Chiến dịch tấn công này nguy hiểm ở chỗ, thay vì phá hoại dữ liệu hay tống tiền, GhostRedirector lại đánh cắp uy tín của chính máy chủ bị nhiễm để phục vụ mục đích kinh doanh ngầm. Điều này không chỉ gây hại cho nạn nhân mà còn ảnh hưởng tới cả người dùng Internet. Các máy chủ bị ảnh hưởng nằm tại nhiều nước: Việt Nam, Mỹ, Ấn Độ, Canada, Phần Lan, Hà Lan, Philippines… với nạn nhân trải rộng từ giáo dục, y tế, bảo hiểm cho tới bán lẻ.
WhiteHat cho biết, khi bị tấn công, chủ website bị nhiễm sẽ giảm sút uy tín, bị Google “đánh dấu” vì dính SEO bẩn, dẫn tới tụt hạng, mất khách truy cập. Người dùng Internet có nguy cơ bị chuyển hướng sang các website cờ bạc, lừa đảo. Với cộng đồng mạng, chiến dịch này góp phần làm loãng kết quả tìm kiếm, khiến Google hiển thị kết quả sai lệch, giảm chất lượng thông tin.
WhiteHat đánh giá đây là một kiểu tấn công tinh vi và “lặng lẽ”, không ồn ào như ransomware nhưng lại gây hậu quả dài hạn cả về tài chính lẫn uy tín.
Từ phân tích thực tế, các chuyên gia của WhiteHat khuyến cáo, doanh nghiệp cần vá kịp thời các lỗ hổng web, đặc biệt là SQL injection; Theo dõi log PowerShell và hoạt động bất thường trên IIS. Đồng thời, kiểm tra định kỳ các mô-đun IIS để phát hiện cài cắm trái phép; Sử dụng giải pháp giám sát an ninh nâng cao, phát hiện cả hành vi bất thường chứ không chỉ dựa vào chữ ký malware.
WhiteHat cho rằng GhostRedirector cho thấy xu hướng mới, tin tặc không chỉ mã hóa tống tiền mà còn biến hệ thống bị hack thành công cụ làm ăn ngầm.
PV
Bình luận