- Chuỗi cung ứng của tội phạm mạng đang gia tăng mức độ phức tạp và tinh vi nhằm chống lại các biện pháp phòng thủ ngày càng hoàn thiện hơn của tổ chức, doanh nghiệp…

Fortinet vừa công bố bản báo cáo mới nhất về Toàn cảnh các Mối đe dọa Toàn cầu nửa cuối năm 2022 của FortiGuard Labs. Khi bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng có thể thiết kế và điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây nên những thiệt hại đáng kể cho các doanh nghiệp thuộc mọi quy mô, trong bất kể lĩnh vực hay khu vực địa lý nào.

Mã độc Wiper có tính phá hoại giống các cuộc tấn công có chủ đích (APT) lây lan rộng trong năm 2022

Phân tích dữ liệu mã độc wiper cho thấy xu hướng tội phạm mạng liên tục sử dụng các kỹ thuật tấn công phá hoại nhằm vào các mục tiêu chúng nhắm đến. Điều này cũng cho thấy với việc không có biên giới trên Internet, tội phạm mạng có thể dễ dàng mở rộng quy mô các loại hình tấn công nhờ sự hậu thuẫn của mô hình Dịch vụ tội phạm mạng (CaaS).

Đầu năm 2022, FortiGuard Labs đã cảnh báo về sự xuất hiện của một số mã độc wiper mới trong bối cảnh leo thang xung đột giữa Nga và Ukraina. Cuối năm ngoái, mã độc wiper đã mở rộng sang các quốc gia khác, khiến các hoạt động liên quan đến mã độc wiper gia tăng 53% chỉ riêng trong thời gian từ quý 3 đến quý 4.

 Một vài trong số những hoạt động này có thể ban đầu được các tổ chức chính phủ liên quan đến cuộc xung đột phát triển và khai thác thông qua mã độc wiper, nhưng sau đó được các nhóm tội phạm mạng thu thập và làm lây lan ra ngoài phạm vi châu Âu.

Thật không may, quỹ đạo của mã độc wiper có khả năng gây phá hoại nghiêm trọng dường như chưa có dấu hiệu chậm lại dựa trên ghi nhận số lượng hoạt động quan sát được trong quý 4, nghĩa là bất kỳ tổ chức nào cũng có thể trở thành mục tiêu tiềm năng, chứ không phải chỉ các tổ chức có trụ sở tại Ukraina hoặc các quốc gia lân cận.

Khoanh vùng các lỗ hổng bảo mật giúp chỉ ra “Red Zone” dễ bị tấn công, nhờ đó hỗ trợ các CISO thiết lập mức độ ưu tiên

Trong nửa cuối năm 2022, chưa đến 1% tổng số lỗ hổng quan sát được phát hiện trong một tổ chức quy mô cỡ như một doanh nghiệp nằm tại các thiết bị đầu cuối và đang tích cực bị tấn công. Điều này giúp các Giám đốc an toàn thông tin có cái nhìn rõ ràng về “Red Zone” thông qua thông tin tình báo về bề mặt tấn công mà họ nên ưu tiên dành nỗ lực để giảm thiểu rủi ro và nơi nên tập trung các nỗ lực vá lỗ hổng bảo mật.

Tội phạm mạng có động cơ tài chính và mối đe dọa từ mã độc tống tiền đang ở mức cao

Từ thông tin kết quả của các hoạt động Ứng phó sự cố (IR), FortiGuard Labs nhận thấy thấy tội phạm mạng có động cơ tài chính gây ra số lượng sự cố cao nhất (73,9%), thứ hai là do hoạt động gián điệp (13%).

Trong cả năm 2022, 82% tội phạm mạng có động cơ tài chính liên quan đến việc sử dụng mã độc tống tiền hoặc các đoạn mã độc. Điều này chứng tỏ rằng mã độc tống tiền vẫn là mối đe dọa lớn trên toàn cầu và chưa có dấu hiệu chững lại khi Dịch vụ cung cấp mã độc tống tiền (RaaS) trên dark web ngày càng trở nên phổ biến hơn.

Trên thực tế, số lượng mã độc tống tiền đã tăng 16% từ nửa đầu năm 2022. Trong tổng số 99 loại ransomware quan sát được, 5 loại top đầu chiếm khoảng 37% tổng số hoạt động của ransomware trong nửa cuối năm 2022. GandCrab, một mã độc RaaS xuất hiện trong năm 2018, đứng đầu danh sách. Mặc dù những tên tội phạm đứng sau GandCrab đã thông báo rằng chúng sẽ nghỉ hưu sau khi kiếm được hơn 2 tỷ đô la lợi nhuận, nhưng thực tế vẫn thấy nhiều phiên bản mới của GandCrab ngay trong thời gian mã độc này đang hoành hành.

Có thể di sản của nhóm tội phạm này vẫn đang tồn tại hoặc đơn giản là mã được tạo ra, thay đổi và phát hành lại. Rõ ràng là quan hệ đối tác toàn cầu giữa tất cả các loại hình tổ chức sẽ đóng vai trò quan trọng trong việc loại bỏ vĩnh viễn các hoạt động tội phạm. Để phá vỡ các chuỗi cung ứng của tội phạm mạng một cách hiệu quả, cần có nỗ lực của các tổ chức toàn cầu với các mối quan hệ và sự cộng tác mạnh mẽ, đáng tin cậy giữa các bộ phận phụ trách an ninh mạng trong các ngành nghề, trong các tổ chức ở lĩnh vực công và tư.

Tái sử dụng mã thể hiện bản chất thủ đoạn của tội phạm mạng

Bản chất của tội phạm mạng là dám làm mọi thứ và luôn tìm cách tối đa hóa các khoản đầu tư và hiểu biết hiện có để có thể thực hiện các cuộc tấn công hiệu quả hơn, đem về nhiều lợi nhuận hơn. Tái sử dụng mã là một phương thức hiệu quả và sinh lợi cao để tội phạm có thể phát triển các loại mã độc mới dựa trên những thành công đã đạt được và thực hiện các thay đổi lặp đi lặp lại, qua đó tinh chỉnh các cuộc tấn công và vượt qua các chướng ngại của hệ thống phòng thủ.

Khi FortiGuard Labs phân tích mã độc phổ biến nhất trong nửa cuối năm 2022, phần lớn các vị trí hàng đầu đều thuộc về một loại mã độc hơn một năm tuổi. FortiGuard Labs đã kiểm tra thêm một tập hợp nhiều biến thể Emotet để phân tích xu hướng mượn và sử dụng lại mã. Nghiên cứu cho thấy Emotet đã trải qua quá trình tiến hóa đáng kể với nhiều biến thể xâm nhập vào khoảng sáu “loài” mã độc khác. Tội phạm mạng không chỉ tự động hóa mà còn tích cực cải tiến mã để khiến cho các mối đe dọa trở nên nguy hiểm hơn.

Sự hồi sinh của Botnet cũ thể hiện khả năng phục hồi các chuỗi cung ứng của tội phạm mạng

Ngoài việc tái sử dụng mã, tội phạm cũng đang tận dụng cơ sở hạ tầng hiện hữu và các mối đe dọa cũ để tối đa hóa cơ hội. Khi kiểm tra các mối đe dọa botnet theo mức độ phổ biến, FortiGuard Labs nhận thấy nhiều botnet hàng đầu hiện nay không phải là mới. Ví dụ, botnet Morto được quan sát thấy lần đầu tiên vào năm 2011, đã xuất hiện trở lại vào cuối năm 2022. Các botnet khác như Mirai và Gh0st.Rat tiếp tục phổ biến ở tất cả các khu vực. Ngạc nhiên là trong số 5 botnet hàng đầu quan sát được, chỉ có RotaJakiro được tạo ra từ thập kỷ này.

Mặc dù luôn mong muốn và nỗ lực khai tử các mối đe dọa cũ, biến chúng thành quá khứ, nhưng các tổ chức trong bất kỳ lĩnh vực nào vẫn phải tiếp tục nêu cao cảnh giác. Các botnet “cổ điển” này vẫn còn phổ biến là bởi chúng vẫn rất hiệu quả. Tội phạm mạng thủ đoạn sẽ vẫn tiếp tục tận dụng cơ sở hạ tầng của các botnet hiện có và phát triển thành các phiên bản trường kỳ hơn với các kỹ thuật chuyên môn cao vì lý do lợi nhuận. Cụ thể, trong nửa cuối năm 2022, các mục tiêu quan trọng của Mirai bao gồm các nhà cung cấp dịch vụ bảo mật được quản lý (MSSPs), lĩnh vực viễn thông/vận tải và lĩnh vực sản xuất được biết đến nhiều bởi ứng dụng công nghệ vận hành (OT). Tội phạm mạng đang nỗ lực nhắm vào các ngành nghề này bằng các phương pháp tấn công đã được chứng minh là hiệu quả.

Lỗ hổng Log4j vẫn phổ biến rộng rãi và là mục tiêu của tội phạm mạng

Ngay cả khi lỗ hổng Log4j được công khai rộng rãi trong năm 2021 và đầu năm 2022, rất nhiều tổ chức vẫn chưa vá hoặc chưa áp dụng các biện pháp kiểm soát bảo mật phù hợp để tự bảo vệ trước một trong những lỗ hổng đáng chú ý nhất trong lịch sử.

Trong nửa cuối năm 2022, Log4j vẫn là lỗ hổng xếp ở vị trí thứ 2, hoạt động mạnh mẽ ở tất cả các khu vực. Trên thực tế, FortiGuard Labs nhận thấy 41% các tổ chức đã phát hiện hoạt động của Log4j, cho thấy mối đe dọa này vẫn đang ở mức độ lan rộng như thế nào. Hoạt động của hệ thống ngăn ngừa xâm nhập (IPS) của Log4j phổ biến nhất trong các lĩnh vực công nghệ, giáo dục, khu vực chính phủ,và  điều này không có gì đáng ngạc nhiên bởi Apache Log4j phổ biến dưới dạng phần mềm nguồn mở...

Phạm Lê