Các mối đe dọa chủ yếu liên quan đến tiền điện tử và phần mềm gián điệp (đã được thương mại hóa), cũng như các cuộc tấn công vào những chuỗi cung ứng chính. Xu hướng này là một trong những phát hiện nằm trong báo cáo Quý I năm 2019 về các mối đe dọa mạng của Kaspersky Lab.
Báo cáo Xu hướng APT hàng quý được rút ra từ dự báo mối đe dọa mạng của Kaspersky Lab, nêu bật những phát hiện chính mà các nhà nghiên cứu bảo mật từ Kaspersky Lab muốn thông tin đến người dùng.
Trong báo cáo quý I này, các nhà nghiên cứu của Kaspersky Lab đã phát hiện chiến dịch tấn công có chủ đích (APT) được xác định là hoạt động Shadow Hammer: một chiến dịch có chủ đích, sử dụng chuỗi cung ứng để phân tán mã độc trên quy mô lớn, kết hợp với kỹ thuật tiên tiến nhắm đến những nạn nhân được tính toán từ trước.
Báo cáo tóm tắt xu hướng cũng nêu một số điểm nổi bật đáng chú ý như:
- Địa chính trị đóng vai trò là động lực chính cho hoạt động APT - thường có mối tương quan giữa hoạt động chính trị và hoạt động mạng độc hại có chủ đích.
- Đông Nam Á vẫn là khu vực có hoạt động APT mạnh mẽ nhất thế giới, với nhiều nhóm tin tặc nguy hiểm hơn, “ồn ào” hơn và nhắm mục tiêu vào khu vực Đông Nam Á nhiều hơn bất kỳ nơi khác trên thế giới.
- Các tin tặc đến từ Trung Quốc tiếp tục duy trì hoạt động bằng nhiều chiến dịch tấn công với mức độ tinh vi khác nhau. Chẳng hạn, nhóm hacker CactusPete - hoạt động từ năm 2012 - được phát hiện đã có trong tay nhiều công cụ tấn công tiên tiến, tạo ra được rất nhiều biến thể cửa hậu (backdoors) đã được người dùng tải về, hay cải biến lỗ hổng zero-day trong VBScript mà trước đây từng được nhóm DarkHotel khai thác.
- Các nhà cung cấp phần mềm gián điệp “thương mại” nhằm tấn công chính phủ và các đơn vị khác đang phát triển mạnh. Những nhà nghiên cứu đã quan sát thấy biến thể mới của FinSpy, cũng như vụ rò rỉ dữ liệu của HackingTeam bị tấn công bởi nhóm tin tặc LuckyMouse.
Ông Vicente Diaz, nhà nghiên cứu bảo mật tại nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab chia sẻ: “Nhìn lại những sự kiện đã xảy ra trong quý luôn mang đến nhiều bất ngờ. Ngay cả khi nghĩ rằng không có gì nghiêm trọng đã diễn ra, nhưng chúng tôi lại nhận thấy nhiều sự kiện đáng chú ý với những diễn biến khác nhau - như trong quý I xuất hiện nhiều cuộc tấn công chuỗi cung ứng tinh vi, tấn công vào tiền điện tử và sự thúc đẩy từ địa chính trị”.
Nhà nghiên cứu cũng chia sẻ thêm: “Chúng tôi biết rằng kết quả nghiên cứu của mình không thể bao quát hoàn toàn và sẽ có những hoạt động mà chúng tôi chưa phát hiện ra hoặc chưa giải thích được, vì vậy nếu một khu vực hoặc nhân tố chưa xuất hiện trong dự báo mối đe dọa của chúng tôi hiện tại không có nghĩa là nó sẽ không xuất hiện trong tương lai. Do đó, người dùng nên tự bảo vệ mình khỏi các mối đe dọa đã biết và chưa biết”.
Báo cáo cũng tóm tắt những phát hiện về dự báo mối đe dọa dành cho người dùng Kaspersky Lab, bao gồm dữ liệu về chỉ số thỏa hiệp (IOC) và các quy tắc YARA (công cụ quan trọng, phổ biến của nhà nghiên cứu an ninh cho phép tìm và nhóm các mẫu phần mềm độc hại dựa trên các đặc điểm và các mẫu, đặc biệt là trong trường hợp của Fileless Malware) để hỗ trợ điều tra và phát hiện phần mềm độc hại.
Để tránh trở thành nạn nhân của cuộc tấn công có chủ đích, các nhà nghiên cứu của Kaspersky Lab khuyến nghị người dùng thực hiện các biện pháp như cung cấp cho Trung tâm điều hành an ninh (SOC - Security Operation Center) các thông tin đe dọa mạng mới nhất để họ luôn cập nhật những công cụ và kỹ thuật được tội phạm mạng đang sử dụng.
Để phát hiện, điều tra và khắc phục kịp thời những đe dọa mạng điểm cuối, người dùng hãy triển khai các giải pháp EDR (Endpoint Detection Response) như Kaspersky Endpoint Detection and Response.
Ngoài việc áp dụng phương pháp bảo vệ điểm cuối thiết yếu, hãy triển khai giải pháp bảo mật giúp công ty phát hiện các mối đe dọa tinh vi ở giai đoạn đầu, chẳng hạn như Kaspersky Anti Targeted Attack Platform.
Vì nhiều cuộc tấn công có chủ đích bắt đầu bằng lừa đảo qua nền tảng mạng xã hội, hãy chú trọng đến hoạt động đào tạo nâng cao nhận thức bảo mật và rèn luyện các kỹ năng thực tế.