Theo đó, tin tặc tìm hiểu kỹ về đối tượng tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt hệ thống an toàn thông tin (ATTT) của ngân hàng và các tổ chức hạ tầng quan trọng nhằm chiếm quyền điều khiển máy tính. Từ đó tấn công sang các hệ thống máy tính nội bộ chứa thông tin quan trọng khác.
Việc sử dụng các chiêu trò kỹ thuật cao khiến hệ thống ATTT của ngân hàng khó phát hiện kịp thời, đồng thời giúp tin tặc duy trì quyền kiểm soát hệ thống thông tin.
Để đảm bảo an toàn, VNCERT đề nghị các ngân hàng và tổ chức hạ tầng quan trọng thực hiện gấp các biện pháp sau để kịp thời phát hiện và ngăn chặn cuộc tấn công có chủ đích:
- Theo dõi và ngăn chặn kết nối đến máy chủ C&C có địa chỉ IP sau: 38.132.124.250 và 89.249.65.220
- Rà soát hệ thống và xóa các thư mục, tập tin mã độc có kích thước tương ứng như:
syschk.ps1 (318 KB)
MD5: 26466867557F84DD4784845280DA1F27
SHA-1: ED7FCB9023D63CD9367A3A455EC94337BB48628A
hs.exe (259 KB)
MD5: BDA82F0D9E2CB7996D2EEFDD1E5B41C4
SHA-1: 9FF715209D99D2E74E64F9DB894C114A8D13229A
Nếu muốn kiểm tra mã MD5 và SHA-1, người dùng chỉ cần truy cập vào địa chỉ https://nirsoft.net/utils/hashmyfiles.zip, giải nén và khởi chạy tập tin. Sau đó, tìm đến tập tin cần kiểm tra rồi đối chiếu lại mã MD5 và SHA-1 trong phần mềm với phía trên.
Nếu mã MD5 và SHA-1 giống nhau thì tập tin trên máy tính là phần mềm độc hại. Để xóa cả hai tập tin, bạn cần phải tắt tiến trình của chúng bằng cách tải về phần mềm Process Explorer, mở ứng dụng rồi tìm đến các tiến trình có tên như trên và nhấn Kill Process hoặc Suppend. Cuối cùng, xóa hai tập tin ra khỏi hệ thống.