đến lỗ hổng Windows tên EternalBlue mà NSA khai thác.

Nhieu cuoc tan cong nguy hiem hon ma doc WannaCry se xuat hien trong tuong lai - Anh 1

Lỗ hổng EternalBlue trong Windows đang bị hacker khai thác mạnh mẽ

Theo Theverge, khi các nhà nghiên cứu bắt đầu tìm kiếm đầu mối về nguồn gốc của WannaCry, nhiều phần mềm độc hại khai thác EternalBlue đã được phát hiện, cung cấp nhiều thông tin hơn về mức độ thiệt hại gây ra bởi lỗ hổng này.

Nghiên cứu từ Proofpoint cho thấy, một trong những phần mềm độc hại nổi bật khai thác lỗ hổng EternalBlue có tên Adylkuzz hoạt động trong khoảng thời gian từ 24.4 đến 2.5, vài tuần trước khi WannaCry xuất hiện. Các nhà nghiên cứu ước tính nó tấn công đến hàng trăm nghìn thiết bị, lan truyền qua lỗ hổng EternalBlue.

Adylkuzz không gây ra sự khuấy động như WannaCry vì nó không tắt máy tính hoặc gửi yêu cầu tiền chuộc, dẫn đến việc nó ít bị phát hiện. Trong thực tế, các nhà nghiên cứu phát hiện Adylkuzz đã bịt lỗ hổng EternalBlue một khi nó lây nhiễm vào máy tính và gây ra thiệt hại nhiều hơn WannaCry.

Proofpoint ước tính khoảng 43.000 USD đã được thanh toán để giải quyết Adylkuzz, và con số thậm chí còn cao hơn. Cho đến thời điểm này, khoảng 80.000 USD đã được thanh toán cho WannaCry, một con số thấp đáng ngạc nhiên so với sự hỗn loạn gây ra bởi vụ tấn công. Ngoài ra còn có sự bùng nổ của các biến thể WannaCry, nơi các mã độc tống tiền dẫn người dùng đến tên miền mới.

Trước đó, các nhà nghiên cứu tại TrendMicro đã công bố phát hiện ra một biến thể hoàn toàn mới mang tên UIWIX. Giống như WannaCry, đó là mã độc tống tiền được phát triển dựa trên lỗ hổng EternalBlue, nhưng UIWIX lây nhiễm vào các máy tính mà không để lại bản ghi trong bộ nhớ dẫn đến việc phát hiện theo cách thông thường trở nên khó khăn hơn. TrendMicro nghi ngờ UIWIX được thực hiện bởi một nhóm hacker riêng biệt so với WannaCry.

Sự kết hợp giữa các biến thể cũ và mới khiến thật khó để xác định ai là người trách nhiệm cho cuộc tấn công WannaCry đầu tiên. Trước đó, Symantec và Kaspersky cho rằng đã có những bằng chứng cho thấy cuộc tấn công ban đầu được thực hiện bởi một nhóm tội phạm mạng Bắc Triều Tiên.

Ở thời điểm hiện tại Microsoft đã phát hành bản vá khẩn cấp nhằm khắc phục lỗ hổng EternalBlue giúp chống lại WannaCry. Bản vá này được phát hành cho cả Windows XP, nền tảng đã bị công ty khai tử khoảng 2 năm về trước.

Kiến Văn