Giới chuyên gia xác định NotPetya không phải là ransomware, mục đích của nó chỉ là phá hoại thôi

Phá hoại, lây lan có vẻ là những mục đích tồn tại chính của malware này.

Như chúng tôi đã đưa tin, mã độc mới NotPetya (hay New Petya) có tốc độ lây lan không kém gì WannaCry trước đây vẫn đang hoành hành ở nhiều nước trên thế giới. Cũng tận dụng lỗ hổng EternalBlue tai tiếng, cũng mã hóa file trên hệ thống nạn nhân rồi đưa ra thông báo đòi tiền chuộc, thế nhưng, hôm nay chúng ta biết được: NotPetya không phải là ransomware.

Ngay từ thời điểm các chuyên gia bảo mật nhận được thông tin về mẫu malware này, với hình thức tương tự như ransomware, nó đã gây những dự cảm lạ lùng cho toàn bộ giới bảo mật. Có thể nói đến tốc độ lây lan cực nhanh theo nhiều đường khác nhau, chứ không chỉ lỗ hổng EternalBlue. Nhưng kẻ tấn công lại có vẻ không quan tâm đến khoản tiền chuộc, khi chúng nhận được tiền mà không gửi khóa giải mã máy, và cũng không có động thái gì sau khi mất email Posteo trong thông báo ransom.

Chúng tôi xin tổng kết những nghi ngại này bằng phát biểu của chuyên gia bảo mật huyền thoại The Grugq một ngày trước: “Nếu như Petya gốc (năm 2016) là một sản phẩm để kiếm tiền chuộc thật, thì có vẻ NotPetya lại không được xây dựng để kiếm tiền. Có vẻ như nó được tạo ra để lây lan nhanh và phá hỏng các hệ thống, dưới lớp vỏ ransomware.”

Và hiện tại, chúng ta biết rằng ông đã đúng. Nhiều nhóm chuyên gia bảo mật đã thống nhất đi đến kết luận cuối cùng: NotPetya không phải là ransomware, mà là wiper malware với mục đích phá hoại file trên hệ thống nạn nhân.

Mọi chuyện có thể tạm giải thích như sau: NotPetya đã được tung ra đúng thời điểm, lợi dụng sự nhạy cảm của giới truyền thông sau vụ WannaCry để xây dựng một vỏ bọc, nhưng thực chất lại là malware phá hoại đúng nghĩa. Mục đích thực sự của hacker vẫn chưa được làm rõ, nhưng phương thức thì hoàn toàn có thể nhận biết.

Về cơ bản, Petya nguyên gốc cũng không mã hóa từng file như ransomware thông thường, mà chúng mã hóa Bảng tập tin gốc (Master File Table – MFT) cũng như khiến cho MBR – Master Boot Record không thể dùng được. Petya sẽ tạo ra một bản copy của MBR, tất nhiên đã được mã hóa, rồi đòi người dùng tiền chuộc để đổi lấy khóa giải mã. Còn NotPetya? Như bạn cũng thấy ở ảnh trên, NotPetya lại không lưu bản copy của MBR, tức là nó chỉ đơn thuần làm một việc: phá hoại.

Chúng ta thực ra vẫn chưa thể khẳng định đây là chủ ý hay là sơ suất của nhóm hacker đứng đằng sau NotPetya. Thế nhưng, nếu dựa vào nhiều cách thức lây lan tiên tiến hơn của NotPetya, cũng như việc nhóm hacker không quan tâm lắm đến tiền chuộc, thì có lẽ chúng ta đã tự có được kết luận.

Theo Genk

Khối Giáo dục FPT – fpt.edu.vn

Học Viện Mạng và Phần Cứng – jetking.fpt.edu.vn