FortiGuard Labs cảnh báo mã độc tống tiền tiếp tục gây thêm nhiều thiệt hại nặng nề

09:15 | 17/03/2022
T.U

Mức độ tinh vi, tốc độ và tính đa dạng của các kỹ thuật tấn công cho thấy tầm quan trọng của việc tăng cường toàn bộ hệ thống chuỗi tiêu diệt các cuộc tấn công mạng (Cyber Kill Chain).

Fortinet đã công bố Báo cáo mới nhất về toàn cảnh các mối đe dọa mạng toàn cầu mang tên FortiGuard Labs Global Threat Landscape Report. Các nghiên cứu trong nửa cuối năm 2021 của FortiGuard Labs cho thấy xu hướng gia tăng khả năng tự động hóa và tốc độ của các cuộc tấn công thể hiện chiến lược tội phạm mạng trường kỳ tiên tiến, gây thiệt hại nặng nề và khó lường hơn. Ngoài ra, bề mặt tấn công ngày càng mở rộng do đội ngũ IT và nhân viên làm việc theo mô hình kết hợp (hybrid) đã trở thành mục tiêu để những kẻ tấn công trên không gian mạng nỗ lực khai thác.

Derek Manky, Lãnh đạo Bộ phận Security Insights & Global Threat Alliances của FortiGuard Labs cho biết: “An ninh mạng là một lĩnh vực biến động và phát triển rất nhanh. Các vụ đe dọa mạng gần đây cho thấy tội phạm trên không gian mạng hiện nay đang phát triển và thực hiện các cuộc tấn công với tốc độ nhanh chóng chưa từng có. Các kỹ thuật tấn công mới và đang phát triển xuất hiện trên toàn bộ chuỗi tiêu diệt, đặc biệt là trong giai đoạn vũ khí hóa, cho thấy xu hướng phát triển thành một chiến lược tội phạm mạng trường kỳ tiên tiến, gây thiệt hại nặng nề và khó lường hơn. Nhằm phòng thủ trước phạm vi hoạt động rộng lớn của các mối đe dọa, các tổ chức cần thực hiện các chiến lược ngăn chặn, phát hiện và phản hồi sử dụng công nghệ AI dựa trên kiến trúc lưới an ninh mạng cho phép tích hợp chặt chẽ hơn, tăng cường tự động hóa cũng như phản ứng nhanh, phối hợp và hiệu quả hơn đối với các mối đe dọa trên toàn bộ hệ thống mạng mở rộng”.

Log4j cho thấy tốc độ tấn công đáng gờm mà các tổ chức phải đối mặt

Các lỗ hổng Log4j xuất hiện vào cuối năm 2021 cho thấy tốc độ tấn công ngày càng gia tăng nhanh chóng mà tội phạm mạng đang cố gắng tận dụng để nâng cao lợi thế. Mặc dù mới gia tăng vào tuần thứ hai của tháng 12, hoạt động khai thác lỗ hổng đã leo thang đủ nhanh để chỉ trong vòng chưa đầy một tháng đã thành công trở thành công cụ phát hiện hệ thống IPS phổ biến nhất trong toàn bộ nửa cuối năm 2021.

Ngoài ra, Log4j có mức độ hoạt động gấp gần 50 lần so với đợt bùng phát nổi tiếng của ProxyLogon diễn ra trước đó. Thực tế là các tổ chức ngày nay có rất ít thời gian để phản ứng hoặc vá lỗi với tốc độ nhanh như tội phạm mạng đang sử dụng để tối đa hóa các cơ hội mới. Các tổ chức cần hệ thống ngăn chặn xâm nhập mạng (IPS) sử dụng công nghệ AI và máy học, chiến lược quản lý bản vá mạnh mẽ và khả năng hiển thị thông tin về mối đe dọa nhằm ưu tiên xử lý những mối nguy hại lan truyền nhanh nhất giúp giảm thiểu rủi ro tổng thể.

Tội phạm mạng ngay lập tức nhắm mục tiêu vào các hướng tấn công mới trên khắp bề mặt tấn công

Một số mối đe dọa ít xuất hiện hoặc nguy cơ thấp hơn có khả năng gây ra các vấn đề nghiêm trọng hơn trong tương lai và rất cần được theo dõi. Ví dụ như mã độc mới được thiết kế để xâm phạm hệ thống Linux, thường ở dạng tệp nhị phân định dạng có thể thực thi và có thể liên kết (ELF). Linux chạy các hệ thống back-end của nhiều kết nối mạng và các giải pháp sử dụng vật chứa container cho các thiết bị IoT và các ứng dụng quan trọng, trở thành mục tiêu phổ biến hơn đối với những kẻ tấn công.

Trên thực tế, tỷ lệ mã độc chữ ký Linux mới trong quý 4 đã tăng gấp 4 lần so với quý 1 năm 2021 với biến thể ELF Muhstik, mã độc RedXOR và thậm chí cả Log4j là những ví dụ về các mối đe dọa nhắm vào Linux. Tỷ lệ phát hiện mã độc ELF và mã độc Linux khác đã tăng gấp đôi trong năm 2021. Xu hướng gia tăng về biến thể và số lượng này cho thấy mã độc Linux ngày càng trở thành một phần quan trọng trong kho vũ khí của tội phạm mạng. Hệ thống Linux cần được bảo mật, giám sát và quản lý như bất kỳ endpoint nào khác trong hệ thống mạng với khả năng bảo vệ, phát hiện và phản hồi tự động và nâng cao. Ngoài ra, việc kiểm tra tình trạng bảo mật cần được ưu tiên để cung cấp khả năng bảo vệ chủ động trước mối đe dọa cho các hệ thống có thể bị ảnh hưởng bởi các mối đe dọa nguy cơ thấp.

Xu hướng botnet - mức độ tiến hóa tinh vi hơn của phương pháp tấn công trên mạng

Các xu hướng mới cho thấy botnet đang tiến hóa để áp dụng các kỹ thuật tấn công mới hơn, phát triển hơn. Thay vì trung vào các cuộc tấn công DDoS, botnet giờ đây là phương tiện tấn công đa năng tận dụng nhiều kỹ thuật tấn công phức tạp hơn, bao gồm cả mã độc tống tiền. Ví dụ: các tác nhân đe dọa, bao gồm những kẻ điều khiển botnet như Mirai, đã tích hợp các hoạt động khai thác lỗ hổng Log4j vào bộ công cụ tấn công của chúng.

Đồng thời, hoạt động của botnet đã được theo dõi kết hợp với một biến thể mới của mã độc RedXOR, nhằm vào các hệ thống Linux để trích xuất dữ liệu. Việc phát hiện ra các botnet cung cấp một biến thể của mã độc RedLine Stealer cũng tăng vọt vào đầu tháng 10 khi biến đổi để tìm các mục tiêu mới bằng cách sử dụng một file mang chủ đề COVID.

Để bảo vệ các hệ thống mạng và ứng dụng, các tổ chức phải triển khai các giải pháp truy cập zero trust để cung cấp ít đặc quyền truy cập nhất, đặc biệt là để bảo mật các thiết bị và thiết bị đầu cuối IoT truy cập vào hệ thống mạng, cũng như khả năng phát hiện và phản hồi tự động để giám sát các hành vi bất thường.

Xu hướng về mã độc cho thấy tội phạm mạng đang tối đa hóa mọi thứ từ xa

Đánh giá mức độ phổ biến của các biến thể mã độc theo khu vực cho thấy mối quan tâm của tội phạm mạng vẫn được duy trì thể hiện ở việc tối đa hóa phương thức tấn công từ hoạt động học tập và làm việc từ xa. Cụ thể, nhiều dạng mã độc sử dụng trình duyệt trở nên phổ biến. Cách tấn công này diễn ra dưới hình thức của các bẫy lừa đảo hoặc các mã lập trình kịch bản gây xâm nhiễm code, hoặc chuyển hướng người dùng đến các trang web độc hại.

Các phát hiện cụ thể khác nhau ở các khu vực trên toàn cầu, nhưng phần lớn có thể được nhóm lại thành ba cơ chế phân phối rộng lớn bao gồm: Microsoft Office (MSExcel/, MSOffice/), tệp PDF và mã lập trình kịch bản trình duyệt (HTML/, JS/). Những kỹ thuật như vậy tiếp tục trở thành cách phổ biến để tội phạm mạng khai thác sự quan tâm của mọi người đối với các tin tức mới nhất về đại dịch, chính trị, thể thao hoặc các tin tức khác, sau đó tìm đường vào lại các kết nối mạng của công ty. Do mô hình làm việc và học tập kết hợp vẫn đang là một thực trạng nên hiện nay đang có ít lớp bảo vệ ngăn cách các phần mềm độc hại và nạn nhân tiềm năng. Các tổ chức cần phải tiếp cận theo xu hướng "làm việc từ xa" cho chiến lược bảo mật của mình bằng cách triển khai các giải pháp có khả năng theo dõi, cho phép và bảo vệ người dùng cho dù họ ở bất cứ đâu. Họ cần năng lực bảo mật nâng cao trên thiết bị đầu cuối (EDR) kết hợp với các giải pháp truy cập zero trust, bao gồm công nghệ ZTNA. Giải pháp Secure SD-WAN cũng rất quan trọng để đảm bảo kết nối mạng WAN an toàn đối với hệ thống mạng mở rộng.

Hoạt động của ransomware vẫn ở mức cao và tiếp tục gây thiệt hại nặng nề hơn

Dữ liệu của FortiGuard Labs cho thấy hoạt động của mã độc tống tiền đã ở mức rất cao trong năm qua và vẫn chưa hề có dấu hiệu giảm nhiệt. Thay vào đó, mức độ tinh vi, hung hãn và tác động của mã độc tống tiền đang ngày càng gia tăng. Các tác nhân đe dọa tiếp tục tấn công các tổ chức với nhiều thể loại mã độc tống tiền mới và cũ, thường để lại hậu quả lớn. Các mã độc tống tiền cũ đang được cập nhật và cải tiến một cách tích cực, đôi khi bao gồm cả mã độc wiper, đồng thời các mã độc tống tiền khác đang phát triển để áp dụng các mô hình kinh doanh dịch vụ cung cấp mã độc tống tiền Ransomware-as-as-Service (RaaS). RaaS cho phép nhiều tác nhân nguy hại hơn tận dụng và phân phối mã độc mà không cần phải tự mình tạo ra mã độc tống tiền.

FortiGuard Labs đã quan sát thấy một mức độ nhất quán về hoạt động độc hại liên quan đến nhiều loại mã độc tống tiền, bao gồm các phiên bản mới của Phobos, Yanluowang và BlackMatter. Những kẻ điều khiển BlackMatter đã tuyên bố chúng sẽ không tấn công các tổ chức mục tiêu trong lĩnh vực chăm sóc sức khỏe và các lĩnh vực cơ sở hạ tầng trọng yếu khác nhưng cuối cùng chúng vẫn làm như vậy. Các cuộc tấn công mã độc tống tiền vẫn là một thực trạng và nguy cơ đối với tất cả các tổ chức bất kể ngành nghề hay quy mô. Các tổ chức cần chủ động xây dựng khả năng hiển thị, phân tích, bảo vệ và khắc phục trong thời gian thực cùng với các giải pháp truy cập zero trust, phân đoạn mạng và sao lưu dữ liệu thường xuyên.

Hiểu biết sâu hơn về các kỹ thuật tấn công có thể giúp ngăn chặn tội phạm nhanh hơn

Phân tích mục tiêu tấn công của tội phạm mạng là rất quan trọng để có thể sắp xếp các giải pháp phòng thủ hiệu quả hơn trước tốc độ thay đổi của các kỹ thuật tấn công. Nhằm quan sát hậu quả độc hại của các cuộc tấn công khác nhau, FortiGuard Labs đã phân tích chức năng của mã độc được phát hiện bằng cách kích hoạt các mẫu mã độc thu thập được trong suốt năm qua. Kết quả là một danh sách các chiến thuật, kỹ thuật và quy trình (TTP) riêng lẻ mà mã độc có thể thực hiện được nếu các gói dữ liệu tấn công được triển khai. Thông tin này cho thấy việc ngăn chặn tội phạm mạng sớm là mục tiêu quan trọng hơn bao giờ hết. Đồng thời bằng cách tập trung vào một số kỹ thuật đã xác định được trước đó, một tổ chức có thể ngăn chặn được các phương thức tấn công của mã độc trong một số tình huống. Ví dụ, ba kỹ thuật hàng đầu được triển khai đối với giai đoạn thực thi chiếm 82% trong số các hoạt động tấn công. Hai kỹ thuật hàng đầu để có được vị trí vững chắc trong giai đoạn nỗ lực duy trì đại diện cho gần 95% chức năng quan sát được. Tận dụng phân tích này các tổ chức có thể ưu tiên các chiến lược an ninh hiệu quả để tối đa hóa khả năng phòng vệ.

Phòng thủ trước những kẻ tấn công tinh vi và phát triển nhanh chóng

Khi các cuộc tấn công tiếp tục phát triển về mức độ tinh vi, đồng thời bao trùm trên toàn bộ bề mặt tấn công với tốc độ gia tăng, các tổ chức cần tới các giải pháp được thiết kế để phối hợp với nhau thay vì hoạt động riêng lẻ. Bảo mật trước các kỹ thuật tấn công ngày càng phát triển sẽ đòi hỏi các giải pháp thông minh hơn cũng như cách thức tận dụng trí tuệ về mối đe dọa mạng trong thời gian thực, phát hiện các kiểu mẫu mối đe dọa và dấu vết để lại, tương quan với khối lượng dữ liệu lớn để phát hiện những bất thường và tự động khởi động kế hoạch phản ứng phối hợp. Các sản phẩm cốt lõi cần được thay thế bằng nền tảng lưới an ninh mạng cung cấp các giải pháp quản lý tập trung, tự động hóa và tích hợp mà có thể phối hợp hoạt động với nhau.