Xuất hiện mã độc EternalRocks mới nguy hiểm không kém WannaCry

Các chuyên gia an ninh công nghệ phát hiện ra loại mã độc mới EternalRocks có khả năng lây nhiễm cực cao, do chính nhóm hacker Shadow Brokers, cha đẻ của mã độc tống tiền WannaCry tạo ra. Nó thậm chí sử dụng tới 7 công cụ bị đánh cắp từ cơ sở dữ liệu của cơ quan An ninh quốc gia Mỹ (NSA), trong khi WannaCry chỉ khai thác 2 trong số này.

Các đặc tính của mã độc EternalRocks do chuyên gia an ninh công nghệ Miroslav Stampar thuộc Nhóm phản ứng khẩn cấp máy tính (CERT) của Croatia phát hiện ra. Mã độc này khai thác các lỗ hổng dịch vụ SMB để phát tán trên các thiết bị Windows. Bảy công cụ của NSA mà EternalRocks sử dụng bao gồm: EternalBlue, EternalRomance, EternalChampion, EternalSynergy, SMBTouch, ArchTouch và DoublePulsar.

EternalRocks mạnh hơn WannaCry bởi nó không để lộ điểm yếu nào, kể cả công cụ kiểm soát “kill switch” có thể sử dụng để ngăn mã độc tống tiền WannaCry cũng không có tác dụng. Tương tự như các biến thể của WannaCry, EternalRocks cũng không có “khóa”, nên việc vô hiệu hóa nó không hề dễ dàng.

EternalRocks cải trang thành WannaCry để lừa các nhà nghiên cứu bảo mật nhưng thay vì phát tán ransomware (mã độc tống tiền), nó lại âm thầm kiểm soát máy tính bị lây nhiễm và sẽ tấn công bất ngờ vào bất kỳ thời điểm nào trong tương lai.

Sau khi lây nhiễm vào máy tính, để tránh bị phát hiện, EternalRocks tải về trình duyệt ẩn danh Tor, sau đó dùng trình duyệt này kết nối với máy chủ điều khiển (C&C server). Đồng thời, mã độc cũng ẩn náu và sau 24 giờ mới kết nối tới máy chủ điều khiển và tải về các công cụ khai thác lỗ hổng SMB. Nguy hiểm hơn, EternalRocks quét trên mạng, tìm ra các máy tính có lỗ hổng SMB và tự lây nhiễm sang.

Trước đó, mã độc tống tiền WannaCry đã tấn công đồng loạt nhiều bệnh viện, trường học và văn phòng trên khắp thế giới, làm lây nhiễm tổng cộng hơn 300.000 máy tính trên hơn 150 quốc gia.

Trước thông tin này, các chuyên gia bảo mật tiếp tục khuyến cáo người dùng nên thường xuyên sao lưu dữ liệu, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản tải trên Internet trong môi trường cách ly Safe Run. Đồng thời, cũng nên cài đặt phần mềm diệt virus để máy tính được bảo vệ tự động.

Minh Nhật

Xem thêm: