FortiGuard Labs cảnh báo: Các hoạt động liên quan đến mã độc Wiper đã gia tăng hơn 50%

10:09 | 03/03/2023

Mới đây, FortiGuard Labs đã công bố bản báo cáo mới nhất về toàn cảnh các mối đe dọa toàn cầu nửa cuối năm 2022 và đưa ra những lời khuyên từ những chuyên gia. Trong bối cảnh các mối đe dọa và bề mặt tấn công của các tổ chức liên tục thay đổi, tội phạm mạng cũng có thể thiết kế và điều chỉnh các kỹ thuật của chúng cho phù hợp nhằm tiếp tục gây thiệt hại cho các tổ chức, doanh nghiệp thuộc mọi lĩnh vực và trên mọi khu vực địa lý.

Ông Nguyễn Gia Đức, Giám đốc Fortinet Việt Nam chia sẻ, trung bình có khoảng 44 triệu mối đe dọa an ninh mạng được phát hiện trong 1 ngày tại Việt Nam. Các mối đe dọa ngày càng phức tạp và nguy hiểm bởi tính phức tạp của các hệ thống, các ứng dụng ngày càng gia tăng.

Trên phạm vi toàn cầu, ông Derek Manky, Giám đốc Chiến lược an ninh mạng và Nghiên cứu mối đe dọa toàn cầu của FortiGuard Labs cho biết: "Ngày nay, đối với tội phạm mạng, việc duy trì được quyền truy cập và tránh khỏi bị phát hiện được xem là một thành công không hề nhỏ trong bối cảnh các hệ thống phòng thủ trên mạng liên tục được phát triển, hiện đại hóa để bảo vệ các tổ chức. Tội phạm mạng đang có xu thế gia tăng thêm nhiều kỹ thuật do thám và triển khai các phương án tấn công tinh vi hơn nhằm kích hoạt các nỗ lực phá hoại bằng các phương pháp đe dọa giống APT, chẳng hạn như mã độc Wiper hoặc các hình thức Payload nâng cao khác”. 

Mã độc Wiper có tính phá hoại giống các cuộc tấn công có chủ đích lây lan rộng rãi trong năm 2022

Đầu năm 2022, FortiGuard Labs đã cảnh báo về sự xuất hiện của một số mã độc Wiper mới trong bối cảnh leo thang xung đột giữa Nga và Ukraina. Cuối năm 2022, mã độc Wiper đã mở rộng sang các quốc gia khác khiến các hoạt động liên quan đến mã độc Wiper gia tăng 53% chỉ riêng trong thời gian từ quý III đến quý IV. Một vài trong số những hoạt động này có thể ban đầu được các tổ chức chính phủ liên quan đến cuộc xung đột phát triển và khai thác thông qua mã độc Wiper, nhưng sau đó được các nhóm tội phạm mạng thu thập và làm lây lan ra ngoài phạm vi châu Âu.

Quỹ đạo của mã độc Wiper có khả năng gây phá hoại nghiêm trọng dường như chưa có dấu hiệu chậm lại dựa trên ghi nhận số lượng hoạt động quan sát được trong quý IV. Bất kỳ tổ chức nào cũng có thể trở thành mục tiêu tiềm năng, không chỉ các tổ chức có trụ sở tại Ukraina và các quốc gia lân cận.

Thống kê về phần mềm độc hại Wiper trong năm 2022

Phân tích dữ liệu mã độc Wiper cho thấy xu hướng tội phạm mạng liên tục sử dụng các kỹ thuật tấn công phá hoại nhằm vào các mục tiêu chúng nhắm đến. Điều này cũng cho thấy với việc không có biên giới trên Internet, tội phạm mạng có thể dễ dàng mở rộng quy mô các loại hình tấn công nhờ sự hậu thuẫn của mô hình Dịch vụ tội phạm mạng (CaaS).

Tái sử dụng mã thể hiện bản chất thủ đoạn của tội phạm mạng

Tội phạm mạng luôn tìm cách tối đa hóa các khoản đầu tư và hiểu biết hiện có để có thể thực hiện các cuộc tấn công hiệu quả hơn, đem về nhiều lợi nhuận hơn. Tái sử dụng mã là một phương thức hiệu quả và sinh lợi cao để tội phạm có thể phát triển các loại mã độc mới dựa trên những thành công đã đạt được và thực hiện các thay đổi lặp đi lặp lại, qua đó tinh chỉnh các cuộc tấn công và vượt qua các chướng ngại của hệ thống phòng thủ.

Khi FortiGuard Labs phân tích mã độc phổ biến nhất trong nửa cuối năm 2022, phần lớn các vị trí hàng đầu đều thuộc về một loại mã độc hơn một năm tuổi. FortiGuard Labs đã kiểm tra thêm một tập hợp nhiều biến thể Emotet để phân tích xu hướng mượn và sử dụng lại mã. Nghiên cứu cho thấy Emotet đã trải qua quá trình tiến hóa đáng kể với nhiều biến thể xâm nhập vào 6 họ mã độc khác. Tội phạm mạng không chỉ tự động hóa mà còn tích cực cải tiến mã để khiến cho các mối đe dọa trở nên nguy hiểm hơn.

Sự hồi sinh của Botnet cũ thể hiện khả năng phục hồi các chuỗi cung ứng của tội phạm mạng

Ngoài việc tái sử dụng mã, tội phạm cũng đang tận dụng cơ sở hạ tầng hiện hữu và các mối đe dọa cũ để tối đa hóa cơ hội. Khi kiểm tra các mối đe dọa botnet theo mức độ phổ biến, FortiGuard Labs nhận thấy nhiều botnet hàng đầu hiện nay không phải là mới. Ví dụ, botnet Morto được quan sát thấy lần đầu tiên vào năm 2011, đã xuất hiện trở lại vào cuối năm 2022. Các botnet khác như Mirai và Gh0st.Rat tiếp tục phổ biến ở tất cả các khu vực. Ngạc nhiên là trong số 5 botnet hàng đầu quan sát được thì chỉ có RotaJakiro được tạo ra từ thập kỷ này.

Mặc dù luôn mong muốn và nỗ lực khai tử các mối đe dọa cũ, biến chúng thành quá khứ, nhưng các tổ chức trong bất kỳ lĩnh vực nào vẫn phải tiếp tục nêu cao cảnh giác. Các botnet “cổ điển” này vẫn còn phổ biến là bởi chúng vẫn rất hiệu quả. Tội phạm mạng sẽ vẫn tiếp tục tận dụng cơ sở hạ tầng của các botnet hiện có và phát triển thành các phiên bản trường kỳ hơn với các kỹ thuật chuyên môn cao vì lý do lợi nhuận. Cụ thể, trong nửa cuối năm 2022, các mục tiêu quan trọng của Mirai bao gồm các nhà cung cấp dịch vụ bảo mật được quản lý (MSSPs), lĩnh vực viễn thông/vận tải và lĩnh vực sản xuất được biết đến nhiều bởi ứng dụng công nghệ vận hành (OT). Tội phạm mạng đang nỗ lực nhắm vào các ngành nghề này bằng các phương pháp tấn công đã được chứng minh là hiệu quả.

Lỗ hổng Log4j vẫn phổ biến rộng rãi và là mục tiêu của tội phạm mạng

Ngay cả khi lỗ hổng Log4j được công khai rộng rãi trong năm 2021 và đầu năm 2022, rất nhiều tổ chức vẫn chưa vá hoặc chưa áp dụng các biện pháp kiểm soát bảo mật phù hợp để tự bảo vệ trước một trong những lỗ hổng đáng chú ý nhất trong lịch sử.

Trong nửa cuối năm 2022, Log4j vẫn là lỗ hổng xếp ở vị trí thứ 2, hoạt động mạnh mẽ ở tất cả các khu vực. Trên thực tế, FortiGuard Labs nhận thấy 41% các tổ chức đã phát hiện hoạt động của Log4j cho thấy mối đe dọa này vẫn đang ở mức độ lan rộng như thế nào. Hoạt động của hệ thống ngăn ngừa xâm nhập (IPS) của Log4j phổ biến nhất trong các lĩnh vực công nghệ, giáo dục, khu vực chính phủ. Điều này không có gì đáng ngạc nhiên bởi Apache Log4j phổ biến dưới dạng phần mềm nguồn mở.

Báo cáo toàn cảnh các mối đe dọa toàn cầu là những thông tin được đưa ra dựa trên cơ sở dữ liệu lớn của Fortinet thông qua việc thu thập hàng tỉ sự kiện tấn công an ninh mạng ghi nhận được trên toàn thế giới trong nửa cuối năm 2022. Báo cáo được xây dựng theo số liệu toàn cầu, theo khu vực cũng như các xu hướng đe dọa ảnh hưởng đến cả môi trường công nghệ thông tin và công nghệ vận hành OT. Giúp các tổ chức, doanh nghiệp có những thông tin tình báo giá trị về các mối đe dọa và hiểu rõ hơn về các tác nhân gây hại mà họ phải đối mặt, từ đó đưa ra được những cách thức phòng vệ kịp thời và tốt nhất trước các mối đe dọa.