Tấn công mã độc tống tiền ngày càng tinh vi và khó phát hiện
Số lượng các tổ chức phát hiện ra phần mềm tống tiền ngày càng sụt giảm
Theo báo cáo, ngày càng có ít tổ chức có thể tự phát hiện mã độc tống tiền. FortiGuard Labs đã ghi nhận sự gia tăng đáng kể về mức độ phát triển các biến thể của mã độc tống tiền trong những năm gần đây, phần lớn theo xu hướng sử dụng mô hình tấn công dưới dạng Ransomware-as-a-Service (RaaS).
Tuy nhiên, FortiGuard Labs nhận thấy tổ chức phát hiện được sự xuất hiện của mã độc tống tiền trong nửa đầu năm 2023 (13%) so với thời điểm này 5 năm trước (22%). Mặc dù vậy, việc duy trì tinh thần cảnh giác vẫn luôn là điều quan trọng đối với các tổ chức/doanh nghiệp.
Cũng theo FortiGuard Labs quan sát trong vài năm qua, xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể, dựa trên sự tinh vi ngày càng cao của những kẻ tấn công với mong muốn tối ưu hóa tỷ lệ hoàn vốn đầu tư (ROI) cho mỗi cuộc tấn công.
Nghiên cứu cho thấy số lượng các vụ phát hiện mã độc tống tiền liên tục biến đổi. Tuy số liệu ghi nhận 6 tháng đầu năm 2023 cao hơn 13 lần so với cuối năm 2022, nhưng nhìn chung vẫn có xu hướng giảm khi so sánh với cùng kỳ năm trước.
Các tác nhân độc hại có khả năng tấn công các lỗ hổng EPSS hàng đầu trong vòng 1 tuần cao hơn 327 lần so với tất cả các lỗi CVE khác
Hệ thống chấm điểm lỗ hổng bảo mật EPSS được thiết kế với mục tiêu tận dụng lượng dữ liệu vô cùng lớn để dự đoán khả năng và thời điểm mà các lỗ hổng có thể bị khai thác.
Các nhà nghiên cứu đã tiến hành phân tích dữ liệu của 6 năm, bao gồm hơn 11.000 lỗ hổng đã được công bố, qua đó đã phát hiện ra các lỗ hổng và nguy cơ được tiết lộ công khai (CVE) được xếp vào danh mục điểm cao của Hệ thống chấm điểm lỗ hổng bảo mật EPSS (thuộc top 1% mức độ nghiêm trọng hàng đầu) có khả năng bị khai thác cao hơn tới 327 lần so với bất kỳ lỗ hổng nào khác.
Dữ liệu phân tích được coi như một dấu hiệu cảnh báo sớm, giúp cho lãnh đạo an toàn thông tin và các nhóm phụ trách bảo mật phát hiện sớm nhất được những cuộc tấn công có chủ đích nhằm vào tổ chức của họ. Giống như Red Zone, được nhắc đến trong Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây nhất (nửa cuối năm 2022), thông tin tình báo này có thể giúp các nhóm phụ trách bảo mật xác định và ưu tiên các nỗ lực vá lỗ hổng một cách hệ thống, từ đó giảm thiểu rủi ro cho tổ chức/doanh nghiệp.
Phân tích về hoạt động khai thác EPSS trong tự nhiên đã mở rộng phạm vi của Red Zone, giúp định lượng tỷ lệ các lỗ hổng tại các thiết bị đầu cuối đang là mục tiêu tấn công. Trong nửa cuối năm 2022, Red Zone chiếm khoảng 8.9%, nghĩa là khoảng 1.500 CVEs trong số hơn 16.500 CVE được biết đến đã bị tấn công. Trong nửa đầu năm 2023, con số này đã giảm nhẹ xuống còn 8,3%.
30% nhóm APT đã hoạt động trong nửa đầu năm 2023
Nghiên cứu đã phát hiện ra rằng trong tổng số 138 nhóm chuyên đe dọa tấn công an ninh mạng được tổ chức nghiên cứu bảo mật MITRE theo dõi, có tới 41 nhóm (chiếm 30%) đã có hoạt động trong thời gian nửa đầu năm 2023. Trong số đó, Turla, StrongPity, Winnti, OceanLotus và WildNeutron nổi bật là những nhóm hoạt động tích cực nhất, dựa trên số lượng mã độc bị phát hiện. Với bản chất nhắm vào mục tiêu cụ thể và thực hiện những chiến dịch tương đối ngắn của APT cùng với các nhóm tấn công mạng được sự hậu thuẫn từ chính phủ, so với với các chiến dịch dài hơi của tội phạm an ninh mạng, sự phát triển và số lượng hoạt động trong lĩnh vực này sẽ là điểm đáng lưu ý trong các báo cáo sắp tới.
Các loại lỗ hổng đặc biệt có xu hướng tăng
Trong nửa đầu năm 2023, FortiGuard Labs đã phát hiện hơn 10.000 cách khai thác lỗ hổng đặc biệt, tăng 68% so với 5 năm trước đây. Sự gia tăng đột biến trong việc phát hiện các lỗ hổng loại này cho thấy khối lượng lớn các cuộc tấn công độc hại đã được tiến hành, đòi hỏi các nhóm phụ trách bảo mật phải nắm rõ cách thức hoạt động và phương thức ngày càng đa dạng của các cuộc tấn công diễn ra trong một khoảng thời gian tương đối ngắn.
Báo cáo của FortiGuard Labs cũng cho thấy mức giảm tới 75% số các cuộc tấn công khai thác (exploitation) đối với mỗi tổ chức trong vòng 5 năm và mức giảm 10% trong các cuộc tấn công khai thác đặc biệt nghiêm trọng, điều này cho thấy rằng mặc dù các bộ công cụ khai thác đã được phát triển, thế nhưng các cuộc tấn công hiện nay đang tập trung vào các mục tiêu cụ thể hơn so với những năm trước.
Gia tăng các họ và biến thể phần mềm độc hại, với mức độ tăng lần lượt là 135% và 175%
Bên cạnh sự gia tăng đáng chú ý trong các họ và biến thể của mã độc, một khám phá đầy bất ngờ khác là số lượng các họ mã độc đã lan truyền đến ít nhất 10% tổ chức toàn cầu (ngưỡng phổ biến đáng kể), tăng gấp đôi trong 5 năm qua. Sự gia tăng về số lượng và mức độ phổ biến của mã độc này có thể là do ngày càng nhiều nhóm tội phạm mạng và các nhóm tấn công APT mở rộng hoạt động và đa dạng hóa các cuộc tấn công của chúng trong những năm gần đây.
Một trọng tâm quan trọng của Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây là sự gia tăng mã độc Wiper chủ yếu liên quan đến cuộc xung đột Nga - Ukraine. Sự gia tăng này vẫn tiếp tục trong suốt năm 2022 nhưng chậm lại trong nửa đầu năm 2023. FortiGuard Labs quan sát thấy mã độc Wiper vẫn đang tiếp tục được sử dụng khi nhắm mục tiêu vào các tổ chức chính phủ và trong các ngành như công nghệ, sản xuất, viễn thông và y tế.
Các botnet duy trì lâu dài sự tồn tại trong mạng
Mặc dù Báo cáo của FortiGuard Labs cho thấy có sự gia tăng về số lượng botnet hoạt động (tăng 27%) và tần suất tiếp xúc cao hơn giữa các tổ chức trong nửa thập kỷ qua (tăng 126%), một trong những phát hiện gây chú ý khác là sự gia tăng đáng kể theo cấp số nhân trong tổng số ngày hoạt động.
Trong 6 tháng đầu năm 2023, thời gian trung bình mà các botnet tồn tại trước khi kết thúc liên lạc chỉ huy và kiểm soát (C2) là 83 ngày, tăng hơn 1.000 lần so với 5 năm trước. Đây chính là một ví dụ khác về tầm quan trọng của việc giảm thời gian phản hồi, vì khi các tổ chức để botnet tồn tại càng lâu thì thiệt hại và rủi ro đối với hoạt động kinh doanh của họ càng lớn.
Những đóng góp của FortiGuard Labs cho cộng đồng qua việc chia sẻ thông tin về các mối đe dọa trong suốt thập kỷ qua tạo ra ảnh hưởng tích cực đáng kể trên phạm vi toàn cầu, đồng thời giúp cải thiện khả năng bảo vệ cho khách hàng, đối tác và các chính phủ trong cuộc chiến chống lại tội phạm mạng. Việc phá vỡ những rào cản cách biệt và nâng cao chất lượng thông tin về các mối đe dọa bằng cách tự đưa ra hành động phòng vệ giúp các tổ chức có thể giảm thiểu rủi ro và nâng cao hiệu quả cho lĩnh vực an ninh mạng.
Trần Thanh Tùng