Theo Mandiant, sự gia tăng của các cuộc tấn công mã độc tống tiền, vốn được coi là ồn ào và tự lộ diện, là một lý do khiến thời gian phát hiện ngắn hơn được ghi nhận trong các cuộc tấn công trong năm 2020.
Dữ liệu cho thấy, các tổ chức đang ngày càng nhanh hơn trong việc tự phát hiện các cuộc xâm nhập, nhưng Mandiant cho rằng trong khi “tiếp tục phát triển và cải thiện khả năng phát hiện của tổ chức” là một yếu tố, thì yếu tố chính là sự gia tăng các cuộc tấn công mã độc tống tiền, tăng từ 14% năm 2019 lên 25% vào năm 2020.
Trong trường hợp tấn công bằng mã độc tống tiền, chúng thường được phát hiện nhanh chóng vì những kẻ tấn công thường tự hiện diện khi đòi tiền chuộc, sau khi đã mã hóa các tệp của nạn nhân và/hoặc đã đánh cắp dữ liệu của nạn nhân.
Trong các cuộc tấn công mã độc tống tiền do Mandiant điều tra, 78% có thời gian tồn tại từ 30 ngày trở xuống và chỉ 1% trong số các vụ này có thời gian tồn tại từ 700 ngày trở lên.
Dữ liệu này là một phần trong báo cáo M-Trends 2021 mới của Mandiant, dựa trên các cuộc điều tra do công ty thực hiện từ tháng 10/2019 đến tháng 9/2020 (khung thời gian này được gọi là năm 2020 trong báo cáo).
Theo Mandiant, 59% các vi phạm được điều tra trên toàn cầu trong giai đoạn này đã được phát hiện trong nội bộ. Trong khi đó, vào năm 2019, chỉ có 47% đã được phát hiện trong nội bộ.
“Thời gian tồn tại” là số ngày kẻ tấn công có mặt trong môi trường của mục tiêu trước khi chúng bị phát hiện - cũng giảm đáng kể vào năm 2020 so với năm trước, từ 56 ngày xuống còn 24 ngày. Xét riêng trong trường hợp các vụ vi phạm do bên ngoài phát hiện, thời gian tồn tại trung bình trong năm 2020 là 73 ngày, trong khi đối với những trường hợp tổ chức tự phát hiện, thời gian này chỉ là 12 ngày.
Điều thú vị là thời gian tồn tại trung bình trên toàn cầu chỉ là 5 ngày đối với mã độc tống tiền và 45 ngày đối với các vụ không phải mã độc tống tiền được Mandiant điều tra. Nhìn chung, thời gian tồn tại trung bình trên toàn cầu đã giảm liên tục trong thập kỷ qua, từ 416 ngày vào năm 2011 xuống còn 24 ngày vào năm 2020.
Tuy nhiên, báo cáo cũng cho thấy một số khác biệt đáng kể giữa các khu vực. Ví dụ, thời gian tồn tại ở châu Mỹ đã giảm từ 60 ngày vào năm 2019 xuống còn 17 ngày năm 2020, nhưng hơn 27% sự cố được điều tra ở khu vực này liên quan đến mã độc tống tiền.
“Số lượng lớn các cuộc điều tra liên quan đến mã độc tống tiền chắc chắn đã làm giảm thời gian tồn tại trung bình. Các sự cố mã độc tống tiền ở châu Mỹ có thời gian tồn tại trung bình chỉ 3 ngày và chiếm 41% các sự cố có thời gian tồn tại từ 14 ngày trở xuống”, Mandiant cho biết trong báo cáo của mình.
Ngược lại, thời gian tồn tại trung bình ở khu vực Châu Á - Thái Bình Dương tăng từ 54 ngày trong năm 2019 lên 76 ngày vào năm 2020, nhưng khu vực này cũng chứng kiến sự suy giảm các sự cố liên quan đến mã độc tống tiền. Khu vực Châu Âu, Trung Đông và Châu Phi cũng đã chứng kiến sự gia tăng tổng thể về thời gian lưu trú, từ 54 ngày vào năm 2019 lên 66 ngày vào năm 2020.
Về chiến thuật tấn công, Mandiant nhận thấy rằng những kẻ tấn công đã sử dụng 63% các kỹ thuật MITRE ATT&CK và 24% kỹ thuật phụ trong suốt khung thời gian được phân tích. Tuy nhiên, công ty cho biết, chỉ 37% các kỹ thuật được quan sát (23% của tất cả các kỹ thuật) được quan sát thấy trong hơn 5% các vụ xâm nhập mà họ đã điều tra.
Lưu ý rằng M-Trends là một trong số ít báo cáo mà SecurityWeek coi là bắt buộc cần phải biết, vì dữ liệu được tổng hợp từ các sự cố thực tế chứ không phải khảo sát mà các nhà cung cấp đưa ra với các câu hỏi được tạo ra để làm lệch kết quả để có lợi. Nói cách khác, đây là dữ liệu trong thế giới thực với các thông tin được phát hiện trong quá trình điều tra các sự cố của hàng trăm khách hàng, trong đó nhiều khách hàng là các tổ chức nổi tiếng.
Nguyễn Anh Tuấn (theo Security Week)
13:45 | 15/07/2015
13:00 | 12/02/2020
07:00 | 07/06/2021
15:00 | 31/05/2021
10:00 | 28/12/2020
13:00 | 11/06/2021
09:00 | 22/10/2021
17:00 | 29/10/2021
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024