Nếu bạn nghĩ rằng tấn công ransomware là nguy hiểm nhất trong các cuộc tấn công mạng, có lẽ bạn đã nhầm. Ít ra thì trong một số trường, bạn vẫn có thể lấy lại các tệp được mã hóa nếu chịu thương lượng thành công.
Nhưng có những cuộc tấn công từ một phần mềm độc hại khác được gọi là Wiper, sẽ không cho bạn bất cứ một cơ hội nào. Mục đích duy nhất của nó không phải ăn cắp hay tống tiền mà chỉ để phá hoại.
Vậy phần mềm độc hại chết người này có nguồn gốc như thế nào? Chúng gồm những chủng nào và có những cách nào để bảo vệ chống lại nó?
Phần mềm độc hại Wiper là gì?
Mặc dù Wiper không phải một dạng phần mềm độc hại điển hình, nhưng sức mạnh của nó được ví như trận cuồng phong quét sạch hết mọi thứ trên đường. Mục đích duy nhất của phần mềm độc hại Wiper chỉ là gây ra sự biến dạng và tàn phá cho nạn nhân. Những thiệt hại tài chính có thể xảy ra cho các bên bị ảnh hưởng, nhưng mục tiêu chính của nó không phải là đánh cắp tiền hoặc bán thông tin cho tội phạm mạng, mà là sự phá hủy.
Vậy tại sao hủy diệt lại là mục tiêu chính của phần mềm độc hại này? Những kẻ tấn công có thể có nhiều lý do cho hành động của mình, nhưng chúng thường chỉ đang gửi một thông điệp chính trị nào đó, hoặc đơn giản cố gắng che đậy dấu vết sau khi quá trình xâm nhập dữ liệu xảy ra.
Nguồn gốc của phần mềm độc hại Wiper
Những trường hợp đầu tiên được phát hiện của phần mềm độc hại Wiper bắt nguồn từ Trung Đông vào năm 2012, sau đó ở Hàn Quốc vào năm 2013. Nhưng những trường hợp thiệt hại đầu tiên mà nó gây ra là vào năm 2014 khi một số công ty nổi tiếng bị nó làm tê liệt. Vào năm đó, những cuộc tấn công Wiper đầu tiên được tiến hành nhắm vào Sony Pictures, cùng một số cuộc tấn công bằng phần mềm độc hại khác nhằm vào Mỹ, khiến FBI phải đưa ra cảnh báo khẩn cấp nhanh chóng cho các công ty.
Wiper thực hiện tấn công như thế nào?
Các tác nhân đe dọa đến từ Wiper có thể sử dụng các kỹ thuật khác nhau để kích hoạt phần mềm độc hại, trong đó 3 cách phổ biến nhất bao gồm nhắm mục tiêu tệp hoặc dữ liệu, sao lưu hệ thống và dữ liệu và khởi động hệ thống của hệ điều hành. Trong 3 kỹ thuật này, việc phá hủy tệp là phức tạp nhất và mất nhiều thời gian để hoàn thành. Để tiết kiệm thời gian, hầu hết các Wiper không ghi đè lên toàn bộ ổ đĩa mà thay vào đó, nó sẽ ghi một lượng nhỏ dữ liệu ngẫu nhiên vào những khoảng thời gian cụ thể để phá hủy tệp.
Trong nhiều trường hợp được thống kê, Wiper nhắm mục tiêu vào các công cụ khôi phục hệ thống cần thiết trước để đảm bảo không còn tùy chọn nào khôi phục lại tệp. Chúng đã gây ra những thiệt hại nghiêm trọng cho một số tổ chức và chính phủ trong suốt thập kỷ qua.
Những biến thể của phần mềm độc hại Wiper
1. Shamoon
Shamoon là một trong những biến thế phổ biến nhất của Wiper, đã tấn công vào dữ liệu của Saudi Aramco và nhiều công ty dầu mỏ Trung Đông khác từ năm 2012 đến năm 2016.
Phần mềm độc hại nguy hiểm này đã xâm nhập vào máy tính cá nhân và phá hủy hơn 30.000 ổ cứng, bằng cách sử dụng trình điều khiển truy cập ổ đĩa trực tiếp có tên RawDisk. Biến thể Shamoon là tự sinh sôi thông qua các đĩa mạng được chia sẻ. Nó lây lan từ thiết bị này sang thiết bị khác và làm cho nạn nhân không có bất cứ cơ hội nào để khôi phục dữ liệu đã bị phá hủy. Việc dùng trình điều khiển RawDisk sẽ ghi đè lên đĩa, sau đó xóa bản ghi khởi động chính (MBR), điều này cũng ngăn hệ thống khởi động.
2. Meteor
Meteor là một loại phần mềm độc hại có khả năng tái sinh. Biến thể này có thể được định cấu hình từ bên ngoài và đi kèm với các khả năng độc hại, bao gồm thay đổi mật khẩu người dùng, tắt chế độ khôi phục và đưa ra các lệnh độc hại. Trên thực tế, nó đã gây ra sự gián đoạn và hỗn loạn cực độ cho các dịch vụ xe lửa của Iran khi nó xuất hiện lần đầu tiên vào tháng 7 năm 2021.
3. NotPetya
NotPetya được coi là một biến thể nguy hiểm nhất trong các biến thể của Wiper, nó mới được phát hiện năm 2017 và gây ra thiệt hại khoảng 10 tỷ đô la cho các công ty đa quốc gia. NotPetya tự cho mình là ransomware nhưng trên thực tế không phải vậy. Sự nhầm lẫn này là do một trong chủng ban đầu của nó có tên Petya đã gây một cuộc tấn công ransomware trong đó máy của nạn nhân được cung cấp khóa giải mã sau khi thanh toán tiền chuộc.
4. ZeroCleare
ZeroCleare - một trong những biến thể khét tiếng của Wiper được phát minh nhằm gây ra những cuộc thanh toán dữ liệu khỏi các hệ thống được nhắm mục tiêu. Nó nổi lên vào năm 2019 với các cuộc tấn công vào các công ty năng lượng khác nhau trên khắp khu vực Trung Đông. Hàng nghìn hệ thống bị lây nhiễm sau cuộc tấn công này và cũng có thể bị phơi nhiễm trong tương lai. Cơ chế hoạt động của nó là ghi đè phân vùng đĩa và MBR trên các máy chạy Windows bằng EldoS RawDisk.
5. WhisperGate
Đây là dòng mã độc Wiper mới nhất, theo Trung tâm Tình báo về các mối đe dọa của Microsoft thì chính nó đã gây ra những cuộc tấn công có chủ đích nhằm chống lại chính phủ Ukraine vào tháng 1 năm 2022. Cuộc tấn công này đã phá hủy ít nhất bảy mươi tên miền trang web khác nhau thuộc sở hữu của chính phủ đất nước.
WhisperGate mang một số điểm tương đồng nổi bật với NotPetya nhưng độ thiệt hại mà nó gây ra lớn hơn nhiều.
Cách để bảo vệ chống lại phần mềm độc hại Wiper
Nếu không muốn trở thành nạn nhân tiếp theo của phần mềm độc hại Wiper hãy thực hiện một số mẹo sau đây để được bảo vệ trước các cuộc tấn công.
Cập nhật phần mềm bảo mật của bạn
Các mối đe dọa từ phần mềm độc hại luôn luôn phát triển và thay đổi từng ngày, do vậy mà phần mềm bảo mật của bạn cũng cần được cập nhật thường xuyên. Để thực hiện điều này, bạn có thể định cấu hình phần mềm nhằm ngăn chặn các phần mềm độc hại để cập nhật hằng ngày. Trong trường hợp là máy chủ, bạn cần có chế độ bảo vệ nghiêm ngặt hơn, vì thế tốt nhất là bạn nên cập nhật hàng giờ chứ không phải là hằng ngày nữa. Ngoài ra, nên cập nhật tường lửa và các biện pháp bảo vệ chống phần mềm độc hại khác cứ 15 phút một lần, nếu bạn có thể làm được điều đó.
Học hỏi và đào tạo các kiến thức về các cuộc tấn công mạng
Sự cảnh giác của người dùng là hình thức phòng thủ tốt nhất để chống lại các cuộc tấn công trên mạng. Đối với các nhân viên ở các doanh nghiệp, họ cần được truyền đạt các kiến thức về tấn công mạng, giáo dục họ về các trò gian lận lừa đảo, những liên kết URL bất thường, tệp đính kèm kỳ lạ và các vectơ tấn công khác.
Ngoài ra, những tập đoàn doanh nghiệp có quy mô lớn cũng nên cân nhắc phát triển Human Firewall - một giải pháp an ninh mạng có tính đến yếu tố con người, cụ thể hơn là nhấn mạnh đến sự nhận thức, hành vi và sự cẩn trọng của nhân viên trong tổ chức, nhằm ngăn chặn các cuộc tấn công lừa đảo xã hội.
Thực hiện sao lưu dữ liệu thường xuyên
Bằng việc thực hiện các chế độ sao lưu mạnh mẽ, ngăn chặn sự trùng lặp dữ liệu và cơ sở hạ tầng của hệ thống PC ảo, bạn có thể khôi phục và lấy lại dữ liệu của mình kể cả sau một cuộc tấn công lớn, hạn chế những thiệt hại do phần mềm độc hại gây ra
Patch Hệ điều hành và Phần mềm
Hầu hết các bản cập nhật hệ điều hành đều có những bổ sung và sửa lỗi quan trọng về bảo mật, không giống nhiều người vẫn suy nghĩ là nó chỉ liên quan đến tính năng. Các bản vá này cung cấp sự bảo vệ cần thiết cho những lỗ hổng bảo mật đã được xác định, kể từ khi phát hành hệ điều hành hoặc phần mềm.
Vì thế, bạn nên cài đặt các bản vá này thường xuyên. Thật tồi tệ khi biết mình trở thành nạn nhân của một cuộc tấn công bằng phần mềm độc hại, nhưng còn tệ hơn khi bạn biết nguyên nhân sâu xa là do nó khai thác hệ điều hành thiếu sự cập nhật của mình.
Khi đối mặt với phần mềm độc hại Wiper, những nạn nhân (thường là các tổ chức lớn) không chỉ phải chịu những tổn thất về dữ liệu và tài chính mà còn phải chịu hậu quả về danh tiếng kinh doanh bị hạ thấp. Nhưng với những biện pháp bảo mật tối đa được áp dụng, bạn có thể sẵn sàng đối phó với nó hoặc giải quyết hậu quả theo một cách tích cực hơn.
Nguồn Makeuseof
