Các nhóm tội phạm đang nâng cao kỹ thuật tấn công

Hôm nay (7/10/2020), Microsoft đã công bố bản báo cáo thường niên Phòng thủ kỹ thuật số (Digital Defense Report) với các thông tin về xu hướng an ninh mạng trong năm qua.
15:51 PM 07/10/2020 In bài viết này

Theo báo cáo này, tội phạm mạng ngày một tinh vi hơn, chúng sử dụng các kỹ thuật khó phát hiện và tinh vi nhất. Ví dụ: tin tặc làm việc cho chính phủ đang nghiên cứu các kỹ thuật do thám mới để tăng khả năng xâm nhập các mục tiêu có giá trị cao; trong khi đó, các nhóm tội phạm nhắm vào doanh nghiệp (DN) thì chuyển cơ sở hạ tầng của chúng lên đám mây để ngụy trang trong các dịch vụ hợp pháp; những kẻ tấn công cũng phát triển các phương thức mới để truy lùng các hệ thống dễ bị tấn công bởi ransomware trên mạng Internet.

Các mối đe dọa mạng đang ngày càng tinh vi hơn - Ảnh 1.

Báo cáo thường niên Digital Defense Report của Micrsoft.

Ngoài việc các cuộc tấn công ngày càng trở nên phức tạp hơn, tội phạm mạng cũng thể hiện sự ưa chuộng rõ ràng đối với một số kỹ thuật nhất định như: thu thập thông tin đăng nhập, ransomware, hay tập trung vào các thiết bị (IoT). Dưới đây là một số thống kê quan trọng về các xu hướng này:

- Trong năm 2019, Microsoft đã chặn hơn 13 tỷ thư độc hại và đáng ngờ, trong số đó có hơn 1 tỷ URL được thiết lập với mục đích rõ ràng là đánh cắp thông tin xác thực.

- Ransomware là lý do hàng đầu đằng sau các cam kết ứng phó sự cố của Microsoft từ tháng 10/2019 - tháng 7/2020.

- Các kỹ thuật tấn công phổ biến nhất được tin tặc làm việc cho chính phủ sử dụng trong năm qua là do thám, thu thập thông tin đăng nhập, phần mềm độc hại và khai thác mạng riêng ảo (VPN).

- Các mối đe dọa IoT không ngừng mở rộng và phát triển. Trong nửa đầu năm 2020, tổng số vụ tấn công IoT tăng khoảng 35% so với nửa cuối năm 2019.

Trước mức độ tinh vi của các cuộc tấn công trong năm qua, hơn bao giờ hết chúng ta cần thiết lập những quy định mới cho không gian mạng: tất cả các tổ chức, cho dù là cơ quan chính phủ hay DN, cần đầu tư vào con người và công nghệ để giúp ngăn chặn các cuộc tấn công; cá nhân phải thực hiện các nguyên tắc an toàn cơ bản, bao gồm cập nhật bảo mật thường xuyên, tuân thủ các chính sách sao lưu toàn diện và đặc biệt là sử dụng xác thực đa yếu tố (MFA). Số liệu thống kê của Microsoft cho thấy chỉ riêng việc kích hoạt MFA đã có thể ngăn chặn thành công phần lớn các cuộc tấn công.

Dưới đây là một số thông tin quan trọng nhất trong báo cáo năm nay, bao gồm cả khuyến nghị cho cá nhân và DN.

Các nhóm tội phạm đang nâng cao kỹ thuật tấn công

Các nhóm tội phạm sở hữu kỹ năng tuyệt vời và thường hành động dứt khoát. Chúng có thể nâng cao các kỹ thuật tấn công để tăng tỷ lệ thành công bằng cách thử nghiệm các chiêu trò lừa đảo khác nhau, điều chỉnh các loại tấn công mà chúng đã sử dụng hoặc tìm cách mới để che giấu hành vi tấn công.

Trong những tháng vừa qua, Microsoft nhận thấy, tội phạm mạng sử dụng các chiến thuật và phần mềm độc hại đã có từ lâu để đánh vào sự tò mò và nhu cầu thông tin của mọi người. Chúng là những kẻ cơ hội biết thay đổi chủ đề hàng ngày để phù hợp với chu kỳ tin tức, như cách chúng làm với chủ đề đại dịch COVID-19.

Dù số lượng phần mềm độc hại tổng thể tương đối nhất quán theo thời gian, những kẻ tấn công đã lợi dụng mối quan tâm toàn cầu về đại dịch COVID-19 để tấn công các tổ chức, DN và cá nhân. Trong những tháng gần đây, số lượng các cuộc tấn công lừa đảo (phishing) lấy chủ đề COVID-19 đã giảm xuống. Các chiến dịch tấn công này đã được sử dụng để nhắm vào người dùng Internet nói chung, cũng như nhắm vào các ngành thiết yếu như chăm sóc sức khỏe nói riêng.

Trong những năm qua, phần mềm độc hại là phương thức tấn công ưa thích của tội phạm mạng. Tuy nhiên gần đây, đa phần đã chuyển sang sử dụng phương thức tấn công lừa đảo (phishing) (~ 70%) để thu thập thông tin đăng nhập của người dùng. Để lừa người dùng cung cấp thông tin đăng nhập, những kẻ tấn công thường gửi email lấy danh nghĩa các thương hiệu hàng đầu. Dựa trên phép đo từ xa Office 365 của Microsoft, các thương hiệu phổ biến nhất được sử dụng trong các cuộc tấn công loại này là Microsoft, UPS, Amazon, Apple và Zoom.

Ngoài ra, Microsoft cũng nhận ra rằng các chiến dịch tấn công đang được thay đổi liên tục để tránh bị phát hiện. Chúng thay đổi tên miền gửi, địa chỉ email, mẫu nội dung và miền URL với mục đích kết hợp các biến thể để không bị phát hiện.

Tin tặc làm việc cho chính phủ đang chuyển đổi mục tiêu

Các tin tặc làm việc cho chính phủ đã chuyển mục tiêu tấn công để phù hợp với mục đích chính trị ở các quốc gia nơi họ làm việc.

Theo những gì Microsoft quan sát được, 16 tin tặc làm việc cho chính phủ khác nhau hoặc là nhắm tới đối tượng là khách hàng đang tham gia vào các nỗ lực ứng phó với đại dịch COVID-19 toàn cầu, hoặc là sử dụng các chiêu dụ lấy chủ đề khủng hoảng để mở rộng chiến thuật đánh cắp thông tin đăng nhập và phân tán phần mềm độc hại. Các cuộc tấn công theo chủ đề COVID này nhắm vào các tổ chức y tế lớn thuộc chính phủ nhằm do thám mạng lưới hoặc người dùng của họ. Các tổ chức học thuật và thương mại liên quan đến nghiên cứu vắc-xin cũng là mục tiêu của chúng.

Trong những năm gần đây, các tổ chức ngày càng chú tâm xử lý những lỗ hổng trong cơ sở hạ tầng quan trọng của họ. Hiển nhiên là chúng ta vẫn phải duy trì cảnh giác và tiếp tục tăng cường an ninh cho các cơ sở hạ tầng quan trọng vì nó vẫn sẽ tiếp tục là mục tiêu hấp dẫn đối với các tin tặc làm việc cho chính phủ.

Tuy nhiên, trong năm qua, các tin tặc này lại chủ yếu tập trung vào các loại hình tổ chức khác. Trên thực tế, 90% cảnh báo cấp quốc gia của Microsoft trong năm qua được gửi đến các tổ chức không vận hành cơ sở hạ tầng quan trọng. Các mục tiêu bị tấn công phổ biến bao gồm các tổ chức phi chính phủ (NGO), các nhóm vận động chính sách, các tổ chức nhân quyền và các tổ chức tư vấn tập trung vào chính sách công, các vấn đề quốc tế hoặc an ninh.

Xu hướng này cho thấy các tin tặc làm việc cho chính phủ đang nhắm đến những tổ chức hoạt động trong lĩnh vực chính sách công và địa chính trị, đặc biệt là những tổ chức có thể tác động tới việc xây dựng các chính sách chính thức của chính phủ. Hầu hết các hoạt động mà Microsoft quan sát được trong năm qua bắt nguồn từ các nhóm tin tặc ở Nga, Iran, Trung Quốc và Triều Tiên.

Mỗi tin tặc làm việc cho chính phủ mà Microsoft theo dõi đều có những kỹ thuật ưa thích riêng và báo cáo của Microsoft đã nêu chi tiết các kỹ thuật ưa thích của một số nhóm hoạt động tích cực nhất.

Ransomware tiếp tục là mối đe dọa lớn

Bộ An ninh Nội địa, FBI và các tổ chức an ninh khác đã cảnh báo tất cả chúng ta về ransomware, đặc biệt là khả năng nó được sử dụng để chống phá cuộc bầu cử năm 2020 tại Mỹ. Những thông tin mà Microsoft có được cũng chứng minh những lo ngại này là có cơ sở.

Các tệp mã hóa, tệp bị mất cũng như thông báo đòi tiền chuộc hiện đã trở thành nỗi sợ hàng đầu đối với hầu hết các nhóm điều hành. Thông qua phân tích khuôn mẫu tấn công, Microsoft nhận thấy, tội phạm mạng thường xác định những thời điểm thay đổi đóng băng (ví dụ: ngày lễ), tức là khi các tổ chức khó thực hiện các thay đổi (ví dụ: vá hệ thống) để củng cố mạng của họ. Chúng nhận thức được khi nào tổ chức có những nhu cầu kinh doanh quan trọng khiến họ thà trả tiền chuộc hơn là để hệ thống ngừng hoạt động, chẳng hạn như trong chu kỳ thanh toán của các ngành y tế, tài chính và pháp lý.

Những kẻ tấn công đã khai thác cuộc khủng hoảng COVID-19 để giảm thời gian chờ trong hệ thống của nạn nhân, sau đó nhanh chóng tiến hành các hoạt động xâm phạm, lấy cắp dữ liệu và trong một số trường hợp, tống tiền nạn nhân. Rõ ràng chúng tin rằng nạn nhân sẽ chi tiền một cách dễ dàng hơn trong thời gian dịch bệnh bùng phát. Trong một số trường hợp, quá trình từ thời điểm xâm nhập ban đầu đến tống tiền toàn bộ mạng chỉ trong vòng chưa đầy 45 phút.

Đồng thời, chúng ta cũng thấy rằng các băng đảng ransomware do con người điều hành đang tiến hành các cuộc truy quét Internet quy mô lớn trên diện rộng để tìm kiếm các điểm dễ xâm nhập, sau đó chúng "để dành" quyền truy cập, chờ đợi thời cơ để hành động.

Xu hướng làm việc tại nhà đặt ra những thách thức mới

Đại dịch COVID-19 đã thúc đẩy xu hướng làm việc tại nhà, vốn đã được triển khai từ năm 2019.

Các chính sách bảo mật truyền thống trong phạm vi tổ chức khó thực thi hơn khi phải áp dụng trên một mạng rộng lớn bao gồm mạng gia đình, mạng riêng tư khác, hay các tài sản không được quản lý trong đường dẫn kết nối. Khi các tổ chức tiếp tục di chuyển ứng dụng lên đám mây, Microsoft nhận thấy tội phạm mạng đang tăng cường các cuộc tấn công từ chối dịch vụ (DDoS) phân tán để làm gián đoạn truy cập của người dùng và thậm chí gây nhiễu loạn để mở đường cho các hành vi xâm nhập độc hại hơn vào tài nguyên của tổ chức.

Các tổ chức cũng cần phải xác định yếu tố con người là nền tảng cho một lực lượng lao động an toàn bằng cách nghiên cứu kỹ lưỡng các thách thức như mối đe dọa từ nội bộ và hình thức tấn công phi kỹ thuật (social engineering). Trong một cuộc khảo sát gần đây do Microsoft thực hiện, 73% giám đốc an ninh thông tin cho biết tổ chức của họ đã gặp phải sự cố rò rỉ dữ liệu nhạy cảm và tràn dữ liệu trong 12 tháng qua và họ có kế hoạch chi nhiều hơn cho công nghệ chống rủi ro nội bộ xuất phát từ đại dịch COVID-19.

Trong nửa đầu năm 2020, Microsoft đã chứng kiến sự gia tăng các cuộc tấn công dựa trên danh tính sử dụng phương pháp brute force đối với tài khoản DN. Kỹ thuật tấn công này sử dụng khả năng đoán có hệ thống, danh sách mật khẩu, thông tin đăng nhập bị loại bỏ từ các vi phạm trước đó hoặc các phương pháp tương tự khác để xác thực cưỡng bức vào thiết bị hoặc dịch vụ. Với tần suất mật khẩu bị đoán, bị lừa, bị đánh cắp bằng phần mềm độc hại hoặc bị sử dụng lại hiện nay, người dùng nên kết nối mật khẩu với một số hình thức xác thực mạnh thứ hai. Đối với các tổ chức, kích hoạt xác thực đa yếu tố là một hành động cần thiết.

Nên áp dụng cách tiếp cận cộng đồng đối với an ninh mạng

Microsoft sử dụng kết hợp công nghệ, vận hành, hành động pháp lý và chính sách để phá vỡ và ngăn chặn hoạt động độc hại.

Ví dụ về một biện pháp kỹ thuật mà Microsoft sử dụng là đầu tư vào chiến dịch phân cụm tinh vi trong trong Microsoft 365 nhằm tạo điều kiện để các nhóm trong trung tâm điều hành an ninh (SOC) kết hợp các chiến dịch ngày càng phức tạp này từ phân mảng của họ. Microsoft cũng cố gắng gây khó khăn cho tội phạm mạng bằng cách làm gián đoạn hoạt động của chúng thông qua hành động pháp lý. Khi bị chiếm lấy cơ sở hạ tầng độc hại, chúng sẽ mất khả năng theo dõi, truy cập và hành động trên một loạt các tài sản trước đây thuộc quyền kiểm soát của chúng, buộc chúng phải xây dựng lại. Kể từ năm 2010, Đơn vị chống tội phạm kỹ thuật số của Microsoft đã hợp tác với cơ quan thực thi pháp luật và các đối tác khác trong 22 vụ gián đoạn bởi phần mềm độc hại và giải cứu 500 triệu thiết bị.

Ngay cả với tất cả các nguồn lực hiện tại mà Microsoft dành cho an ninh mạng, đóng góp đó sẽ chỉ là một phần nhỏ giúp giải quyết thách thức. Để tạo ra sự khác biệt thực sự đòi hỏi sự phối hợp các nhà hoạch định chính sách, cộng đồng DN, các cơ quan chính phủ và cuối cùng là các cá nhân và chúng ta chỉ có thể tạo được tác động đáng kể khi có sự hợp tác giữa các bên liên quan và thông tin được chia sẻ.

Tuấn Trần
Xem thêm