Nghiên cứu mới đây do công ty an ninh mạng Palo Alto Networks công bố đã cho thấy các mối đe dọa từ tội phạm mạng sẽ nhằm vào bất cứ tổ chức nào, bao gồm cả các tổ chức ở tuyến đầu trong cuộc chiến chống lại đại dịch này.
Mặc dù Palo Alto Networks không đưa ra tên các nạn nhân mới nhất, nhưng cho biết một tổ chức chăm sóc sức khỏe của chính phủ Canada và một trường đại học nghiên cứu y tế Canada đã bị mã độc tống tiền tấn công.
Các cuộc tấn công được phát hiện trong khoảng thời gian từ 24 - 26/3. Chúng được khởi tạo như một phần trong những chiến dịch lừa đảo lợi dụng mối lo ngại về virus corona đang phổ biến trong những tháng gần đây.
Tiết lộ của Palo Alto Networks được đưa ra khi Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS), công ty công nghệ sinh học Genomics, Bệnh viện Đại học Brno tại Cộng hòa Séc và hãng Hammersmith Medicines Research đã bị tấn công mạng trong vài tuần qua.
Phát tán mã độc tống tiền bằng cách khai thác lỗ hổng CVE-2012-0158
Theo các nhà nghiên cứu, chiến dịch bắt đầu với các email độc hại được gửi từ một địa chỉ giả mạo Tổ chức Y tế Thế giới (dạng noreply @ who[.]Int) được gửi đến một số cá nhân liên quan đến tổ chức chăm sóc sức khỏe mà có tham gia vào việc phòng chống Covid-19.
Các email chứa một tài liệu định dạng RTF (rich text format) có tên là "20200323-sitrep-63-covid-19.doc", khi được mở ra nó sẽ phát tán mã độc tống tiền EDA2 bằng cách khai thác lỗ hổng tràn bộ đệm (CVE-2012-0158) đã biết trong ứng dụng ActiveX Controls chuẩn của Microsoft (TreeView/ListView) trong thư viện
MSCOMCTL.OCX.
Sau khi thực hiện, mã độc tống tiền sẽ liên lạc với máy chủ điều khiển và ra lệnh (C2) để tải xuống một hình ảnh đóng vai trò là thông báo lây nhiễm mã độc tống tiền trên thiết bị của nạn nhân, sau đó truyền tải thông tin để tạo khóa tùy chỉnh để mã hóa các tệp trên đó máy tính.
Sự gia tăng đột biến của mã độc tống tiền
Tấn công bằng mã độc tống tiền đang gia tăng cùng với các loại hình tấn công mạng khác liên quan đến đại dịch Covid19. Chúng bao gồm các email lừa đảo cố gắng thuyết phục người dùng nhấp vào các liên kết có chứa phần mềm độc hại hoặc mã độc tống tiền vào máy tính của họ.
Loại hình tấn công này đang nhằm vào các tổ chức y tế hay bệnh viện, bởi họ có thể không có thời gian hoặc nguồn lực để tăng cường hệ thống bảo mật do đang chịu áp lực lớn từ đại dịch Covid-19. Tin tặc hy vọng rằng các tổ chức này sẽ nhanh chóng trả tiền chuộc để khôi phục quyền truy cập vào các hệ thống quan trọng và ngăn chặn sự gián đoạn quá trình chăm sóc bệnh nhân.
Một báo cáo từ RisKIQ công bố mới đây cho thấy các cuộc tấn công mã độc tống tiền vào các cơ sở y tế từ năm 2016 - 2019 đã tăng 35%, với yêu cầu tiền chuộc trung bình là 59.000 USD. Theo RisKIQ, tin tặc thường nhằm vào các bệnh viện và trung tâm chăm sóc sức khỏe nhỏ do hệ thống bảo mật yếu và dễ dàng trả tiền chuộc.
Để bảo vệ các hệ thống khỏi các cuộc tấn công như vậy, Tổ chức Cảnh sát Hình sự quốc tế (Interpol) khuyến cáo các tổ chức nên đề phòng các hành vi lừa đảo, mã hóa dữ liệu nhạy cảm và sao lưu dữ liệu định kỳ, đồng thời lưu trữ ngoại tuyến.