WannaCry có mã nguồn giống mã độc đã tấn công Sony Pictures

Các chuyên gia bảo mật đã tìm thấy bằng chứng cho thấy mối liên hệ giữa ransomware WannaCry và một nhóm hacker của Triều Tiên thường được biết tới với cái tên là Lazarus Group.

Theo Cnet, Neeh Mehta, một chuyên gia bảo mật làm việc tại Google cho biết một loại mã máy tính xuất hiện trên phiên bản đầu của ransomware WannaCry đã từng được sử dụng bởi một nhóm hacker có tên là Lazarus Group. Đây là nhóm hacker được cho là có liên hệ với chính phủ Triều Tiên và đã thực hiện vụ tấn công mạng nổi tiếng nhắm vào công ty Sony Pictures vào năm 2015 cũng như đánh cắp thành công 81 triệu USD từ một ngân hàng tại Bangladesh vào năm 2016.

Trong một báo cáo, ông Mehta nhấn mạnh là đã phát hiện có sự tương đồng giữa loại mã được sử dụng trong vụ tấn công vào công ty Sony Picture vào năm 2015 và loại mã được tìm thấy trên một phiên bản của ransomware WannaCry đang làm tê liệt hàng ngàn máy tính trên khắp thế giới hiện nay.

Tuy nhiên, loại mã này đã không được tìm thấy trên các phiên bản tiếp sau của ransomware WannaCry. Điều này đã dẫn tới giả thuyết cho rằng đây có thể chỉ là một "bằng chứng giả" để hướng sự chú ý của các nhà điều tra vào Lazarus Group.; Dù vậy, các nhà nghiên cứu tại công ty bảo mật Kaspersky gọi giả thuyết về "bằng chứng giả" là có khả năng nhưng không thực tế.

Một điểm đáng chú ý khác đó là Lazarus Group thường yêu cầu được thanh toán bằng Bitcoin khi thực hiện những vụ tấn công mạng của chúng. Điều này trùng khớp với việc những kẻ đứng sau ransomware WannaCry cũng đòi tiền chuộc bằng Bitcoin. Tuy nhiên, vẫn chưa thể khẳng định được điều gì chắc chắn.

Lazarus Group là nhóm hacker được đánh giá là nguy hiểm và đã được theo dõi bởi các công ty bảo mật hàng đầu trong nhiều năm qua. "Mức độ tinh vi của các vụ tấn công tới từ Lazarus Group thường không dễ có thể tìm thấy được trong thế giới tội phạm mạng. Điều này có được là do chúng có tổ chức chặt chẽ ở mọi giai đoạn hoạt động", Kaspersky nhận xét.

"Hiện nay, cần có nhiều nghiên cứu hơn nữa trên các phiên bản đầu tiên của WannaCry. Tuy nhiên, một điều chắc chắn là phát hiện mới đây của ông Neeh Mehta sẽ là một gợi ý quan trọng về nguồn gốc của WannaCry", các nhà nghiên cứu của công ty Kaspersky cho biết, "Chúng tôi tin rằng điều này là chìa khóa để mở ra một số bí ẩn xoay quanh vụ tấn công của ransomware WannaCry".

Ransomware WannaCry là một loại phần mềm độc hại có khả năng mã hóa những tệp tin quan trọng và khóa máy tính cho tới khi người dùng đồng ý trả tiền chuộc cho hacker. Vụ tấn công của ransomware WannaCry được phát hiện lần đầu tiên vào hôm thứ Sáu tuần trước, tức 12/5 và đã làm lây nhiễm trên 300.000 máy tính tại 150 quốc gia.

Hacker yêu cầu người dùng phải trả 300 USD bằng Bitcoin cho chúng nếu không muốn bị mất hết dữ liệu trong máy tính. Nếu người dùng không trả tiền sau 72 giờ, giá tiền chuộc có thể tăng gấp đôi lên mức 600 USD. Nếu sau vài ngày nhưng người dùng nhất quyết không trả tiền, ransomware WannaCry sẽ khóa vĩnh viễn những tệp tin trong máy tính. Theo tính toán, những kẻ đứng sau ransomware WannaCry có thể kiếm được tới 1 tỷ USD từ các nạn nhân. Để tự bảo vệ mình, bạn nên download bản vá lỗi bảo mật WannaCry cho các phiên bản Windows về máy tính.

Triều Tiên không phải là một quốc gia quá xa lạ với các cáo buộc dính líu tới những vụ tấn công mạng. Bên cạnh vụ tấn công vào công ty Sony Pictures vào năm 2014, Triều Tiên còn bị cho là đã thực hiện vụ đánh cắp số An sinh xã hội (Social Security number) của 47.000 nhân viên Chính phủ và làm rò rỉ nhiều tài liệu cũng như email nội bộ của Mỹ.

Nguyễn Long