Tình hình mã độc và lừa đảo trực tuyến năm 2016

08:29 | 21/07/2017

Năm 2016 được biết đến là năm bùng nổ các hoạt động tống tiền trực tuyến. Các mối đe dọa từ mạng Internet đã đạt đến mức cao nhất mọi thời đại, trong đó mã độc, đặc biệt là mã độc tống tiền và các email lừa đảo qua kinh doanh (BEC-Business Email Compromise) đang ngày càng trở nên phổ biến.

Các biến thể mã độc tống tiền mới và lỗ hổng an toàn thông tin tăng mạnh

Theo Trend Micro, năm 2016, họ các biến thể mã độc tống tiến mới gia tăng 752%, gây thiệt hại hơn 1 tỷ USD cho các doanh nghiệp trên toàn thế giới. Trend Micro và chuyên trang về bảo mật ZDI (Zero Day Initiative) cũng đã phát hiện tổng cộng 765 lỗ hổng bảo mật. Trong số đó, ZDI phát hiện ra 678 lỗ hổng. Chúng được người dùng phát hiện và thông báo cho ZDI thông qua chương trình trao thưởng của ZDI cho việc phát hiện lỗ hổng an toàn thông tin. Sau đó, ZDI sẽ xác minh và thông báo vấn đề cho nhà cung cấp sản phẩm bị ảnh hưởng. 

Đáng chú ý, so với năm 2015, số lỗ hổng bị phát hiện của Apple đã tăng 145%, còn của Microsoft giảm 47%. Việc khai thác các lỗ hổng mới trong các bộ công cụ thông dụng đã giảm 71% so với năm 2015, do đã ngăn chặn được hoạt động của mã độc Angler vào tháng 6/2016.

Ngoài ra, trong năm 2016, ứng dụng Bảo vệ mạng thông minh của Trend Micro đã chặn được hơn 81 tỷ mối đe dọa, tăng 56% so với năm 2015. Sáu tháng cuối năm 2016, trong mỗi giây, ứng dụng này chặn được hơn 3.000 cuộc tấn công tới khách hàng và tổng cộng đã chặn được 75 tỷ nỗ lực tấn công dựa vào email.

Tấn công mã độc Fileless phát triển mạnh 

Cuối năm 2016 và đầu năm 2017, một số công ty bảo mật đã phát hiện ra các tấn công tới nhiều tổ chức trên khắp thế giới bằng các email lừa đảo trực tuyến(một trong số đó là Fileless) nhằm khai thác backdoor của PowerShell(hay còn gọi là Windows PowerShell, là một shell được phát triển bởi Microsoft cho mục đích quản lý tự động hóa và định cấu hình các nhiệm vụ trong Windows nhằm thay thế Command Promp, được cài đặt mặc định trong Window từ phiên bản 8.1 và Windows sever 2012 R2 trở lên), lạm dụng các tiện ích hợp pháp và giao tiếp với các máy chủ C & C thông qua lưu lượng truy cập DNS.

Trong tháng 2/2017, Kaspersky Lab cho biết các mục tiêu chủ yếu của tấn công này là nhắm vào các ngân hàng, bằng cách sử dụng nhân tố lây nhiễm ban đầu không xác định. Tháng 3/2017, Cisco Talos đã mô tả chi tiết cách thức lợi dụng backdoor này (được biết đến với tên RAT backdoor), trong đó kẻ tấn công sử dụng các yêu cầu gửi tin nhắn DNS TXT để trao đổi với máy chủ C & C. Bên cạnh đó, FireEye cũng cho biết họ đã phát hiện ra các vụ tấn công tương tự như trên, nhắm vào nhân viên của các doanh nghiệp tại Mỹ. Các nhà nghiên cứu của Morphisec cũng cho biết, các cuộc tấn công này có thể được thực hiện bởi cùng một nhóm tội phạm, bằng cách sử dụng một cùng mô hình tấn công bằng mã độc Fileless rất tinh vi.

CHIPSEC của Intel có thể phát hiện ra rootkit OS X của CIA

Sau khi WikiLeaks công bố tài liệu của CIA về công cụ rootkit OS X có thể khai thác các lỗ hổng trên thiết bị chạy hệ điều hành (HĐH) OS X, Apple đã tuyên bố rằng các vụ khai thác trên HĐHOS X này đã được vá ngay sau đó và công ty vẫn đang liên tục làm việc để có thể khắc phục bất kỳ lỗ hổng mới nào có thể phát sinh. Sau đó, Intel Security đã giới thiệu một công cụ có thể xác định rootkit trên các giao diện phần cứng mở rộng (Extensible Firmware Interface - EFI)  có tên là DarkMatter và là một phần của gói DerStarke nhắm tới mục tiêu là các máy chạy HĐH OS X. Công cụ này hoạt động như một chức năng được giấu kín trên các máy chạy hệ HĐH OS X.

Môđun chương trình mà Intel sử dụng trong công cụ này là một phần của chương trình mã nguồn mở CHIPSEC của Intel để đánh giá tính bảo mật của các nền tảng trên máy tính cá nhân (phần cứng, phần mềm hệ thống và các thành phần nền tảng khác). CHIPSEC có thể chạy trên các hệ điều hành Windows, Linux, Mac OS X và UEFI, bao gồm một công cụ kiểm tra an toàn, công cụ để truy cập các giao diện theo từng mức khác nhau, và các khả năng phục hồi hệ thống.

Các thiết bị Android được phân phối cho người dùng có sẵn phần mềm độc hại

Tháng 3/2017, hãng bảo mật Check Point đã phát hiện ra 38 mẫu smartphone bị cài sẵn phần mềm độc hại trước khi chúng được chuyển đến tay người tiêu dùng. Đa số các mẫu smartphone bị nhiễm phần mềm độc hại đều đến từ các thương hiệu nổi tiếng như Samsung, LG, Xiaomi, Asus, Nexus, Oppo và Lenovo. 

Theo báo cáo của Check Point, phần mềm độc hại không nằm sẵn trong ROM mà chỉ được cài đặt thêm khi thiết bị được giao cho các nhà phân phối trước khi đến tay người dùng. Nghiên cứu cho thấy, phần mềm độc hại được tích hợp sâu bên trong hệ thống và có quyền hạn cao nhất, điều này đồng nghĩa với việc người dùng sẽ không thể gỡ bỏ phần mềm theo cách thông thường. 

Các nhà nghiên cứu đã tìm thấy hai phần mềm độc hại là Loki và SLocker trên các smartphone bị lây nhiễm. Loki được phát hiện lần đầu tiên vào tháng 2/2016, chuyên thu thập thông tin thiết bị, dữ liệu cá nhân, tin nhắn, nhật ký cuộc gọi, vị trí… và gửi về máy chủ được chỉ định khi chưa được sự đồng ý của người dùng. Còn SLocker  là loại mã độc tống tiền sẽ mã hóa toàn bộ dữ liệu trên smartphone và đòi tiền chuộc.

Các chuyên gia kết luận rằng phần mềm độc hại đã được cài đặt thêm vào tại một điểm nào đó trong chuỗi cung ứng sản phẩm, nhưng không xác định được nó diễn ra ở bước nào. Họ lưu ý rằng đó là “một công ty viễn thông lớn và là một công ty đa quốc gia.”
Những mục tiêu lừa đảo trực tuyến hàng đầu trong năm 2016

Đối với mỗi đường dẫn URL lừa đảo mạo nhận một tổ chức tài chính, đều sử dụng các công ty công nghệ để mạo nhận. Trong năm 2016, có ít nhất 7 công ty công nghệ thường xuyên bị mạo nhận, trong đó  Google, Yahoo và Apple là ba mục tiêu hàng đầu cho việc này. Ngoài ra, các nhà nghiên cứu cũng cho biết vòng đời của các trang web trong các cuộc tấn công lừa đảo đã giảm đáng kể. Trang lừa đảo duy trì lâu nhất đã hoạt động chưa đầy hai ngày, và thời gian ngắn nhất chỉ là 15 phút. Bên cạnh đó, 84% các trang web lừa đảo hoạt động chưa đến 24 giờ.

Các hình thức tấn công trực tuyến mới trên toàn cầu phát triển mạnh mẽ

Báo cáo gần đây của Malwarebytes cho thấy một sự thay đổi đáng kể trong cuộc tấn công mạng và các phương pháp sử dụng phần mềm độc hại từ những năm trước. Mã độc tống tiền, gian lận quảng cáo và sử dụng các botnet đã tăng lên đáng kể so với các năm trước và ngày càng phát triển mạnh mẽ. 

Malwarebytes đã thu thập dữ liệu từ các thiết bị sử dụng hệ điều hành Windows và Android đang chạy Malwarebytes trong khoảng thời gian từ tháng 6 đến tháng 11/2016 và đã phát hiện gần 1 tỷ phần mềm độc hại/sự cố. 

Sự tấn công của mã độc tống tiền, sự gia tăng gian lận quảng cáo đã gây nhiều thiệt hại và việc sử dụng các botnet nguy hiểm mới có thể làm ảnh hưởng rất nhiều đến lợi ích của quá trình tin học hóa trên toàn cầu. 

Mã độc tống tiền tăng mức độ hoạt động gây nhiều khó khăn cho các tổ chức

Theo Check Point tỷ lệ các cuộc tấn công dùng mã độc tống tiền tăng từ 5,5%, lên 10,5% (trong tổng số các cuộc tấn công phần mềm độc hại được thực hiện từ tháng 7 đến tháng 12/2016). Các xu hướng chính trong thời gian này bao gồm:

- Sự độc quyền trên thị trường của mã độc tống tiền: Hàng ngàn biến thể mã độc tống tiền mới đã được phát hiện trong năm 2016. Trong những tháng cuối năm đã xuất hiện một vài chủng mã độc nguy hiểm đang chi phối không gian mạng.

- Tấn công từ chối dịch vụ (DDoS) qua các thiết bị IoT: Vào tháng 8/2016, mạng botnet Mirai “khét tiếng” được phát hiện lần đầu tiên dưới dạng botnet IoT, tấn công các thiết bị kỹ thuật số có Internet với bảo mật kém, như máy ghi hình (DVR) và camera giám sát (CCTV). Mirai đã biến các thiết bị IoT thành bot, sử dụng chúng để tiến hành các tấn công DDoS. Rõ ràng, các thiết bị IoT được sử dụng phổ biến trong các gia đình, nên các cuộc tấn công DDoS vẫn sẽ tiếp tục.

- Các phần mở rộng tập tin mới trong thư rác: Trong suốt sáu tháng cuối năm 2016, phương pháp lây nhiễm phổ biến nhất được sử dụng trong các chiến dịch thư rác chứa mã độc là các phần mềm tải về (downloader) dựa trên trình thông dịch ngôn ngữ Windows Script (Wscript). Các phần mềm độc hại được viết bằng ngôn ngữ Javascript (JS) và VBScript (VBS) đã chi phối thị trường thư rác độc hại, cùng với các định dạng tương tự nhưng ít xuất hiện hơn như JSE, WSF, và VBE.