top of page
Writer's pictureCông Ty Trần Sang

Các cuộc tấn công bởi NotPetya gần đây có thể không phải là ransomware

Updated: Aug 5, 2019


Có vẻ hacker không mong muốn sẽ kiếm tiền từ các cuộc tấn công này.


Các cuộc tấn công bởi NotPetya gần đây có thể không phải là ransomware.

Những công ty và cơ quan bị ảnh hưởng bởi cuộc tấn công mạng ở Ukraine, Nga, Mỹ, một phần châu Âu, châu Á và Úc có thể sẽ không bao giờ có khả năng phục hồi lại được dữ liệu. Một số nhà nghiên cứu bảo mật, kể cả Kaspersky Lab, tin rằng phần mềm độc hại này xâm chiếm các máy tính chỉ để giả mạo là ransomware (mã độc tống tiền), nhằm thu hút sự chú ý của giới truyền thông tương tự như đợt bùng phát WannaCry vào tháng trước.


Trong khi những kẻ phát triển loại mã độc này cố gắng làm cho nó trông giống ransomware, các nhà nghiên cứu nói rằng nó thực chất là một loại mã độc "wiper" (tẩy xóa dữ liệu vĩnh viễn), vì nó xóa và ghi đè vào vùng dữ liệu đã bị xóa của ổ đĩa đang hoạt động. Nó không mã hóa những vùng đó, vì vậy bạn có thể lấy lại quyền truy cập vào máy tính sau khi đã trả tiền - nó chỉ tẩy xóa hoàn toàn dữ liệu.


Thêm vào đó, các nhà nghiên cứu còn phát hiện ra rằng những kẻ phát triển cố tình làm khó nạn nhân trong việc chi trả tiền chuộc. Đầu tiên, chúng chỉ sử dụng một địa chỉ Bitcoin duy nhất để nhận thanh toán. Bạn sẽ nghĩ những tên tội phạm mong kiếm được nhiều tiền từ nạn nhân sẽ sử dụng một vài tài khoản Bitcoin để giúp việc xử lý diễn ra nhanh hơn. Chúng cũng yêu cầu nạn nhân gửi email bằng một chuỗi ký tự dài nhưng phải nhập bằng tay nếu nạn nhân muốn truy cập trở lại vào máy tính của mình. Có gì đáng ngạc nhiên? Địa chỉ email thậm chí không hoạt động.


Mã độc NotPetya yêu cầu nạn nhân gửi email bằng một chuỗi ký tự dài nhưng phải nhập bằng tay nếu nạn nhân muốn truy cập trở lại vào máy tính của mình.

Như vậy nạn nhân không có hy vọng nhận lại dữ liệu ngay cả khi đã trả tiền, theo các nhà nghiên cứu. Tuy nhiên, dường như có một vài bất đồng ý kiến khi nói đến bản chất thực sự của phần mềm độc hại này - được mệnh danh là PetyaWrap, NotPetya và ExPetr - bởi vì giờ đây nó không giống với mã độc tống tiền Petya đã được biết đến lần đầu tiên vào năm 2016.


MalwareTech không đồng ý với đánh giá cho rằng đây là loại mã độc wiper, vì nó chỉ phá hủy 25 sector đầu tiên của ổ đĩa. Những sector này rất quan trọng, nhưng chúng dường như trống rỗng trong bất kỳ bản cài đặt Windows tiêu chuẩn nào. Thật khó để tin rằng những tội phạm mạng không biết điều đó. Tuy nhiên, nhà nghiên cứu bảo mật đồng ý rằng các hacker không có ý định kiếm tiền bằng mã độc này.


MalwareTech không đồng ý với đánh giá cho rằng NotPetya là loại mã độc wiper... Tuy nhiên, nhà nghiên cứu bảo mật đồng ý rằng các hacker không có ý định kiếm tiền bằng mã độc này.

Câu hỏi đặt ra hiện giờ là "Ai đã tạo ra nó?" và "Tại sao?". Chúng ta vẫn chưa có câu trả lời, nhưng các công ty an ninh mạng Ukraine và cơ quan chính phủ cho rằng những điều đã xảy ra là một cuộc tấn công mạng do nhà nước bảo trợ, nhằm tàn phá các tổ chức của Ukraine. Khi được hỏi ông có tin rằng nước bảo trợ các cuộc tấn công này có phải là Nga hay không, Roman Boyarchuk, Giám đốc Trung tâm An ninh Mạng ở Ukraine, trả lời: "Thật khó để tưởng tượng có ai đó khác muốn làm việc này".


bottom of page