Thế giới đã phần nào tìm ra cách giảm tác động từ “thảm họa” WannaCry nhờ phát hiện “nút kết liễu” bên trong mã độc. Nhưng mới đây, một tin tặc từ Trung Quốc đã cố chiếm quyền kiểm soát cơ chế này.
Trước đó, chủ blog MalwareTech 22 tuổi người Anh đã vô tình phát hiện ra cơ chế “tự hủy” của WannaCry. Cơ chế này hoạt động bằng cách kiểm tra một địa chỉ web, nếu nó không tồn tại thì mã độc bắt đầu tiến hành mã hóa dữ liệu tống tiền, còn khi tên miền hoạt động thì WannaCry sẽ tự xóa bản thân.
Đây là cách mà tin tặc dùng để xóa dấu vết khi thấy điều gì bất lợi.
Một hacker Trung Quốc đã cố chiếm quyền kiểm soát tên miền dùng để chặn WannaCry
Sau tìm ra cơ chế, chàng trai trẻ người Anh đã tiến hành đăng ký tên miền và trỏ nó tới server an toàn, qua đó giúp ngăn chặn WannaCry lây lan.
Nhưng các chuyên gia cảnh báo tin tặc có thể dễ dàng viết lại code để bỏ tính năng kill-switch. Họ dự đoán sẽ xuất hiện thêm những cuộc tấn công mới nếu người dùng không cập nhật bản vá lỗi từ Microsoft.
Chưa dừng lại ở đó, blog MalwareTech vừa đăng trên Twitter cho biết, anh đã nhận được thông báo về việc một ai đó đang cố gắng chiếm quyền kiểm soát trang web dùng kích hoạt kill-switch.
“Có vẻ một ai đó ở Trung Quốc đã cố gắng đánh cắp tên miền”, bloger MalwareTech viết trên Twitter.
Costin Raiu, Giám đốc nghiên cứu và Phân tích toàn cầu của Công ty an ninh mạng Kaspersky Lab nói với báo chí rằng, tin tặc có thể kiểm soát một trang web bằng cách giả vờ là chủ sở hữu rồi đổi thông tin tài khoản. Trong trường hợp này, ông đưa ra nhận định:
“Về lý thuyết, họ có thể làm việc này vì hai lý do. Một là chỉ cố gắng để thống kê số nạn nhân trên toàn thế giới. Mục đích khác là họ cố để chiếm quyền kiểm soát kill-swith mà MalwareTech đã kích hoạt nhưng nỗ lực bất thành”, Costin Raiu chia sẻ.
Biến thể của WannaCry có thể sớm xuất hiện
Ông nói thêm rằng, “rất ít khả năng” đây là nỗ lực của hacker cố để thay đổi chương trình mã độc WannaCry. “Họ có thể dễ dàng tạo ra phiên bản mới mà không có nút kill-swith trong đó hoặc kiểm tra một tên miền khác chưa hoạt động và nắm quyền kiểm soát địa chỉ web”.
Thay vào đó, ông nhận định có thể hacker đang cố tìm hiểu vụ tấn công ransomware để tạo ra thành quả nào đó giúp mình “nổi tiếng”.
Theo Costin Raiu, cách tốt nhất là tìm ra những kẻ chủ mưu đứng sau WannaCry bằng các theo dõi đường đi của tiền chuộc. “Những gì bạn có thể làm là theo dấu dòng tiền”, Raiu chia sẻ.