Theo Caleb Barlow, thuộc hãng an ninh mạng IBM Security, các nhà nghiên cứu vẫn chưa thật sự rõ làm sao mã độc lan truyền được với tốc độ chóng mặt.
Nhiều công ty an ninh cho rằng mã độc được tải về qua các thư điện tử có đính kèm các tệp tin và đường dẫn độc hại. Thế nhưng với WannaCry, nhóm của Barlow đã dành nhiều ngày rà soát cơ sở dữ liệu gồm hơn 1 tỉ thư điện tử của công ty, tính từ ngày 1-3, nhưng vẫn không có thư nào liên quan tới vụ tấn công.
Cách thức lan truyền bí ẩn và cách đòi tiền chuộc thiếu tinh vi càng khiến nhiều chuyên gia nghi ngờ Triều Tiên có liên quan đến WannaCry. Ảnh: Yonhap
“Khi một nạn nhân trong mạng lưới bị nhiễm mã độc, nó sẽ tự động nhân lên trong hệ thống” - ông Barlow nói. Theo ông, hệ điều hành Windows của Microsoft có một điểm yếu cho phép mã độc truyền từ máy tính này sang máy khác. Cơ quan an ninh quốc gia Mỹ (NSA) đã dựa vào đó để tạo ra một công cụ tấn công có mật danh EternalBlue, công cụ này rơi vào tay nhóm Shadow Brokers và nhóm tin tặc bí ẩn này đã công bố EternalBlue và các công cụ tương tự lên mạng.
Điều bí ẩn mà nhóm của ông Barlow không giải đáp được là làm sao "nạn nhân đầu tiên nhất" trong mỗi mạng lưới bị nhiễm mã độc. “Theo số liệu thì rất hiếm có trường hợp chúng tôi đã rà soát mà không phát hiện được đầu mối” - ông Barlow nói.
Các nhà nghiên cứu khác có nhận định tương tự. “Lúc này chúng tôi vẫn chưa tìm được dấu hiệu chỉ ra máy đầu tiên bị nhiễm WannaCry” - Budiman Tsjin của hãng an ninh RSA, một bộ phận của Dell, cho biết.
Biết được cách mã độc thâm nhập vào máy và lan truyền là mấu chốt để ngăn chặn các cuộc tấn công hiện tại và đối phó với các vụ tương tự sau này. “Làm chúng vào được và điều này liệu có lặp lại không?” - ông Barlow đặt câu hỏi.
Cáp và hệ thống máy tính trong một trung tâm dữ liệu ở London, Anh - nước chịu thiệt hại nặng đầu tiên vì mã độc WannaCry. Ảnh: REUTERS
Một số công ty an ninh mạng khác lại cho biết họ đã tìm ra thư nhiễm tệp tin và đường dẫn độc hại. FireEye tuyên bố một số khách hàng nhờ sử dụng báo cáo của họ mà tìm được vài thư điện tử có liên quan tới vụ tấn công.
Thế nhưng công ty này cũng đồng tình là mã độc WannaCry phát tán nhờ các phương pháp tấn công khác nhiều hơn là thư điện tử. Khi số máy bị nhiễm mã độc lên tới con số nhất định, nó có thể tự lợi dụng chỗ yếu của Microsoft để nhân lên mà không cần có sự trợ giúp của thư điện tử.
Các nhà nghiên cứu còn nhận thấy một số dấu hiệu kỳ lạ khác chứng tỏ đây không phải một vụ tấn công bình thường. Một điểm trong đó là số tiền chuộc bằng bitcoin mà tin tặc thu được là rất nhỏ.
Theo Reuters, bọn tin tặc chỉ dùng ba túi bitcoin và mới thu được khoảng 50.000 USD, mặc dù mã độc phát tán rất rộng. Theo ông Barlow, trong các trường hợp tấn công mạng đòi tiền chuộc trước đây, số tiền thu được cho một vụ nhiễm còn nhiều hơn thế, tùy vào nạn nhân bị tấn công.
Một điểm khác thường khác, như Jonathan Levin của Chainalysis, công ty quản lý giao dịch bitcoin, chỉ ra: Phương thức bắt nạn nhân trả tiền không hề tinh vi như các vụ khác. Trước đây, có vụ từng dùng tới đường dây nóng tài chính bằng nhiều ngôn ngữ. Ngoài ra, số tiền chuộc được trả bằng bitcoin vẫn nằm yên trong ba túi tiền, trong khi các chiến dịch khác, như Locky, rất thường xuyên lấy tiền khỏi túi. “Chúng không sắp đặt cách thanh toán bitcoin tỉ mỉ chút nào” - ông Levin nói.
Sự kém tinh vi trong kế hoạch càng khiến các nhà nghiên cứu tin rằng vụ tấn công có liên quan tới Triều Tiên. Một nhà nghiên cứu ở phòng thí nghiệm Hauri (Hàn Quốc) tên Simon Choi cho biết Triều Tiên chỉ vừa phát triển và thử nghiệm phần mềm mã độc đòi tiền chuộc từ tháng 8-2016. Trong một vụ tấn công, tin tặc Triều Tiên đã yêu cầu nạn nhân thanh toán bằng bitcoin, như vụ WannaCry lần này.
Ông Choi còn cho biết ông có phát hiện tương tự Symantec và Kaspersky, rằng nhiều mã trong các phiên bản trước của phần mềm Wannacry từng được nhóm Lazarus sử dụng. Nhóm này được cho là có liên quan tới Triều Tiên.
Dù cho kẻ nào đứng sau vụ tấn công, sự hiệu quả trong cách bọn tin tặc sử dụng các công cụ sẵn có thật đáng sợ, Marin Ivezic, đối tác an ninh mạng ở PwC Hong Kong nhận xét. Kết hợp công cụ tạo ra từ vụ lộ dữ liệu NSA với các phần mềm của chúng, “chúng đã phát tán được mã độc rộng rãi hơn bất cứ phương thức truyền thống nào” - ông Ivezic nói.
“Eternal Blue đã tỏ ra rất có hiệu quả nếu kết hợp với phần mềm độc phù hợp, và bọn tội phạm mạng sẽ lợi dụng điểm này” - ông Ivezic nhận định.
