Tấn công mạng, phát tán phần mềm độc hại vẫn phức tạp
Khi bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng nhanh chóng điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây nên những thiệt hại đáng kể cho các doanh nghiệp thuộc mọi quy mô, trong bất kể lĩnh vực hay khu vực địa lý nào.
Trên phạm vi toàn cầu, ông Derek Manky, Giám đốc Chiến lược An ninh mạng và Nghiên cứu Mối đe dọa toàn cầu của FortiGuard Labs cho biết: “Tội phạm mạng đang có xu thế tăng cường nhiều kỹ thuật do thám hơn và triển khai các phương án tấn công tinh vi hơn nhằm kích hoạt các nỗ lực phá hoại bằng các phương pháp đe dọa giống APT, chẳng hạn như mã độc wiper hoặc các hình thức payload nâng cao khác (dữ liệu vận chuyển một gói tin giữa 2 đối tác)”.
Trong khi đó, tại Việt Nam, theo ông Nguyễn Gia Đức, Giám đốc quốc gia của Fortinet tại thị trường Việt Nam cho hay, các cuộc tấn công mạng, phát tán phần mềm độc hại vẫn diễn biến phức tạp. Trong quý 4/2022, trung bình mỗi ngày tại Việt Nam có tới 44 triệu mối đe dọa về an ninh mạng, liên quan đến virus, botnet, exploit...
Đặc biệt, với việc ứng dụng các công nghệ như AI, học máy, các mối đe dọa, phần mềm độc hại ngày càng trở nên tinh vi, tình hình an toàn thông tin vì thế cũng ngày càng phức tạp.
Ransomware vẫn là mối đe dọa lớn trên toàn cầu và chưa có dấu hiệu chững lại
Từ kết quả của các hoạt động ứng phó sự cố, FortiGuard Labs cho biết tội phạm mạng có động cơ tài chính gây ra số lượng sự cố cao nhất (73,9%), thứ hai là do hoạt động gián điệp (13%).
Trong cả năm 2022, 82% tội phạm mạng có động cơ tài chính liên quan đến việc sử dụng mã độc tống tiền (ransomware) hoặc các đoạn mã độc. Điều này chứng tỏ rằng ransomware vẫn là mối đe dọa lớn trên toàn cầu và chưa có dấu hiệu chững lại khi dịch vụ cung cấp mã độc tống tiền (RaaS) trên dark web ngày càng trở nên phổ biến hơn.
Trong khi đó, lỗ hổng Log4j vẫn phổ biến rộng rãi và là mục tiêu của tội phạm mạng. Ngay cả khi lỗ hổng Log4j được công khai rộng rãi trong năm 2021 và đầu năm 2022, rất nhiều tổ chức vẫn chưa vá hoặc chưa áp dụng các biện pháp kiểm soát bảo mật phù hợp để tự bảo vệ trước một trong những lỗ hổng đáng chú ý nhất trong lịch sử.
Trong nửa cuối năm 2022, Log4j vẫn là lỗ hổng xếp ở vị trí thứ 2, hoạt động mạnh mẽ ở tất cả các khu vực. Theo FortiGuard Labs, 41% các tổ chức đã phát hiện hoạt động của Log4j, cho thấy mối đe dọa này vẫn đang ở mức độ lan rộng như thế nào. Hoạt động của hệ thống ngăn ngừa xâm nhập (IPS) của Log4j phổ biến nhất trong các lĩnh vực công nghệ, giáo dục, khu vực chính phủ, và điều này không có gì đáng ngạc nhiên bởi Apache Log4j phổ biến dưới dạng phần mềm nguồn mở.
Ngoài ra, Báo cáo Toàn cảnh các Mối đe dọa toàn cầu nửa cuối năm 2022 của FortiGuard Labs cũng cho thấy, mã độc wiper có tính phá hoại giống các cuộc tấn công có chủ đích (APT) lây lan rộng rãi trong năm 2022.
Theo FortiGuard Labs, phân tích dữ liệu mã độc wiper cho thấy xu hướng tội phạm mạng liên tục sử dụng các kỹ thuật tấn công phá hoại nhằm vào các mục tiêu chúng nhắm đến. Điều này cũng cho thấy với việc không có biên giới trên Internet, tội phạm mạng có thể dễ dàng mở rộng quy mô các loại hình tấn công nhờ sự hậu thuẫn của mô hình Dịch vụ tội phạm mạng (CaaS).
Đầu năm 2022, FortiGuard Labs đã cảnh báo về sự xuất hiện của một số mã độc wiper mới trong bối cảnh leo thang xung đột giữa Nga và Ukraine. Cuối năm ngoái, mã độc wiper đã mở rộng sang các quốc gia khác, khiến các hoạt động liên quan đến mã độc wiper gia tăng 53% chỉ riêng trong thời gian từ quý 3 đến quý 4.
Đáng chú ý, quỹ đạo của mã độc wiper có khả năng gây phá hoại nghiêm trọng dường như chưa có dấu hiệu chậm lại dựa trên ghi nhận số lượng hoạt động quan sát được trong quý 4, nghĩa là bất kỳ tổ chức nào cũng có thể trở thành mục tiêu tiềm năng, chứ không phải chỉ các tổ chức có trụ sở tại Ukraine hoặc các quốc gia lân cận.
Sự hồi sinh của botnet cũ thể hiện khả năng phục hồi các chuỗi cung ứng của tội phạm mạng
Bản chất của tội phạm mạng là dám làm mọi thứ và luôn tìm cách tối đa hóa các khoản đầu tư và hiểu biết hiện có để có thể thực hiện các cuộc tấn công hiệu quả hơn, đem về nhiều lợi nhuận hơn. Tái sử dụng mã là một phương thức hiệu quả và sinh lợi cao để tội phạm có thể phát triển các loại mã độc mới dựa trên những thành công đã đạt được và thực hiện các thay đổi lặp đi lặp lại, qua đó tinh chỉnh các cuộc tấn công và vượt qua các chướng ngại của hệ thống phòng thủ.
Theo đó, khi FortiGuard Labs phân tích mã độc phổ biến nhất trong nửa cuối năm 2022, phần lớn các vị trí hàng đầu đều thuộc về một loại mã độc hơn 1 năm tuổi. Ngoài ra, FortiGuard Labs cũng đã thực hiện kiểm tra thêm một tập hợp nhiều biến thể Emotet để phân tích xu hướng mượn và sử dụng lại mã.
Kết quả nghiên cứu cho thấy Emotet đã trải qua quá trình tiến hóa đáng kể với nhiều biến thể xâm nhập vào khoảng 6 “loài” mã độc khác. Tội phạm mạng không chỉ tự động hóa mà còn tích cực cải tiến mã để khiến cho các mối đe dọa trở nên nguy hiểm hơn.
Ngoài việc tái sử dụng mã, tội phạm cũng đang tận dụng cơ sở hạ tầng hiện hữu và các mối đe dọa cũ để tối đa hóa cơ hội. Khi kiểm tra các mối đe dọa botnet theo mức độ phổ biến, FortiGuard Labs nhận thấy nhiều botnet hàng đầu hiện nay không phải là mới.
Chẳng hạn như, botnet Morto được quan sát thấy lần đầu tiên vào năm 2011, đã xuất hiện trở lại vào cuối năm 2022. Các botnet khác như Mirai và Gh0st.Rat tiếp tục phổ biến ở tất cả các khu vực.
Theo các chuyên gia của FortiGuard Labs, mặc dù luôn mong muốn và nỗ lực khai tử các mối đe dọa cũ, biến chúng thành quá khứ, nhưng các tổ chức trong bất kỳ lĩnh vực nào vẫn phải tiếp tục nêu cao cảnh giác. Các botnet “cổ điển” này vẫn còn phổ biến là bởi chúng vẫn rất hiệu quả. Tội phạm mạng thủ đoạn sẽ vẫn tiếp tục tận dụng cơ sở hạ tầng của các botnet hiện có và phát triển thành các phiên bản trường kỳ hơn với các kỹ thuật chuyên môn cao vì lý do lợi nhuận.
Cụ thể, trong nửa cuối năm 2022, các mục tiêu quan trọng của Mirai bao gồm các nhà cung cấp dịch vụ bảo mật được quản lý (MSSPs), lĩnh vực viễn thông/vận tải và lĩnh vực sản xuất được biết đến nhiều bởi ứng dụng công nghệ vận hành (OT). Tội phạm mạng đang nỗ lực nhắm vào các ngành nghề này bằng các phương pháp tấn công đã được chứng minh là hiệu quả.
Một số khuyến nghị
Theo Fortinet, khoanh vùng các lỗ hổng bảo mật giúp chỉ ra “Red Zone” dễ bị tấn công, từ đó có thể hỗ trợ các Giám đốc an toàn thông tin (CISO) thiết lập mức độ ưu tiên.
Cụ thể, khai thác và phân tích các xu hướng tấn công sẽ cho thấy mục tiêu và những gì tội phạm mạng quan tâm khi tiến hành tấn công hay thăm dò cho các cuộc tấn công trong tương lai.
Chẳng hạn như, FortiGuard Labs sở hữu lượng thông tin lưu trữ khổng lồ về các lỗ hổng đã được biết đến và thông qua phân tích dữ liệu có thể xác định các lỗ hổng đang bị khai thác tích cực trong thời gian thực và lập bản đồ các vùng có nguy cơ rủi ro cao trên bề mặt tấn công.
Điều này giúp các CISO có cái nhìn rõ ràng về “Red Zone” thông qua thông tin tình báo về bề mặt tấn công mà họ nên ưu tiên dành nỗ lực để giảm thiểu rủi ro và nơi nên tập trung các nỗ lực vá lỗ hổng bảo mật.
Bên cạnh đó, việc phân tích các chiến lược tội phạm mạng sử dụng giúp các tổ chức, doanh nghiệp có được những kiến thức giá trị về cách thức phát triển các kỹ thuật và chiến thuật tấn công, qua đó nâng cao khả năng tự bảo vệ trước các kịch bản tấn công trong tương lai.
Ngoài ra, trong bối cảnh RaaS ngày càng phát triển, quan hệ đối tác toàn cầu giữa tất cả các loại hình tổ chức sẽ đóng vai trò quan trọng trong việc loại giảm thiểu các hoạt động tội phạm. Theo các chuyên gia FortiGuard Labs, để phá vỡ các chuỗi cung ứng của tội phạm mạng một cách hiệu quả, cần có nỗ lực của các tổ chức toàn cầu với các mối quan hệ và sự cộng tác mạnh mẽ, đáng tin cậy giữa các bộ phận phụ trách an ninh mạng trong các ngành nghề, trong các tổ chức ở lĩnh vực công và tư.
Nhận định về cách phòng thủ an ninh mạng, ông Derek Manky, cũng cho biết: “Để chống lại các chiến thuật tấn công trường kỳ tiên tiến của tội phạm mạng, các tổ chức cần tập trung vào việc thu thập thông tin tình báo từ máy học và khiến các thông tin đó tự đưa ra hành động phòng vệ trong thời gian thực trên tất cả các thiết bị bảo mật, qua đó có thể phát hiện các hành động đáng ngờ và giúp giảm thiểu thiệt hại trên khắp bề mặt tấn công mở rộng”.
Để sớm phát hiện và ngăn chặn mối đe dọa có thể giúp các tổ chức nhanh chóng phát hiện và ứng phó với các sự cố bảo mật trên toàn bộ bề mặt tấn công, Fortinet cũng cung cấp bộ giải pháp bảo mật gồm nhiều công cụ mạnh mẽ cho doanh nghiệp như Tường lửa thế hệ mới (NGFW), giải pháp đo lường và phân tích mạng từ xa, phát hiện và phản ứng điểm cuối (EDR), phát hiện và phản hồi mở rộng (XDR), phòng chống rủi ro kỹ thuật số (DRP), giải pháp Quản lý và phân tích sự kiện an toàn thông tin (SIEM),…
Ngoài ra, để bổ sung cho các giải pháp này và hỗ trợ các nhóm chuyên trách đang chịu áp lực thiếu hụt nhân lực có kỹ năng cao về an ninh mạng, Fortinet cũng cung cấp các dịch vụ phản hồi và thông tin về mối đe dọa ứng dụng máy học. Các dịch vụ này cung cấp thông tin cập nhật về các mối đe dọa an ninh mạng mới nhất qua đó cho phép doanh nghiệp phản ứng nhanh với các sự cố bảo mật, giảm thiểu tác động lên tổ chức của họ.
Các dịch vụ đảm bảo an toàn thông tin (SOC) do con người đảm nhận cùng với hoạt động tình báo mối đe dọa của Fortinet cũng giúp các nhóm bảo mật có sự chuẩn bị tốt hơn khi phải ứng phó với các mối đe dọa mạng nhờ khả năng giám sát mối đe dọa và ứng phó với sự cố trong thời gian thực./.