Gần 40% các chủng mã độc tống tiền mới sử dụng cả mã hóa và đánh cắp dữ liệu

13:54 | 08/04/2021

Theo công ty an ninh mạng toàn cầu F-Secure (trụ sở chính tại Helsinki, Phần Lan), các cuộc tấn công mã độc tống tiền đánh cắp dữ liệu, mã độc đánh cắp thông tin và tấn công chuỗi cung ứng là một trong những mối đe dọa hàng đầu đối với các tổ chức.

Một trong những xu hướng đáng chú ý nhất là sự phát triển của mã độc tống tiền - tấn công tống tiền các tổ chức bằng cách ngăn họ truy cập vào dữ liệu của chính họ.

Sự bùng nổ của mã độc tống tiền đánh cắp dữ liệu

Năm 2020 chứng kiến ​​sự bùng nổ của mã độc tống tiền và đánh cắp dữ liệu, giúp những kẻ tấn công trục lợi được nhiều hơn từ nạn nhân của chúng. Nếu các tổ chức lần đầu từ chối trả tiền chuộc để giải mã dữ liệu của họ, những kẻ tấn công sẽ đe dọa làm rò rỉ thông tin bị đánh cắp, tăng áp lực buộc nạn nhân phải trả tiền.

Theo báo cáo của F-Secure, sự biến đổi này được gọi là Mã độc tống tiền 2.0 và là một bước phát triển đáng kể vào năm 2020. Chỉ có một nhóm tin tặc mã độc tống tiền được quan sát thấy sử dụng hình thức tống tiền này năm 2019. Đến cuối năm 2020, 15 chủng mã độc tống tiền khác nhau đã áp dụng phương thức tấn công này. Hơn nữa, gần 40% trong số các chủng mã độc tống tiền năm 2020, cũng như một số chủng cũ hơn, được phát hiện cũng đánh cắp dữ liệu từ nạn nhân.

Ông Calvin Gan, Quản lý cấp cao Đơn vị Phòng thủ Chiến thuật của F-Secure giải thích, các tổ chức có bản sao lưu tin cậy và quy trình khôi phục hiệu quả hoàn toàn có thể phục hồi sau khi bị mã độc tống tiền tấn công mà không phải trả tiền. Tuy nhiên, quản lý nguy cơ rò rỉ dữ liệu là một thách thức hoàn toàn khác, đặc biệt là đối với các tổ chức có thông tin bí mật.

Ông cho biết thêm, các tác nhân mã độc tống tiền hiện tại và tương lai có thể sẽ thực hiện những hành vi mới và khai thác các lỗ hổng nhanh hơn, điều mà chúng ta đã thấy với các lỗ hổng MS Exchange gần đây.

Các xu hướng an ninh mạng quan trọng

  • Hành vi kẻ tấn công sử dụng các công thức Excel - một tính năng mặc định không thể bị chặn - để tạo công cụ làm rối (Obfuscator) mã độc đã tăng gấp ba lần trong nửa cuối năm 2020.
  • Outlook là thương hiệu bị giả mạo nhiều nhất trong các email tấn công giả mạo, tiếp theo là Facebook và Office365.
  • Gần 3/4 tên miền được sử dụng để lưu trữ các trang web giả mạo là các dịch vụ lưu trữ web.
  • Email chiếm hơn một nửa trong tổng số hành vi lây nhiễm mã độc vào năm 2020, khiến nó trở thành phương pháp phổ biến nhất để phát tán mã độc trong các cuộc tấn công mạng.
  • Mã độc tự động thu thập dữ liệu và thông tin từ nạn nhân (trình đánh cắp dữ liệu) tiếp tục đe dọa các tổ chức; hai chủng mã độc phổ biến nhất trong nửa cuối năm 2020 đều là trình đánh cắp dữ liệu (Lokibot và Formbook).
  • 61% lỗ hổng được tìm thấy trong mạng doanh nghiệp đã được tiết lộ vào năm 2016 hoặc trước đó, điều này cho thấy chúng đã tồn tại ít nhất 5 năm.

Ngoài ra, khi nhìn lại các cuộc tấn công chuỗi cung ứng đáng chú ý trong 10 năm qua, báo cáo nhấn mạnh rằng hơn một nửa trong số đó nhắm mục tiêu vào tiện ích hoặc phần mềm ứng dụng. Báo cáo cũng hy vọng rằng vụ tấn công SolarWinds năm 2020 sẽ thu hút sự chú ý lớn hơn đến tác động mà các cuộc tấn công tương tự có thể gây ra.

Theo ông Gan, về bảo mật, công ty F-Secure đặt trọng tâm vào việc các tổ chức tự bảo vệ mình bằng cách có các vành đai bảo mật và cơ chế phát hiện mạnh mẽ, để nhanh chóng xác định các vi phạm, cũng như các kế hoạch và khả năng ứng phó để ngăn chặn các hành vi xâm nhập.

Tuy nhiên, ông cũng cho biết các tổ chức trong các ngành và quốc gia khác nhau cũng cần hợp tác để giải quyết các thách thức bảo mật nhằm thúc đẩy chuỗi cung ứng hơn nữa. Các nhóm tấn công APT hoàn toàn đã có sự chuẩn bị và sẵn sàng tấn công hàng trăm tổ chức thông qua cách tiếp cận này, và các tổ chức cần hợp tác với nhau để chống lại chúng.