Check Point đánh giá tình hình mã độc trong nửa cuối năm 2016

15:01 | 13/04/2017

Theo công ty công nghệ phần mềm Check Point, vào tháng 12/2016, tỷ lệ tấn công mã độc tống tiền chiếm 10,5% các cuộc tấn công phần mềm độc hại được phát hiện, tăng 5% so với tháng 7/2016.

Các nhà nghiên cứu của Check Point đã phát hiện một số xu hướng quan trọng về tình hình mã độc trong giai đoạn tháng 7-12/2016:

- Sự độc quyền trên thị trường mã độc tống tiền
: Hàng ngàn biến thể mã độc tống tiền mới đã được phát hiện trong năm 2016. Trong những tháng cuối năm đã xuất hiện một vài chủng mã độc nguy hiểm đang chi phối không gian mạng.

- Tấn công từ chối dịch vụ (DDoS) qua các thiết bị IoT (Internet vạn vật)
: Vào tháng 8/2016, mạng botnet Mirai “khét tiếng” được phát hiện lần đầu tiên dưới dạng botnet IoT, tấn công các thiết bị kỹ thuật số có Internet với bảo mật kém, như máy ghi hình (DVR) và camera giám sát (CCTV). Mirai đã biến các thiết bị IoT thành bot, sử dụng chúng để tiến hành các tấn công DDoS. Rõ ràng, các thiết bị IoT với bảo mật kém được sử dụng phổ biến trong các gia đình, nên các cuộc tấn công DDoS vẫn sẽ tiếp tục.

- Các phần mở rộng tập tin mới trong thư rác
: Trong suốt sáu tháng năm 2016, phương pháp lây nhiễm phổ biến nhất được sử dụng trong các chiến dịch thư rác chứa mã độc là các phần mềm tải về (downloader) dựa trên trình thông dịch ngôn ngữ Windows Script (Wscript). Các phần mềm này được viết bằng ngôn ngữ Javascript (JS) và VBScript (VBS) đã chi phối thị trường thư rác độc hại, cùng với các định dạng tương tự nhưng ít xuất hiện hơn như JSE, WSF, và VBE.

Các mã độc hàng đầu trong 6 tháng cuối năm 2016

1. Conficker (14,5% các cuộc tấn công mã độc): Sâu máy tính cho phép điều khiển từ xa và tải về các phần mềm độc hại. Các máy bị nhiễm sẽ bị kiểm soát bởi một mạng botnet. Botnet này sẽ liên lạc với máy chủ điều khiển theo lệnh của kẻ tấn công để nhận chỉ dẫn.

2. Sality (6,1%): Virus cho phép điều khiển từ xa và tải về các phần mềm độc hại tới hệ thống bị lây nhiễm. Mục tiêu chính của virus này là tồn tại trong hệ thống và là phương tiện để kẻ tấn công điều khiển từ xa, cài đặt nhiều phần mềm độc hại khác.

3. Cutwail (4,6%): Mạng botnet chủ yếu tham gia vào việc gửi thư rác và một số cuộc tấn công DDoS. Sau khi cài đặt, các bot sẽ kết nối trực tiếp đến máy chủ điều khiển theo lệnh và nhận chỉ dẫn để gửi các thư điện tử. Sau khi các bot thực hiện xong nhiệm vụ, chúng báo cáo lại với người phát tán thư rác các số liệu thống kê chính xác của hoạt động.

4. JBossjmx (4,5%): Sâu máy tính tấn công các hệ thống cài đặt phiên bản bảo mật yếu của ứng dụng JBoss Application Server. Mã độc sẽ tạo ra một trang JSP độc hại trên các hệ thống này và thực thi các lệnh tùy ý. Ngoài ra, một backdoor khác được tạo ra và chấp nhận lệnh từ một máy chủ IRC điều khiển từ xa.

5. Locky (4,3%): Mã độc tống tiền bắt đầu được lan truyền vào tháng 2/2016 và lây lan chủ yếu qua thư rác. Thư rác độc hại này có chứa một phần mềm tải về, giả dạng tập tin đính kèm Word hoặc Zip. Sau khi tải về và cài đặt, phần mềm độc hại sẽ mã hóa các tập tin của người dùng.

Các mã độc tống tiền hàng đầu trong nửa cuối năm 2016

Cuối năm 2016, tỷ lệ tấn công mã độc tống tiền chiếm 10,5% các cuộc tấn công được phát hiện trên toàn cầu, tăng gần gấp đôi so với tháng 7/2016 với 5,5%. Các mã độc tống tiền phổ biến nhất là:

1. Locky (41% các cuộc tấn công mã độc tống tiền): Mã độc tống tiền phổ biến thứ ba trong nửa đầu năm 2016, đã tăng lên rất nhanh chóng và đứng đầu tiên trong nửa cuối năm.

2. Cryptowall (27%): Mã độc tống tiền bắt đầu như một bản sao của Cryptolocker, nhưng cuối cùng lại vượt trội hơn. Sau khi vượt mặt Cryptolocker, Cryptowall đã trở thành một trong những mã độc tống tiền phổ biến nhất hiện nay. Cryptowall sử dụng chuẩn mã hóa AES và thực hiện giao tiếp với máy chủ điều khiển theo lệnh qua mạng ẩn danh Tor. Nó được lan truyền rộng rãi qua các bộ công cụ tấn công, các chiến dịch mã độc và giả mạo.

3. Cerber (23%): Kế hoạch mã độc tống tiền dịch vụ (RaaS) lớn nhất thế giới. Cerber là một kế hoạch mã độc tống tiền có mô hình nhượng quyền thương mại. Nhà phát triển Cerber tuyển các hội viên để lan truyền phần mềm độc hại này với một phần lợi nhuận.


Các mã độc hàng đầu trên thiết bị di động trong cuối năm 2016

1. Hummingbad (60% các cuộc tấn công điện thoại di động): Mã độc trên Android bị phát hiện bởi nhóm nghiên cứu của Check Point. Mã độc này thiết lập một rootkit dai dẳng trên thiết bị, cài đặt các ứng dụng giả mạo với một số sửa đổi nhỏ, có khả năng kích hoạt các hoạt động độc hại khác như cài đặt phần mềm theo dõi bàn phím, ăn cắp các thông tin đăng nhập và vượt qua hệ thống mã hóa thư điện tử được các doanh nghiệp sử dụng.

2. Triada (9%): Backdoor tấn công hệ điều hành Android, nhượng quyền superuser cho phần mềm độc hại được tải về, và nhúng phần mềm độc hại này vào các quá trình xử lý của hệ thống. Triada cũng giả mạo các đường dẫn đã tải trong trình duyệt.

3. Ztorg (7%): Trojan sử dụng quyền root để tải về và cài đặt các ứng dụng trên điện thoại di động mà không cho người sử dụng biết.

Các mã độc nguy hiểm tấn công dịch vụ ngân hàng 

1. Zeus (33%): Trojan tấn công các thiết bị có nền tảng Windows, thường được sử dụng để ăn cắp thông tin ngân hàng bằng tấn công man-in-the-browser và form-grabbing.

2. Tinba (21%): Trojan ăn cắp thông tin đăng nhập của nạn nhân bằng web-inject (phần mềm thử nghiệm tự động các ứng dụng dịch vụ web), kích hoạt khi người dùng đang đăng nhập vào trang web ngân hàng.

3. Ramnit (16%): Trojan ăn cắp thông tin đăng nhập ngân hàng, mật khẩu tài khoản FTP, cookie trong bộ nhớ (session cookies) và dữ liệu cá nhân.