Theo Mandiant, sự gia tăng của các cuộc tấn công mã độc tống tiền, vốn được coi là ồn ào và tự lộ diện, là một lý do khiến thời gian phát hiện ngắn hơn được ghi nhận trong các cuộc tấn công trong năm 2020.
Dữ liệu cho thấy, các tổ chức đang ngày càng nhanh hơn trong việc tự phát hiện các cuộc xâm nhập, nhưng Mandiant cho rằng trong khi “tiếp tục phát triển và cải thiện khả năng phát hiện của tổ chức” là một yếu tố, thì yếu tố chính là sự gia tăng các cuộc tấn công mã độc tống tiền, tăng từ 14% năm 2019 lên 25% vào năm 2020.
Trong trường hợp tấn công bằng mã độc tống tiền, chúng thường được phát hiện nhanh chóng vì những kẻ tấn công thường tự hiện diện khi đòi tiền chuộc, sau khi đã mã hóa các tệp của nạn nhân và/hoặc đã đánh cắp dữ liệu của nạn nhân.
Trong các cuộc tấn công mã độc tống tiền do Mandiant điều tra, 78% có thời gian tồn tại từ 30 ngày trở xuống và chỉ 1% trong số các vụ này có thời gian tồn tại từ 700 ngày trở lên.
Dữ liệu này là một phần trong báo cáo M-Trends 2021 mới của Mandiant, dựa trên các cuộc điều tra do công ty thực hiện từ tháng 10/2019 đến tháng 9/2020 (khung thời gian này được gọi là năm 2020 trong báo cáo).
Theo Mandiant, 59% các vi phạm được điều tra trên toàn cầu trong giai đoạn này đã được phát hiện trong nội bộ. Trong khi đó, vào năm 2019, chỉ có 47% đã được phát hiện trong nội bộ.
“Thời gian tồn tại” là số ngày kẻ tấn công có mặt trong môi trường của mục tiêu trước khi chúng bị phát hiện - cũng giảm đáng kể vào năm 2020 so với năm trước, từ 56 ngày xuống còn 24 ngày. Xét riêng trong trường hợp các vụ vi phạm do bên ngoài phát hiện, thời gian tồn tại trung bình trong năm 2020 là 73 ngày, trong khi đối với những trường hợp tổ chức tự phát hiện, thời gian này chỉ là 12 ngày.
Điều thú vị là thời gian tồn tại trung bình trên toàn cầu chỉ là 5 ngày đối với mã độc tống tiền và 45 ngày đối với các vụ không phải mã độc tống tiền được Mandiant điều tra. Nhìn chung, thời gian tồn tại trung bình trên toàn cầu đã giảm liên tục trong thập kỷ qua, từ 416 ngày vào năm 2011 xuống còn 24 ngày vào năm 2020.
Tuy nhiên, báo cáo cũng cho thấy một số khác biệt đáng kể giữa các khu vực. Ví dụ, thời gian tồn tại ở châu Mỹ đã giảm từ 60 ngày vào năm 2019 xuống còn 17 ngày năm 2020, nhưng hơn 27% sự cố được điều tra ở khu vực này liên quan đến mã độc tống tiền.
“Số lượng lớn các cuộc điều tra liên quan đến mã độc tống tiền chắc chắn đã làm giảm thời gian tồn tại trung bình. Các sự cố mã độc tống tiền ở châu Mỹ có thời gian tồn tại trung bình chỉ 3 ngày và chiếm 41% các sự cố có thời gian tồn tại từ 14 ngày trở xuống”, Mandiant cho biết trong báo cáo của mình.
Ngược lại, thời gian tồn tại trung bình ở khu vực Châu Á - Thái Bình Dương tăng từ 54 ngày trong năm 2019 lên 76 ngày vào năm 2020, nhưng khu vực này cũng chứng kiến sự suy giảm các sự cố liên quan đến mã độc tống tiền. Khu vực Châu Âu, Trung Đông và Châu Phi cũng đã chứng kiến sự gia tăng tổng thể về thời gian lưu trú, từ 54 ngày vào năm 2019 lên 66 ngày vào năm 2020.
Về chiến thuật tấn công, Mandiant nhận thấy rằng những kẻ tấn công đã sử dụng 63% các kỹ thuật MITRE ATT&CK và 24% kỹ thuật phụ trong suốt khung thời gian được phân tích. Tuy nhiên, công ty cho biết, chỉ 37% các kỹ thuật được quan sát (23% của tất cả các kỹ thuật) được quan sát thấy trong hơn 5% các vụ xâm nhập mà họ đã điều tra.
Lưu ý rằng M-Trends là một trong số ít báo cáo mà SecurityWeek coi là bắt buộc cần phải biết, vì dữ liệu được tổng hợp từ các sự cố thực tế chứ không phải khảo sát mà các nhà cung cấp đưa ra với các câu hỏi được tạo ra để làm lệch kết quả để có lợi. Nói cách khác, đây là dữ liệu trong thế giới thực với các thông tin được phát hiện trong quá trình điều tra các sự cố của hàng trăm khách hàng, trong đó nhiều khách hàng là các tổ chức nổi tiếng.
Nguyễn Anh Tuấn (theo Security Week)
13:45 | 15/07/2015
13:00 | 12/02/2020
07:00 | 07/06/2021
15:00 | 31/05/2021
10:00 | 28/12/2020
13:00 | 11/06/2021
09:00 | 22/10/2021
17:00 | 29/10/2021
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
17:00 | 10/10/2024