Hacker tấn công hệ thống metro San Francisco đòi tiền chuộc 73.000 USD

Hacker News đưa tin hơn 2000 hệ thống máy tính ở cơ quan quản lý vận tải công cộng San Francisco, Mỹ (MUNI) bị tấn công hôm thứ sáu tuần trước 25-11. Các hệ thống chi trả tại trạm và bảng theo dõi lịch tàu chạy của MUNI đã bị một ransomware tấn công khiến MUNI phải đóng cửa các kiosk bán vé, theo San Francisco Examiner.

Ransomware là một loại trojan mã độc tống tiền hủy hoại hệ thống bằng cách âm thầm mã hóa dữ liệu sau khi xâm nhập rồi hiện thông báo yêu cầu nạn nhân trả tiền chuộc. Nạn nhân có thể bị lây nhiễm ransomware do vô tình kích hoạt lệnh thực thi độc hại khi mở email hay download phần mềm, tạo cơ hội cho phần mềm gián điệp phát tán ra toàn hệ thống.

Thông điệp hiển thị trên màn hình ở các trạm metro toàn thành phố San Francisco là “You Hacked, ALL Data Encrypted. Contact For Key([email protected])ID:681 ,Enter.” (Bạn đã bị hack, mọi dữ liệu bị mã hóa. Liên lạc để giải mã [email protected] ID:681, Enter)

Thật may mắn là vụ tấn công mã độc không ảnh hưởng trực tiếp tới chính các xe điện ngầm. MUNI vẫn cung cấp các chuyến xe và người dân thành phố lớn phía Bắc California được 2 ngày đi xe miễn phí. Sáng chủ nhật 27-11, việc mua vé đã trở lại bình thường, giới truyền thông địa phương  đưa tin MUNI đã phải trả tiền chuộc $73,000 Bitcoin để các máy tính của cơ quan này được tự do.

Theo Paul Rose, người phát ngôn MUNI, cơ quan này đang điều tra vụ việc nhưng không cung cấp chi tiết làm cách nào mà MUI bị tấn công.

Vẫn chưa rõ hacker nào chịu trách nhiệm vụ tấn công này, chỉ có thông tin về một đoạn mã giả Andy Saolis thường được dùng phổ biến trong các vụ tấn công ransom HHDCryptor, trong đó hacker dùng các công cụ thương mại để mã hóa ổ cứng và các chia sẻ qua mạng trên các máy Windows bằng các mã ngẫu nhiên và ghi đè lên MBR của ổ cứng để ngăn hệ thống khởi động. MBR-Master Boot Record là sector đầu tiên trên ổ cứng lưu trữ một doạn mã có nhiệm vụ khởi động hệ điều hành. MBR bị ransom điều chỉnh sẽ mất khả năng này, khiến bạn không thể chạy Windows hay bất kỳ chương trình nào sau khi mở máy lên.

Địa chỉ mail [email protected] được liên kết tới một email của Nga để thỏa thuận việc trả tiền của MUNI. Cụ thể hơn, trong email hồi âm cho MUNI từ địa chỉ [email protected], hacker cho biết sẽ đóng email vào hôm sau, MUNI chỉ có thêm một ngày để thỏa thuận với chúng. Bọn tội phạm còn cung cấp chi tiết danh sách hơn 2000 máy tính trong tổng số 8.656 máy của MUNI đã bị lây nhiễm ransom.

[email protected] cũng là địa chỉ mail liên quan tới một loại ransomware mang tên Mamba được công ty an ninh mạng Brazil Morphus Labs  phát hiện hồi tháng 9 vừa rồi. Mamba được đặt theo tên một loại rắn độc vì khả năng làm tê liệt các hệ thống bằng công cụ mã hóa ổ cứng DiskCryptor. Hacker cũng sử dụng chiến thuật tương tự vụ tấn công vào các hệ thống ở San Francisco. Hiện nay các máy tính dùng Windows ở Mỹ, Ấn Độ, Brazil là đối tượng Mamba nhắm tới.

 

 

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

CAPTCHA ImageChange Image