Hai hãng bảo mật hàng đầu thế giới vừa tìm ra bằng chứng cho thấy mối liên hệ giữa mã độc tống tiền WannaCry và một nhóm tin tặc tại Triều Tiên có tên gọi Lazarus Group, theo The Guardian.
Kaspersky và Symantec đều công bố thông tin cụ thể về việc các đoạn code trên phiên bản đầu của WannaCry giống với code của một loại cửa hậu tạo ra bởi nhóm hacker được cho là có liên hệ với chính phủ Triều Tiên. Lazarus Group cũng là thủ phạm tấn công Sony Pictures năm 2014 và ngân hàng Bangladesh năm 2016.
Họ được biết đến là nhóm hacker chuyên tấn công đòi tiền chuộc bằng Bitcoin.
Nhân viên của Trung tâm Internet và Bảo mật Hàn Quốc theo dõi diễn biến cuộc tấn công mạng bằng mã độc WannaCry sáng 15/5. Ảnh: Yonhap. |
Kaspersky là một trong những nhóm nghiên cứu đã theo dõi Lazarus Group trong nhiều năm qua và vừa phát hành báo cáo có tên “Bên dưới mui xe”, cho thấy phương thức hoạt động của nhóm này.
“Mức độ tinh vi như thế này là điều không thường xuyên xuất hiện trong thế giới tội phạm trên mạng. Nó đòi hỏi phải được tổ chức và kiểm soát chặt chẽ ở tất cả các giai đoạn hoạt động. Đó là lý do chúng tôi nghĩ Lazarus là một mối đe dọa lớn”, đại diện Kaspersky nói. Họ cũng phát hiện ra cuộc tấn công có nguồn gốc từ địa chỉ IP tại Triều Tiên.
Theo cập nhật mới đây, mã độc tống tiền WannaCry đã tấn công hơn 300.000 máy tính tại 150 quốc gia, nhắm đến cả những tổ chức quan trọng như bệnh viện, chính phủ và doanh nghiệp.
Chính phủ Mỹ đang chịu chỉ trích nặng nề bởi các chuyên gia bảo mật và công ty công nghệ, cho rằng họ đã tàng trữ vũ khí tấn công mạng, bao gồm công cụ phần mềm để phát tán WannaCry.
WannaCry sử dụng một công cụ khai thác lỗ hổng trên Windows được cho là ăn cắp từ Cơ quan An ninh Quốc gia Mỹ (NSA). NSA và nhiều cơ quan an ninh khác đều tạo ra và thu thập các lỗ hổng trên các hệ điều hành (chẳng hạn Windows) cho mục đích tình báo và phản tấn công.
Trong khi đó, Reuters cho biết các nạn nhân đã trả tổng cộng số tiền tương đương gần 70.000 USD cho tin tặc. Mặc dù vậy, chưa có máy tính nào được khôi phục dữ liệu.
Theo Elliptic - hãng startup tại London có nhiệm vụ giúp cơ quan chức năng theo dõi tội phạm, có 3 ví Bitcoint được cho là có liên hệ với nhóm hacker phát tán mã độc WannaCry. 3 tài khoản này đã nhận 60.000 USD trong ngày khởi đầu của vụ tấn công (hôm 12/5).
Một trong những lý do khiến khoản tiền chuộc hacker nhận được thấp như vậy là vì nhiều người chưa từng nghe về khái niệm Bitcoin và không biết cách đổi tiền thật sang loại tiền ảo này.
“Nếu một doanh nghiêp bị yêu cầu trả một khoản bằng Bitcoint, hầu hết trong số họ sẽ đặt câu hỏi Bitcoin là gì”, Jame Smith - CEO của Elliptic nói với CNBC.
Ban đầu, hacker yêu cầu trả 300 USD để trả lại dữ liệu bị mã hóa. Chúng cho nạn nhân 72 giờ để trả trước khi tăng gấp đôi số tiền chuộc. Do loại mã độc này bắt đầu phát tán hôm thứ sáu (12/5), nhiều người phải trả 600 USD khi họ bắt đầu làm việc trở lại vào thứ 2 (15/5).