Trong quý 3 năm 2022, hệ thống giám sát virus của Bkav đã ghi nhận và phát hiện hàng loạt mẫu mã độc tống tiền được phát tán. Mục tiêu nhắm tới của các mã độc này phần lớn là các doanh nghiệp, đơn vị sử dụng các phần mềm quản lý dữ liệu kế toán.
Theo thống kê, có tổng cộng 261 máy chủ bị tấn công, từ hơn 6.000 IP khác nhau. Các máy chủ bị tấn công đều sử dụng hệ cơ sở dữ liệu Microsoft SQL Server, kẻ tấn công lợi dụng tính năng “xp_cmdshell” của hệ cơ sở dữ liệu này để thực thi các lệnh.
Khi cài đặt các phần mềm kế toán, trình cài đặt sẽ tạo tài khoản “sa” với mật khẩu mặc định được thiết lập sẵn, đây là tài khoản có quyền cao nhất để quản trị cơ sở dữ liệu trên hệ thống. Bên cạnh đó, việc cấu hình mở cổng (port) để các máy trong mạng có thể truy cập vào cơ sở dữ liệu nếu không chuẩn cũng mang đến nhiều nguy cơ mất an toàn. Vì vậy, khi cổng dịch vụ của cơ sở dữ liệu được mở để các máy ngoài Internet có thể truy cập được, kẻ tấn công có thể sử dụng mật khẩu được thiết lập sẵn từ các phần mềm kế toán hoặc sử dụng phương pháp tấn công dò quét mật khẩu (brute force attack) để chiếm quyền sử dụng tài khoản “sa”.
Khi đã chiếm được quyền sử dụng tài khoản “sa”, kẻ tấn công sử dụng powershell để tải và cài đặt phần mềm điều khiển từ xa như AnyDesk. Lợi dụng phần mềm này, kẻ tấn công đã có quyền điều khiển server và vô hiệu hóa các cơ chế phòng thủ trên server, từ đó mở đường cho việc tải và thực thi mã độc tống tiền trên máy chủ. Theo ghi nhận từ hệ thống của Bkav, đa số các máy bị mã hóa bởi dòng mã độc STOP/DJVU hoặc FARGO3.
Dữ liệu kế toán bị mã hóa do ransomware FARGO3
Để tránh bị tấn công và khai thác gây mất an toàn an ninh dữ liệu, các chuyên gia từ Bkav khuyến cáo:
+ Vô hiệu hóa tài khoản “sa” hay các tài khoản có quyền quản trị viên nếu không sử dụng.
+ Tắt chức năng “xp_cmdshell” nếu không sử dụng.
+ Không public cổng dịch vụ nội bộ ra Internet khi không cần thiết.
+ Backup dữ liệu quan trọng thường xuyên.
+ Cài đặt phần mềm diệt virus để được bảo vệ thường trực.
Bkav