Theo báo cáo của hãng bảo mật Group-IB, tổ chức điều tra vụ tấn công cùng Bộ Nội vụ Nga, các thành viên trong nhóm “Cron” đã lừa người dùng Nga tải mã độc thông qua ứng dụng ngân hàng di động giả mạo cũng như các chương trình thương mại điện tử, khiêu dâm. Sau khi cấy mã độc lên điện thoại nạn nhân, nhóm gửi tin nhắn SMS từ các thiết bị để hướng dẫn ngân hàng chuyển tiền vào tài khoản hacker.

16 nghi phạm đã bị nhà chức trách Nga bắt giữ vào tháng 11/2016, làm ảnh hưởng đến hơn 1 triệu smartphone của Nga với tiến độ trung bình 3.500 thiết bị/ngày. Nhóm nhằm vào khách hàng Sberbank và cũng đánh cắp tiền từ các tài khoản tại Alfa Bank và công ty thanh toán trực tuyến Qiwi, khai thác điểm yếu trong dịch vụ chuyển tiền qua tin nhắn SMS.

Dù mới chỉ hoạt động tại Nga trước khi bị bắt, chúng đã lên kế hoạch nhằm vào các ngân hàng châu Âu lớn như Credit Agricole, BNP Paribas, Societe Generale của Pháp.

Lukas Stefanko, một chuyên gia của hãng bảo mật ESET, cho rằng phát hiện cho thấy nguy cơ từ việc sử dụng tin nhắn SMS cho ngân hàng di động, một phương thức được ưa chuộng tại các nước đang phát triển có cơ sở hạ tầng Internet kém hiện đại.

Tội phạm mạng

Bộ Nội vụ Anh cho biết một số người đã bị bắt, bao gồm cả thủ lĩnh băng đảng. Đó là một người đàn ông 30 tuổi đang sống tại Ivanovo, thành phố công nghiệp cách thủ đô Matxcova 300km. Từ đây, hắn điều hành một nhóm 20 người tại 6 khu vực khác nhau. Cảnh sát đã tịch thu máy tính, hàng trăm thẻ ngân hàng và thẻ SIM đăng ký bằng tên giả.

Vào ngày 29/5/2017, Sở TT&TT Cần Thơ cho biết đã gửi văn bản cảnh báo các cơ quan nhà nước trong tỉnh về cách thức tấn công mới của tin tặc vào các hộp thư điện tử nội bộ. Theo đó, thông tin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cho biết, cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hộp thư điện tử nội bộ. Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó. Để vượt qua các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng .zip hoặc .zar.

Qua phân tích của chuyên gia với một sự cố cho thấy, tệp tin chứa mã độc .zip chứa bên trong các tệp tin thực thi như .js (đây là một tệp tin Javascript) hoặc tệp tin văn bản như .doc, .xls...  khi người dùng mở tập tin này mã độc sẽ được kích hoạt và tự động tải tập tin mã độc mã hóa tài liệu và tự thực thi trên máy. Với trường hợp mã độc mã hóa tài liệu thì mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy tính của nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích “bắt cóc” dữ liệu trên máy để tống tiền nạn nhân. Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã dộc mã hóa dữ liệu có thể tăng cao.

Theo đó, để đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước thuộc UBND thành phố, Sở TT&TT đề nghị các cơ quan, đơn vị chú ý và tăng cường công tác tuyên truyền rộng rãi đến các cán bộ, công chức, viên chức, người sử dụng máy tính thuộc cơ quan và các đơn vị trực thuộc để phòng ngừa sự cố có thể xảy ra. Trong đó, cần lưu ý các vấn đề quan trọng sau:

Các phương pháp lây lan chủ yếu của mã độc mã hoá tài liệu

Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng. Hoặc gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến mã độc và yêu cầu người dùng tải về và cài đặt.

Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc...

Dấu hiệu của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .txt, .ppt, .pptx,... một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc.

Các biện pháp phòng ngừa mã độc Ransomware