Buzz
Khi Microsoft tiết lộ vào tháng Năm năm ngoái rằng hàng triệu thiết bị Windows có một lỗ hổng nghiêm trọng được biết đến là BlueKeep - một lỗ hổng có thể kích hoạt một loại worm tự động để lan truyền malware từ máy tính sang máy tính - dường như chỉ là vấn đề thời gian trước khi có người phát động một cuộc tấn công toàn cầu. Như dự đoán, chiến dịch BlueKeep cuối cùng cũng đã đánh động. Nhưng cho đến nay, nó không tồi tệ như kịch bản tồi tệ nhất.
Các nhà nghiên cứu an ninh đã phát hiện ra bằng chứng cho thấy các honeypot của họ - các máy mồi được thiết kế để giúp phát hiện và phân tích sự lan truyền của malware - đang bị xâm phạm hàng loạt bằng cách sử dụng lỗ hổng BlueKeep. Lỗ hổng trong Giao thức Desktop Remote của Microsoft cho phép hacker có thể đạt được việc thực thi mã từ xa đầy đủ trên các máy chưa được vá; trong khi trước đây nó chỉ được khai thác trong các bằng chứng cụ thể, nó có thể có hậu quả tiềm ẩn nặng nề. Một loại worm khác đã nhắm vào máy tính Windows vào năm 2017, cuộc tấn công ransomware NotPetya, gây thiệt hại hơn 10 tỷ đô la trên toàn thế giới.
Nhưng cho đến nay, cuộc tấn công BlueKeep trên diện rộng chỉ đơn giản là cài đặt một máy đào tiền điện tử, lợi dụng sức mạnh xử lý của nạn nhân để tạo ra tiền điện tử. Thay vì là một loại worm nhảy từ máy tính này sang máy tính khác mà không cần sự hỗ trợ, những kẻ tấn công này dường như đã quét internet để tìm máy chủ có lỗ hổng để tận dụng. Điều này làm cho làn sóng hiện tại khó có thể dẫn đến một đợt dịch bệnh.
"BlueKeep đã tồn tại từ một thời gian dài. Nhưng đây là lần đầu tiên tôi thấy nó được sử dụng trên quy mô lớn," nói Marcus Hutchins, một nhà nghiên cứu malware của công ty an ninh Kryptos Logic, người đã là một trong những người đầu tiên xây dựng một bằng chứng thực nghiệm hoạt động cho lỗ hổng BlueKeep. "Họ không đang tìm mục tiêu cụ thể. Họ đang quét internet và phun exploit."
Hutchins cho biết anh ấy đầu tiên biết về đợt tấn công BlueKeep từ nhà nghiên cứu an ninh đồng nghiệp Kevin Beaumont, người đã quan sát các máy honeypot của mình gặp sự cố trong những ngày gần đây. Vì những thiết bị này chỉ mở cổng 3389 ra internet - cổng được sử dụng bởi RDP - anh nhanh chóng nghi ngờ đến BlueKeep. Beaumont sau đó chia sẻ một "crashdump," dữ liệu pháp lý từ những máy đã gặp sự cố, với Hutchins, người xác nhận rằng BlueKeep là nguyên nhân và các hacker đã có ý định cài đặt một máy đào tiền điện tử trên các máy nạn nhân, như mô tả trong bài đăng blog này từ Kryptos Logic. Hutchins cho biết anh ấy chưa xác định được đồng tiền họ đang cố gắng đào, và chú ý rằng việc máy mục tiêu gặp sự cố có thể làm cho exploit trở nên không đáng tin cậy. Tác giả malware dường như đang sử dụng một phiên bản của kỹ thuật tấn công BlueKeep được bao gồm trong framework thử nghiệm hacking và đánh thử Metasploit mã nguồn mở, Hutchins nói, đã được công bố vào tháng 9.
Cũng không rõ có bao nhiêu thiết bị đã bị ảnh hưởng, mặc dù đợt tấn công BlueKeep hiện tại dường như còn xa so với đợt dịch bệnh RDP mà nhiều người sợ hãi. "Tôi đã thấy một tăng đột ngột, nhưng không đạt đến mức tôi mong đợi từ một con worm," nói Jake Williams, một trong những người sáng lập công ty an ninh Rendition Infosec, người đã theo dõi mạng của khách hàng để phát hiện dấu hiệu tận dụng. "Nó chưa đạt đến điểm tắt."
Trong thực tế, Williams lập luận, sự thiếu hụt của một làn sóng tấn công BlueKeep nghiêm trọng hơn cho đến nay thực sự có thể chỉ ra một câu chuyện thành công cho phản ứng của Microsoft đối với lỗ hổng BlueKeep - một kết thúc hạnh phúc không mong đợi. "Mỗi tháng trôi qua mà không có worm xảy ra, nhiều người vá lỗ hổng và số lượng người dễ tấn công giảm đi," Williams nói. "Kể từ khi mô-đun Metasploit đã có mặt từ vài tháng nay, việc không ai đã làm worm cho đến nay dường như chỉ ra rằng đã có một phân tích chi phí lợi ích và không có lợi ích lớn trong việc vũ khí hóa nó."
Nhưng mối đe dọa mà BlueKeep tạo ra đối với hàng trăm nghìn máy tính Windows vẫn chưa qua đi. Khoảng 735.000 máy tính Windows vẫn còn dễ tấn công bởi BlueKeep theo một cuộc quét toàn cầu trên internet do Rob Graham, một nhà nghiên cứu an ninh và người sáng lập Errata Security, thực hiện và chia sẻ số liệu đó với Mytour vào tháng Tám. Và những máy tính đó vẫn có thể bị tấn công bằng một biến thể nghiêm trọng hơn - và nguy hiểm hơn - của malware khai thác lỗ hổng RDP của Microsoft còn lại. Điều đó có thể có dạng của một con worm ransomware theo mô hình của NotPetya hoặc cũng WannaCry, đã lây nhiễm gần 250.000 máy tính khi nó lây lan vào tháng 5 năm 2017, gây thiệt hại từ 4 đến 8 tỷ đô la.
Trong khi đó, chuỗi tấn công BlueKeep hiện tại chỉ đơn giản là một sự phiền toái đối với những người không may mắn đủ để máy tính của họ bị đánh sập hoặc bị chiếm đoạt bởi nó để đào tiền điện tử - và tối đa chỉ là một dấu hiệu mơ hồ về một cuộc tấn công nghiêm trọng hơn ở phía trước. "Một exploit BlueKeep là hoàn hảo để có thêm hệ thống để đào tiền từ," Hutchins nói. "Điều này không nhất thiết làm thay đổi khả năng có ai đó sẽ tạo ra một con worm ransomware ở một thời điểm nào đó." Nếu việc giúp hacker đào một số đồng tiền điện tử là điều tồi tệ nhất mà BlueKeep gây ra cuối cùng, nói cách khác, internet đã tránh được một viên đạn.
Những câu chuyện tuyệt vời khác từ Mytour
- Đất siêu tối ưu hóa giúp bảo vệ ngựa đua
- Blockchain thực sự hữu ích cho cái gì, nhỉ? Hiện tại, chưa nhiều
- Cách giải phóng không gian trong Gmail
- Việc cố gắng trồng một tỷ cây cỏ sẽ không giải quyết được vấn đề gì cả
- Câu chuyện chưa kể về Olympic Destroyer, cuộc tấn công lừa dối nhất trong lịch sử
- 👁 Chuẩn bị cho thời đại video deepfake; ngoài ra, kiểm tra tin tức mới nhất về trí tuệ nhân tạo
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Hãy kiểm tra những lựa chọn của đội Gear của chúng tôi cho bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất.
