Tấn công mã độc tống tiền ngày càng tinh vi và khó phát hiện

18:00 | 22/09/2023 | HACKER / MALWARE

FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.

Tấn công mã độc tống tiền ngày càng tinh vi và khó phát hiện

Số lượng các tổ chức phát hiện ra phần mềm tống tiền ngày càng sụt giảm

Theo báo cáo, ngày càng có ít tổ chức có thể tự phát hiện mã độc tống tiền. FortiGuard Labs đã ghi nhận sự gia tăng đáng kể về mức độ phát triển các biến thể của mã độc tống tiền trong những năm gần đây, phần lớn theo xu hướng sử dụng mô hình tấn công dưới dạng Ransomware-as-a-Service (RaaS).

Tuy nhiên, FortiGuard Labs nhận thấy tổ chức phát hiện được sự xuất hiện của mã độc tống tiền trong nửa đầu năm 2023 (13%) so với thời điểm này 5 năm trước (22%). Mặc dù vậy, việc duy trì tinh thần cảnh giác vẫn luôn là điều quan trọng đối với các tổ chức/doanh nghiệp.

Cũng theo FortiGuard Labs quan sát trong vài năm qua, xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể, dựa trên sự tinh vi ngày càng cao của những kẻ tấn công với mong muốn tối ưu hóa tỷ lệ hoàn vốn đầu tư (ROI) cho mỗi cuộc tấn công.

Nghiên cứu cho thấy số lượng các vụ phát hiện mã độc tống tiền liên tục biến đổi. Tuy số liệu ghi nhận 6 tháng đầu năm 2023 cao hơn 13 lần so với cuối năm 2022, nhưng nhìn chung vẫn có xu hướng giảm khi so sánh với cùng kỳ năm trước.

Các tác nhân độc hại có khả năng tấn công các lỗ hổng EPSS hàng đầu trong vòng 1 tuần cao hơn 327 lần so với tất cả các lỗi CVE khác

Hệ thống chấm điểm lỗ hổng bảo mật EPSS được thiết kế với mục tiêu tận dụng lượng dữ liệu vô cùng lớn để dự đoán khả năng và thời điểm mà các lỗ hổng có thể bị khai thác.

Các nhà nghiên cứu đã tiến hành phân tích dữ liệu của 6 năm, bao gồm hơn 11.000 lỗ hổng đã được công bố, qua đó đã phát hiện ra các lỗ hổng và nguy cơ được tiết lộ công khai (CVE) được xếp vào danh mục điểm cao của Hệ thống chấm điểm lỗ hổng bảo mật EPSS (thuộc top 1% mức độ nghiêm trọng hàng đầu) có khả năng bị khai thác cao hơn tới 327 lần so với bất kỳ lỗ hổng nào khác.

Dữ liệu phân tích được coi như một dấu hiệu cảnh báo sớm, giúp cho lãnh đạo an toàn thông tin và các nhóm phụ trách bảo mật phát hiện sớm nhất được những cuộc tấn công có chủ đích nhằm vào tổ chức của họ. Giống như Red Zone, được nhắc đến trong Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây nhất (nửa cuối năm 2022), thông tin tình báo này có thể giúp các nhóm phụ trách bảo mật xác định và ưu tiên các nỗ lực vá lỗ hổng một cách hệ thống, từ đó giảm thiểu rủi ro cho tổ chức/doanh nghiệp.

Phân tích về hoạt động khai thác EPSS trong tự nhiên đã mở rộng phạm vi của Red Zone, giúp định lượng tỷ lệ các lỗ hổng tại các thiết bị đầu cuối đang là mục tiêu tấn công. Trong nửa cuối năm 2022, Red Zone chiếm khoảng 8.9%, nghĩa là khoảng 1.500 CVEs trong số hơn 16.500 CVE được biết đến đã bị tấn công. Trong nửa đầu năm 2023, con số này đã giảm nhẹ xuống còn 8,3%.

30% nhóm APT đã hoạt động trong nửa đầu năm 2023

Nghiên cứu đã phát hiện ra rằng trong tổng số 138 nhóm chuyên đe dọa tấn công an ninh mạng được tổ chức nghiên cứu bảo mật MITRE theo dõi, có tới 41 nhóm (chiếm 30%) đã có hoạt động trong thời gian nửa đầu năm 2023. Trong số đó, Turla, StrongPity, Winnti, OceanLotus và WildNeutron nổi bật là những nhóm hoạt động tích cực nhất, dựa trên số lượng mã độc bị phát hiện. Với bản chất nhắm vào mục tiêu cụ thể và thực hiện những chiến dịch tương đối ngắn của APT cùng với các nhóm tấn công mạng được sự hậu thuẫn từ chính phủ, so với với các chiến dịch dài hơi của tội phạm an ninh mạng, sự phát triển và số lượng hoạt động trong lĩnh vực này sẽ là điểm đáng lưu ý trong các báo cáo sắp tới.

Các loại lỗ hổng đặc biệt có xu hướng tăng

Trong nửa đầu năm 2023, FortiGuard Labs đã phát hiện hơn 10.000 cách khai thác lỗ hổng đặc biệt, tăng 68% so với 5 năm trước đây. Sự gia tăng đột biến trong việc phát hiện các lỗ hổng loại này cho thấy khối lượng lớn các cuộc tấn công độc hại đã được tiến hành, đòi hỏi các nhóm phụ trách bảo mật phải nắm rõ cách thức hoạt động và phương thức ngày càng đa dạng của các cuộc tấn công diễn ra trong một khoảng thời gian tương đối ngắn.

Báo cáo của FortiGuard Labs cũng cho thấy mức giảm tới 75% số các cuộc tấn công khai thác (exploitation) đối với mỗi tổ chức trong vòng 5 năm và mức giảm 10% trong các cuộc tấn công khai thác đặc biệt nghiêm trọng, điều này cho thấy rằng mặc dù các bộ công cụ khai thác đã được phát triển, thế nhưng các cuộc tấn công hiện nay đang tập trung vào các mục tiêu cụ thể hơn so với những năm trước.

Gia tăng các họ và biến thể phần mềm độc hại, với mức độ tăng lần lượt là 135% và 175%

Bên cạnh sự gia tăng đáng chú ý trong các họ và biến thể của mã độc, một khám phá đầy bất ngờ khác là số lượng các họ mã độc đã lan truyền đến ít nhất 10% tổ chức toàn cầu (ngưỡng phổ biến đáng kể), tăng gấp đôi trong 5 năm qua. Sự gia tăng về số lượng và mức độ phổ biến của mã độc này có thể là do ngày càng nhiều nhóm tội phạm mạng và các nhóm tấn công APT mở rộng hoạt động và đa dạng hóa các cuộc tấn công của chúng trong những năm gần đây.

Một trọng tâm quan trọng của Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây là sự gia tăng mã độc Wiper chủ yếu liên quan đến cuộc xung đột Nga - Ukraine. Sự gia tăng này vẫn tiếp tục trong suốt năm 2022 nhưng chậm lại trong nửa đầu năm 2023. FortiGuard Labs quan sát thấy mã độc Wiper vẫn đang tiếp tục được sử dụng khi nhắm mục tiêu vào các tổ chức chính phủ và trong các ngành như công nghệ, sản xuất, viễn thông và y tế.

Các botnet duy trì lâu dài sự tồn tại trong mạng

Mặc dù Báo cáo của FortiGuard Labs cho thấy có sự gia tăng về số lượng botnet hoạt động (tăng 27%) và tần suất tiếp xúc cao hơn giữa các tổ chức trong nửa thập kỷ qua (tăng 126%), một trong những phát hiện gây chú ý khác là sự gia tăng đáng kể theo cấp số nhân trong tổng số ngày hoạt động.

Trong 6 tháng đầu năm 2023, thời gian trung bình mà các botnet tồn tại trước khi kết thúc liên lạc chỉ huy và kiểm soát (C2) là 83 ngày, tăng hơn 1.000 lần so với 5 năm trước. Đây chính là một ví dụ khác về tầm quan trọng của việc giảm thời gian phản hồi, vì khi các tổ chức để botnet tồn tại càng lâu thì thiệt hại và rủi ro đối với hoạt động kinh doanh của họ càng lớn.

Những đóng góp của FortiGuard Labs cho cộng đồng qua việc chia sẻ thông tin về các mối đe dọa trong suốt thập kỷ qua tạo ra ảnh hưởng tích cực đáng kể trên phạm vi toàn cầu, đồng thời giúp cải thiện khả năng bảo vệ cho khách hàng, đối tác và các chính phủ trong cuộc chiến chống lại tội phạm mạng. Việc phá vỡ những rào cản cách biệt và nâng cao chất lượng thông tin về các mối đe dọa bằng cách tự đưa ra hành động phòng vệ giúp các tổ chức có thể giảm thiểu rủi ro và nâng cao hiệu quả cho lĩnh vực an ninh mạng.

Trần Thanh Tùng

‹ › ×

Tin liên quan

Mã độc tống tiền Abyss Locker nhắm mục tiêu vào các máy chủ VMware ESXi

09:00 | 08/08/2023

Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Kỹ thuật giấu tin trong ảnh

14:00 | 01/03/2024

Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.

Các mối đe dọa và thách thức an ninh mạng năm 2024

09:00 | 13/02/2024

Trong thời đại số được đánh dấu bằng những tiến bộ và phát triển khoa học công nghệ, tầm quan trọng của an ninh mạng đã ngày càng được thể hiện và thúc đẩy rõ ràng hơn. Dự đoán năm 2024, bối cảnh kỹ thuật số không ngừng phát triển, công nghệ mở ra cả những cơ hội đột phá lẫn những thách thức an ninh mạng. Để chuẩn bị tốt cho công tác đảm bảo an ninh, an toàn thông tin, bài báo sẽ đề cập đến sự gia tăng của các mối đe dọa bảo mật cũng như thách thức về an ninh mạng trong năm tới.

Sony bị tấn công bởi mã độc tống tiền

10:00 | 11/10/2023

Một nhóm tin tặc có tên RansomedVC vừa qua đã tuyên bố xâm nhập thành công hệ thống máy tính của Sony và đánh cắp dữ liệu nhạy cảm. Như các nhóm tin tặc sử dụng mã độc tống tiền khác, chúng đã đưa ra thông báo rao bán dữ liệu trên web đen của mình.

Bộ giải mã mới có khả năng khôi phục tệp tin bị mã hóa bởi mã độc tống tiền Black Basta

07:00 | 15/01/2024

Các nhà nghiên cứu đến từ Phòng thí nghiệm bảo mật SRLabs (Đức) tạo ra một bộ giải mã có khả năng khôi phục miễn phí tệp tin cho các nạn nhân của mã độc tống tiền Black Basta.

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Nhóm tin tặc BlackCat nộp đơn khiếu nại lên Ủy ban chứng khoán và sàn giao dịch Mỹ khi nạn nhân từ chối đàm phán

14:00 | 23/02/2024

Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.

Thế giới bước qua năm thứ 6 chống mã độc tống tiền

14:00 | 18/07/2023

Ngày chống mã độc tống tiền (Anti-Ransomware Day) được ấn định là ngày 12/5, khi thế giới ghi nhận vụ tấn công WannaCry khét tiếng năm 2017. Đại dịch ransomware lớn nhất trong lịch sử, cuộc tấn công mạng này đã lây nhiễm hơn 200 nghìn máy tính trên 150 quốc gia, ước tính gây thiệt hại cho nền kinh tế toàn cầu khoảng 4 tỷ USD. Bài viết tóm lược những thiệt hại do mã độc tống tiền gây ra, những khuyến nghị và xu hướng phát triển trong năm 2023.

Bảo vệ máy tính Windows 10 trước mã độc tống tiền

09:00 | 27/03/2023

Trong bối cảnh ngày càng xuất hiện nhiều hơn các cuộc tấn công mã độc tống tiền nhắm đến người dùng cuối, với các thủ đoạn vô cùng tinh vi, các tin tặc đang tích cực phát triển nhiều biến thể mã độc tống tiền nâng cao nhằm đạt được những mục đích nhất định như mã hóa dữ liệu, đòi tiền chuộc,… Bài viết này gửi đến độc giả hướng dẫn một số phương thức bảo vệ dữ liệu máy tính trên Windows 10, bao gồm cả cách sử dụng công cụ phòng chống mã độc tống tiền được tích hợp trên hệ thống.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).