WannaCry không chỉ là một cuộc tấn công quy mô toàn cầu mà còn là một hồi chuông cảnh báo về sự cần thiết của các biện pháp bảo vệ và phòng ngừa đối với mọi hệ thống máy tính.. Mục tiêu
Trang 1MỤC LỤ
TRƯỜNG ĐẠI HỌC TÀI CHÍNH NGÂN HÀNG HÀ NỘI
***
-BÀI BÁO CÁO
Môn: AN TOÀN VÀ BẢO MẬT THÔNG TIN
Đề tài: TÌM HIỂU VỀ VỤ TẤN CÔNG WANNACRY
Họ và tên: Đặng Lê Hà Trang Lớp: D.10.48.01
Mã Sinh Viên: 2154800033
Hà Nội - 2024
Trang 2Lời nói đầu 3
I Tổng quan về WannaCry 4
II Phương thức tấn công và cơ chế hoạt động của WannaCry 5
2.1 Lỗ hổng EternalBlue và cách thức lây lan 5
2.2 Quá trình mã hóa dữ liệu và yêu cầu tiền chuộc 5
2.3 Cơ chế "kill-switch" và giao tiếp với máy chủ điều khiển 5
III Tác động và hậu quả của WannaCry 6
3.1 Ảnh hưởng về tài chính và thiệt hại trên toàn cầu 6
3.2 Ảnh hưởng đến các cơ quan và tổ chức, đặc biệt là hệ thống y tế 6
3.3 Bài học rút ra từ cuộc tấn công 6
IV Biện pháp phòng ngừa và khắc phục 8
4.1 Cập nhật và vá lỗi hệ thống 8
4.2 Sử dụng phần mềm diệt virus và hệ thống bảo mật nâng cao 8
4.3 Tăng cường nhận thức về bảo mật cho nhân viên 8
V Tác động đến chính sách an ninh mạng 9
5.1 Phản ứng của các cơ quan chính phủ và tổ chức quốc tế 9
5.2 Tác động đến các công ty công nghệ và ngành công nghiệp bảo mật 9
Kết luận 10
Tài liệu tham khảo 11
Trang 3Lời nói đầu
Trong thời đại số hóa hiện nay, an ninh mạng đã trở thành một yếu tố then chốt, không chỉ đối với các tổ chức lớn mà còn ảnh hưởng đến từng cá nhân trong xã hội Các cuộc tấn công mạng ngày càng gia tăng về số lượng và độ phức tạp, gây ra những hậu quả nghiêm trọng về tài chính,
dữ liệu và an ninh quốc gia Trong số đó, cuộc tấn công ransomware WannaCry năm 2017 đã trở thành một trong những sự kiện tiêu biểu, cho thấy rõ mức độ nguy hiểm và tầm ảnh hưởng của các mã độc tống tiền hiện đại
WannaCry không chỉ là một cuộc tấn công quy mô toàn cầu mà còn là một hồi chuông cảnh báo
về sự cần thiết của các biện pháp bảo vệ và phòng ngừa đối với mọi hệ thống máy tính Với khả năng khai thác lỗ hổng EternalBlue trên các phiên bản hệ điều hành Windows chưa được vá, WannaCry đã nhanh chóng lan rộng, làm gián đoạn hoạt động của nhiều hệ thống, đặc biệt là trong lĩnh vực chăm sóc sức khỏe và tài chính Cuộc tấn công này đã ảnh hưởng đến hàng ngàn doanh nghiệp và cá nhân tại hơn 150 quốc gia, gây ra những thiệt hại đáng kể cả về tài chính và
uy tín
Trang 4Báo cáo này được thực hiện nhằm phân tích cuộc tấn công WannaCry, từ nguyên nhân, cách thức tấn công, đến những hậu quả mà nó gây ra Đồng thời, báo cáo cũng đưa ra những bài học
và biện pháp phòng ngừa cần thiết để bảo vệ hệ thống trước các cuộc tấn công tương tự Qua đó, người đọc sẽ hiểu rõ hơn về tầm quan trọng của an ninh mạng và vai trò của việc nâng cao ý thức bảo vệ dữ liệu trong môi trường kỹ thuật số hiện đại
Hy vọng báo cáo này sẽ cung cấp cái nhìn toàn diện và sâu sắc về cuộc tấn công WannaCry, góp phần nâng cao nhận thức về bảo mật và đưa ra những giải pháp hiệu quả để phòng chống các nguy cơ tương tự trong tương lai
Trang 5I Tổng quan về WannaCry
WannaCry là một loại mã độc tống tiền (ransomware) nổi tiếng, gây ra một cuộc tấn công quy
mô lớn vào tháng 5 năm 2017 Nó được biết đến là một trong những cuộc tấn công mạng nghiêm trọng nhất trong lịch sử, ảnh hưởng đến hàng nghìn tổ chức và cá nhân trên toàn cầu
Lịch sử và nguồn gốc
WannaCry được phát tán thông qua một lỗ hổng bảo mật nghiêm trọng trong hệ điều hành Windows của Microsoft, được gọi là EternalBlue Lỗ hổng này lần đầu tiên bị phát hiện và công khai bởi nhóm hacker Shadow Brokers vào tháng 4 năm 2017 EternalBlue khai thác một lỗ hổng trong giao thức SMB (Server Message Block) của Windows, cho phép các máy tính chưa được
vá lỗi tự động bị nhiễm mã độc khi kết nối với mạng
Dù Microsoft đã phát hành bản vá lỗi để khắc phục lỗ hổng này ngay trước khi WannaCry bùng phát, nhưng nhiều hệ thống trên toàn cầu vẫn chưa được cập nhật, khiến chúng trở thành mục tiêu dễ dàng cho cuộc tấn công
Mục tiêu và phạm vi tấn công
Cuộc tấn công WannaCry đã ảnh hưởng đến hơn 200.000 máy tính tại hơn 150 quốc gia, trong
đó có các tổ chức y tế lớn, bệnh viện, ngân hàng, và các công ty đa quốc gia Một trong những
Trang 6nạn nhân nổi bật là Hệ thống Y tế Quốc gia Anh (NHS), nơi hàng nghìn ca phẫu thuật và các dịch vụ y tế bị gián đoạn
WannaCry có khả năng tự lây lan qua mạng mà không cần sự can thiệp của người dùng, sử dụng
lỗ hổng EternalBlue để tấn công vào các hệ thống chưa được vá Điều này giúp nó lan nhanh và rộng rãi, biến cuộc tấn công trở thành một mối đe dọa toàn cầu
Mục tiêu chính của WannaCry là mã hóa dữ liệu trên các máy tính bị nhiễm và yêu cầu người dùng trả tiền chuộc, thường là Bitcoin, để giải mã dữ liệu bị khóa Mặc dù số tiền yêu cầu không quá lớn, nhưng cuộc tấn công này đã gây ra thiệt hại hàng triệu USD và làm gián đoạn hoạt động của nhiều tổ chức quan trọng trên thế giới
Trang 7II
Phương thức tấn công và cơ chế hoạt động của WannaCry
2.1 Lỗ hổng EternalBlue và cách thức lây lan
WannaCry sử dụng lỗ hổng bảo mật EternalBlue trong giao thức Server Message Block (SMB)
của Windows để xâm nhập vào các hệ thống không được bảo vệ Lỗ hổng này, vốn được phát
hiện và khai thác bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), đã bị nhóm hacker Shadow
Brokers rò rỉ ra ngoài vào tháng 4 năm 2017, và trở thành công cụ quan trọng cho WannaCry
Khi một máy tính chưa được vá bảo mật bị nhiễm mã độc, WannaCry sẽ tự động lây lan sang các máy tính khác trong cùng một mạng nội bộ mà không cần sự can thiệp của người dùng Các máy tính bị nhiễm tiếp tục phát tán WannaCry qua SMB, khai thác lỗ hổng trên tất cả các hệ thống không cập nhật Điều này khiến cho WannaCry có khả năng lây lan nhanh chóng, gây thiệt hại lớn trên diện rộng trong thời gian ngắn, với hàng nghìn, thậm chí hàng triệu máy tính bị ảnh hưởng
2.2 Quá trình mã hóa dữ liệu và yêu cầu tiền chuộc
Sau khi WannaCry xâm nhập và lây lan thành công vào hệ thống, bước tiếp theo là mã hóa các
tệp tin quan trọng của nạn nhân Các tài liệu, hình ảnh, video, cơ sở dữ liệu, và tất cả các tệp tin
có giá trị sẽ bị mã hóa bằng thuật toán AES-128 Quá trình mã hóa này khiến người dùng không
Trang 8thể truy cập vào dữ liệu của mình Sau khi mã hóa xong, WannaCry sẽ hiển thị một cửa sổ yêu
cầu nạn nhân thanh toán tiền chuộc bằng Bitcoin, một loại tiền điện tử có tính ẩn danh cao, giúp kẻ tấn công tránh được việc bị truy vết Mức tiền chuộc ban đầu là 300 USD, và nếu không thanh toán trong vòng 72 giờ, số tiền chuộc sẽ tăng gấp đôi Nếu nạn nhân vẫn không thanh toán trong thời gian quy định, tất cả các tệp tin sẽ bị xóa vĩnh viễn và việc khôi phục dữ liệu sẽ trở
nên không thể thực hiện được
2.3 Cơ chế "kill-switch" và giao tiếp với máy chủ điều khiển
Một trong những đặc điểm đáng chú ý của WannaCry là cơ chế "kill-switch", giúp kiểm soát và
dừng sự lây lan của mã độc Trong mã độc của WannaCry, các nhà phát triển đã lập trình một
tên miền đặc biệt Khi mã độc cố gắng kết nối với tên miền này, nếu kết nối thành công,
WannaCry sẽ nhận biết rằng hệ thống đang bị giám sát và tự động ngừng quá trình phát tán mã độc Điều này đã giúp các nhà nghiên cứu an ninh ngừng cuộc tấn công WannaCry ngay trước
khi nó có thể gây ra thiệt hại thêm Ngoài ra, WannaCry còn sử dụng giao thức HTTPS để liên
lạc với các máy chủ điều khiển, giúp việc giao tiếp giữa máy tính bị nhiễm và máy chủ của kẻ
tấn công được mã hóa Giao thức này giúp WannaCry ẩn danh và tránh bị phát hiện bởi các hệ
thống bảo mật, làm cho việc ngăn chặn cuộc tấn công trở nên khó khăn hơn
Trang 9III Tác động và hậu quả của WannaCry
3.1 Ảnh hưởng về tài chính và thiệt hại trên toàn cầu
Cuộc tấn công WannaCry đã gây ra những thiệt hại tài chính nghiêm trọng cho hàng nghìn tổ chức, doanh nghiệp và cá nhân trên toàn thế giới Theo ước tính, thiệt hại tài chính từ cuộc tấn công này có thể lên đến hàng tỷ USD, bao gồm chi phí khôi phục hệ thống, bảo vệ dữ liệu bị mã hóa, và thanh toán tiền chuộc cho các máy tính bị nhiễm Mặc dù một số tổ chức quyết định không trả tiền chuộc, chi phí khôi phục hệ thống và gián đoạn trong hoạt động kinh doanh đã dẫn đến tổn thất nặng nề
Các công ty lớn như FedEx, Renault, và Nissan là những nạn nhân đáng chú ý, phải ngừng hoạt
động trong nhiều ngày để xử lý các hệ thống bị nhiễm, điều này làm gián đoạn hoạt động của họ
và ảnh hưởng đến doanh thu Hơn nữa, các tổ chức tài chính, ngân hàng và các cơ sở công cộng cũng phải chi một khoản tiền lớn để phục hồi các hệ thống bị ảnh hưởng và bảo vệ dữ liệu quan trọng của khách hàng Một trong những hệ quả rõ ràng nhất là sự gián đoạn nghiêm trọng trong hoạt động kinh doanh và dịch vụ, ảnh hưởng lâu dài đến uy tín của các doanh nghiệp và tổ chức
3.2 Ảnh hưởng đến các cơ quan và tổ chức, đặc biệt là hệ thống y tế
Trang 10Một trong những tổ chức bị ảnh hưởng nặng nề nhất bởi WannaCry là Hệ thống Y tế Quốc gia
Anh (NHS) Các dịch vụ y tế của NHS bị gián đoạn nghiêm trọng, với hàng nghìn cuộc hẹn
khám bệnh và phẫu thuật bị hủy bỏ Các bác sĩ và nhân viên y tế không thể truy cập vào dữ liệu bệnh nhân hoặc sử dụng các hệ thống máy tính cần thiết cho công việc, gây ảnh hưởng trực tiếp đến chất lượng dịch vụ y tế và khiến hàng triệu bệnh nhân phải chịu thiệt thòi Những thiệt hại này không chỉ ảnh hưởng đến sức khỏe cộng đồng mà còn gây ra sự mất tin cậy nghiêm trọng đối với hệ thống y tế công cộng
Ngoài NHS, nhiều tổ chức và cơ sở công cộng khác, bao gồm các bệnh viện, trường học và các
cơ quan chính phủ, cũng chịu thiệt hại nghiêm trọng từ WannaCry Các cơ sở này phải đối mặt với gián đoạn dịch vụ, làm tăng gánh nặng cho các tổ chức cần phải khôi phục lại hoạt động trong thời gian ngắn Những thiệt hại không chỉ dừng lại ở mức tài chính mà còn ảnh hưởng đến danh tiếng và sự tín nhiệm của công chúng đối với các tổ chức này
3.3 Bài học rút ra từ cuộc tấn công
Cuộc tấn công WannaCry đã chỉ ra những lỗ hổng bảo mật nghiêm trọng mà các tổ chức có thể gặp phải nếu không duy trì các biện pháp bảo vệ đầy đủ và cập nhật kịp thời Mặc dù Microsoft
đã phát hành bản vá bảo mật ngay từ tháng 3 năm 2017, nhưng việc nhiều tổ chức chậm trễ trong
Trang 11việc áp dụng bản vá này đã dẫn đến hậu quả khôn lường Điều này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì các hệ thống bảo mật liên tục và thường xuyên cập nhật các bản vá
Ngoài ra, WannaCry cũng làm nổi bật sự quan trọng của việc sử dụng các biện pháp bảo mật toàn diện như sao lưu dữ liệu định kỳ, giám sát hệ thống thường xuyên và đào tạo nhân viên về các mối nguy cơ an ninh mạng, đặc biệt là những mối đe dọa từ các ransomware Các tổ chức cần đảm bảo rằng mọi thành viên trong tổ chức đều có kiến thức về bảo mật và tuân thủ các quy trình bảo mật cơ bản, từ đó giúp giảm thiểu các rủi ro và ngăn ngừa sự tái diễn của các cuộc tấn công mạng tương tự trong tương lai
Trang 12IV Biện pháp phòng ngừa và khắc phục
4.1 Cập nhật và vá lỗi hệ thống
Để ngăn ngừa các cuộc tấn công mạng tương tự như WannaCry, việc duy trì các bản vá bảo mật
và cập nhật hệ thống thường xuyên là điều cần thiết Lỗ hổng EternalBlue trong giao thức SMB
đã bị khai thác trong cuộc tấn công WannaCry, và Microsoft đã phát hành bản vá bảo mật từ tháng 3 năm 2017 để khắc phục vấn đề này Tuy nhiên, việc triển khai các bản vá bảo mật đã không được thực hiện đầy đủ và kịp thời tại nhiều tổ chức, dẫn đến việc lây nhiễm mã độc trên diện rộng Chính vì thế, các tổ chức cần thiết lập các chính sách tự động hóa việc cập nhật hệ thống và bảo mật để giảm thiểu rủi ro bị tấn công Ngoài việc áp dụng các bản vá bảo mật mới, các tổ chức cũng cần phải thường xuyên kiểm tra và rà soát các lỗ hổng bảo mật hiện có, đặc biệt
là các ứng dụng và hệ thống chưa được hỗ trợ Việc này đảm bảo rằng các điểm yếu trong hệ thống sẽ được khắc phục trước khi chúng có thể bị khai thác bởi kẻ tấn công
4.2 Sử dụng phần mềm diệt virus và hệ thống bảo mật nâng cao
Một trong những biện pháp bảo vệ hiệu quả nhất chống lại các cuộc tấn công ransomware là sử dụng phần mềm diệt virus và các giải pháp bảo mật nâng cao Các công ty và tổ chức nên đầu tư
Trang 13các mối đe dọa từ mã độc Các phần mềm bảo mật hiện đại có khả năng phát hiện các dấu hiệu bất thường trong hành vi mạng, từ đó ngăn chặn ngay lập tức các cuộc tấn công trước khi chúng lây lan Hệ thống giám sát cũng đóng vai trò quan trọng trong việc phát hiện kịp thời các hoạt động nghi ngờ và cảnh báo cho các quản trị viên hệ thống Ngoài ra, việc triển khai các công cụ phát hiện và ngăn chặn xâm nhập (IDS/IPS) sẽ giúp nhận diện và đối phó với các tấn công từ xa, ngăn chặn mã độc trước khi nó có thể gây ra thiệt hại nghiêm trọng
4.3 Tăng cường nhận thức về bảo mật cho nhân viên
Ngoài các biện pháp kỹ thuật, việc đào tạo và nâng cao nhận thức về an ninh mạng cho nhân viên là yếu tố quan trọng không thể thiếu trong chiến lược phòng ngừa Nhân viên là mắt xích yếu nhất trong bảo mật, đặc biệt là khi họ có thể vô tình tạo ra các lỗ hổng bảo mật thông qua hành động như mở email phishing, tải xuống tệp tin độc hại hoặc sử dụng mật khẩu yếu Do đó, các tổ chức cần tổ chức các chương trình đào tạo bảo mật định kỳ để giúp nhân viên nhận biết được các mối đe dọa như phishing, tấn công qua email, và cách thức mã hóa dữ liệu Việc đào tạo cần phải bao gồm các chủ đề như bảo mật thông tin, nhận diện các mối đe dọa mạng, và các quy trình an toàn khi sử dụng các thiết bị công nghệ Các tổ chức cũng cần khuyến khích nhân viên tuân thủ các chính sách bảo mật nghiêm ngặt và thực hiện các biện pháp bảo vệ như sử dụng mật khẩu mạnh, thay đổi mật khẩu thường xuyên, và không chia sẻ thông tin nhạy cảm qua
Trang 14các kênh không bảo mật Chỉ khi nhân viên có đủ kiến thức và nhận thức về bảo mật, họ mới có thể chủ động bảo vệ hệ thống và ngăn ngừa các cuộc tấn công tiềm tàng
Trang 15V Tác động đến chính sách an ninh mạng
5.1 Phản ứng của các cơ quan chính phủ và tổ chức quốc tế
Sau cuộc tấn công WannaCry, các cơ quan chính phủ và tổ chức quốc tế đã phản ứng mạnh mẽ
và đồng loạt đưa ra các biện pháp khẩn cấp để bảo vệ cơ sở hạ tầng quan trọng khỏi các mối đe dọa an ninh mạng Các quốc gia trên toàn thế giới đã nhận thức được mức độ nghiêm trọng của các cuộc tấn công mạng và tăng cường các biện pháp bảo mật, đặc biệt là đối với các lĩnh vực nhạy cảm như y tế, tài chính và các cơ quan chính phủ Chính phủ các quốc gia đã hợp tác chặt chẽ với các công ty công nghệ, chuyên gia bảo mật và các tổ chức quốc tế để thiết lập các chiến lược và tiêu chuẩn bảo mật mới, nhằm ngăn chặn sự lây lan của ransomware và các phần mềm độc hại khác
Liên minh Châu Âu (EU) và Mỹ đã đẩy mạnh các sáng kiến hợp tác quốc tế để tăng cường sự phối hợp trong phòng chống tội phạm mạng, bao gồm việc chia sẻ thông tin về các mối đe dọa và tạo ra các cơ chế phản ứng nhanh khi có các cuộc tấn công xảy ra Các cơ quan chức năng cũng bắt đầu triển khai các chương trình đào tạo và tuyên truyền nâng cao nhận thức về bảo mật cho các tổ chức và cá nhân, giúp họ chuẩn bị tốt hơn trong việc phòng ngừa và ứng phó với các mối
đe dọa mạng
5.2 Tác động đến các công ty công nghệ và ngành công nghiệp bảo mật
Trang 16Cuộc tấn công WannaCry không chỉ ảnh hưởng đến các cơ quan chính phủ và tổ chức mà còn có tác động sâu rộng đến ngành công nghiệp công nghệ và bảo mật Các công ty công nghệ lớn đã phải đối mặt với áp lực tăng cường tính bảo mật cho các hệ thống của mình, đồng thời phát triển các công cụ và giải pháp bảo vệ người dùng khỏi các mối đe dọa ransomware ngày càng tinh vi Các nhà cung cấp phần mềm bảo mật cũng phải nhanh chóng cải thiện và cập nhật các sản phẩm của mình để đối phó với sự gia tăng các cuộc tấn công mạng
Các công ty bảo mật đã phát triển các phần mềm chống malware và giải pháp phát hiện, ngăn chặn ransomware mạnh mẽ hơn, cung cấp các công cụ phòng ngừa toàn diện hơn cho người dùng Các công ty cũng bắt đầu tập trung vào việc bảo vệ các điểm yếu trong các hệ thống cũ, đặc biệt là đối với các tổ chức vẫn sử dụng các hệ điều hành cũ không còn được hỗ trợ, như Windows XP, mà là mục tiêu dễ dàng cho các cuộc tấn công Việc cải thiện bảo mật trên toàn bộ chuỗi cung ứng công nghệ cũng trở thành ưu tiên hàng đầu để ngăn ngừa các lỗ hổng có thể bị khai thác
Hơn nữa, sự kiện WannaCry đã thúc đẩy các công ty công nghệ và các chuyên gia bảo mật tăng cường sự hợp tác với nhau và với các tổ chức chính phủ để xây dựng các chiến lược bảo mật toàn diện, phát triển các tiêu chuẩn bảo mật chung và chia sẻ các dữ liệu về mối đe dọa để nâng