Thời buổi mã độc như rươi

Trong năm 2023, các nạn nhân của mã độc tống tiền đã phải cắn răng đưa hơn 1 tỉ USD bằng tiền mã hóa cho bọn tội phạm, một kỷ lục chưa từng có, theo Công ty phân tích Chainalysis. Kỷ lục buồn này cũng cho thấy cuộc chiến với mã độc chưa bao giờ hết nóng.

Khoảng 93% chuyên gia công nghệ thông tin tin rằng các mối đe dọa bảo mật đang gia tăng cả về số lượng và mức độ nghiêm trọng, tăng đáng kể so với mức 47% của năm ngoái, theo một khảo sát của công ty cung cấp giải pháp bảo mật Thales. 

Có thể thấy dù các biện pháp bảo vệ chống mã độc đã phát triển theo thời gian, kẻ xấu luôn có thủ đoạn và phương tiện mới để kéo dài cuộc rượt đuổi chưa có hồi kết này.

Mắt xích yếu nhất là con người

Mã độc (malware) được dự đoán là mối đe dọa phát triển nhanh nhất năm 2024 khi mới ba tháng trôi qua mà có đến 41% doanh nghiệp cho biết đã là nạn nhân của mã độc, theo Thales. 

Tấn công giả mạo (phishing) và mã độc tống tiền (ransomware) lần lượt xếp tiếp theo trong danh sách này. Cũng theo khảo sát trên, số doanh nghiệp gặp phải các cuộc tấn công ransomware đã tăng hơn 27% trong năm qua.

Bất chấp mối đe dọa ngày càng tăng này, chưa đến một nửa số tổ chức được khảo sát có kế hoạch chính thức để ứng phó với mã độc. Khoảng 8% các doanh nghiệp đã phải đáp ứng các yêu cầu về tiền chuộc của kẻ tấn công để lấy lại dữ liệu bị mã hóa nhằm tống tiền.

Đối tượng của các cuộc tấn công kiểu này thường là những tài sản có giá trị được triển khai trên đám mây, như ứng dụng phần mềm dạng dịch vụ (SaaS), giải pháp lưu trữ và cơ sở hạ tầng trọng yếu. Đơn cử như nhóm tin tặc LockBit từng lập kỷ lục với con số tống tiền lên đến 80 triệu USD sau khi tấn công hệ thống của Bưu điện hoàng gia Anh quốc.

Trang tin an ninh mạng Help Net Security cho biết đây là năm thứ hai liên tiếp lỗi con người được ghi nhận là nguyên nhân hàng đầu gây ra các sự cố rò rỉ thông tin, với 31% doanh nghiệp xác định con người là nguyên nhân gốc rễ của các vụ việc.

Báo cáo cũng cho thấy 43% doanh nghiệp được khảo sát đã không vượt qua kỳ kiểm tra tuân thủ (compliance test - kiểm tra đơn vị có đáp ứng tất cả các tiêu chuẩn an toàn, bảo mật theo quy định hay không) trong 12 tháng gần nhất.

"Nếu có một điểm rút ra được từ nghiên cứu năm nay thì đó là tuân thủ đóng vai trò mấu chốt. Trên thực tế, những công ty nắm rõ quy trình tuân thủ và vượt qua tất cả các cuộc kiểm tra cũng ít có khả năng gặp sự cố bảo mật hơn" - Help New Security dẫn lời Sebastien Cano, phó tổng giám đốc cấp cao của Thales.

Thật vậy, tỉ lệ gặp sự cố bảo mật của nhóm vượt qua kiểm tra tuân thủ chỉ là 3%, thấp hơn 10 lần so với nhóm không vượt qua kiểm tra (31%).

Tin tặc tiến bộ từng ngày

"Bức tranh toàn cảnh của các mối đe dọa bảo mật không ngừng tiến hóa, đặc biệt là với sự bùng nổ của trí tuệ nhân tạo (AI) và những đối thủ mới với chiến lược và chiến thuật mới" - Help Net Security dẫn lời Mark Stockley, một chuyên gia an ninh mạng làm việc tại đơn vị nghiên cứu mã độc Malwarebytes ThreatDown Labs.

Bằng chứng là nhóm tin tặc CL0P gần đây đã thực hiện cuộc tấn công theo cách thức chưa có tiền lệ bằng một loạt chiến dịch ngắn và tự động, tấn công đồng thời hàng trăm mục tiêu bằng các cuộc tấn công dựa trên khai thác điểm yếu zero-day (lỗ hổng bảo mật chưa được phát hiện).

Mã độc quảng cáo (malvertising) là một phương thức tấn công khác nổi lên trong năm 2023, đe dọa cả doanh nghiệp cũng như người tiêu dùng cá nhân. Vô số chiến dịch được ghi nhận mạo danh các thương hiệu nổi tiếng như Amazon, Zoom và WebEx để phát tán phần mềm độc hại thông qua các quảng cáo đánh lừa người dùng tải phần mềm chứa mã độc xuống thiết bị của họ, theo Malwarebytes ThreatDown Labs. Các thương hiệu bị giả mạo nhiều nhất bao gồm Amazon, Rufus, Weebly, NotePad++ và Trading View.

Ngoài ra, các cuộc tấn công nhắm vào tài khoản ngân hàng của nạn nhân cũng không ngừng tiến hóa. Mawarebytes ThreatDown Labs ghi nhận 88.500 lượt tấn công trên thiết bị Android trong năm 2023, trong đó mã độc được ngụy trang dưới dạng các ứng dụng phổ biến như công cụ quét mã QR, app theo dõi sức khỏe hoặc thậm chí là bản sao của các ứng dụng phổ biến như Instagram để đánh cắp mật khẩu ngân hàng.

Bộ phận phân tích mối đe dọa của Google mới đây đưa ra cảnh báo một cách thức tấn công mới của nhóm tin tặc Nga Coldriver sử dụng tập tin được mã hóa. Theo đó, kẻ tấn công gửi một tập tin định dạng PDF đã được mã hóa bằng tài khoản giả mạo đến địa chỉ email của đối tượng. Bản thân tập tin này hoàn toàn vô hại. 

Khi người dùng phản hồi rằng họ không thể mở được tập tin để xem nội dung, tin tặc sẽ hướng dẫn họ tải công cụ giải mã - chính phần mềm này mới chứa mã độc giúp kẻ tấn công chiếm quyền kiểm soát thiết bị nạn nhân.

Nhóm nghiên cứu của Google cho biết phần mềm này giúp kẻ xấu làm được nhiều trò khác nhau trên máy tính bị dính mã độc, chẳng hạn như tải tập tin từ Internet và thực thi các lệnh điều khiển hệ điều hành mà nạn nhân không hề hay biết, theo trang Silicon Republic.

Chớ tin "mắt thấy, tai nghe"

Tấn công bằng thủ thuật thao túng hành vi (social engineering) dù không mới nhưng vẫn là một trong những cách thức tấn công hiệu quả nhất khi khai thác điểm yếu tâm lý con người, chẳng hạn như xu hướng hành động bốc đồng khi ở trong tình huống căng thẳng.

"Hãy tưởng tượng một thế giới nơi video do một đồng nghiệp gửi có thể là một cái bẫy, nơi giọng nói quen thuộc trên điện thoại có thể chỉ là ảo ảnh kỹ thuật số và nơi tin nhắn từ một người bạn đáng tin cậy cũng có thể là một nhân cách giả mạo" - tác giả Perry Carpenter viết cho trang Information Week.

Bên cạnh phishing qua email và điện thoại là những phương thức thao túng hành vi đã quá phổ biến, những kẻ lừa đảo đã tiến hóa thêm một bậc khi ứng dụng AI vào bài tấn công của mình.

Theo báo cáo về tình hình tội phạm Internet năm 2022 của Cục Điều tra liên bang Mỹ (FBI), lừa đảo thông qua email doanh nghiệp là nguyên nhân gây thất thoát 2,7 tỉ USD trong năm. Điển hình nhất là vụ nhân viên phòng tài chính của một doanh nghiệp đã chuyển 1,2 triệu USD đến tài khoản của bọn lừa đảo nằm ở nước ngoài sau khi nhận email từ "CEO" của công ty yêu cầu thực hiện thanh toán khẩn cấp cho một "thương vụ thâu tóm nhạy cảm".

Tinh vi hơn, một vụ việc được báo cáo năm 2023 cho thấy kẻ lừa đảo đã sử dụng video deepfake (gương mặt và giọng nói được ghép nhưng trông như thật) giả mạo CEO một công ty yêu cầu bộ phận tài chính chuyển tiền cho đối tác. Video chân thật cộng với việc được gửi bằng email chính chủ (đã bị đánh cắp thông tin đăng nhập) khiến không ai mảy may nghi ngờ mà thực hiện theo yêu cầu bọn lừa đảo.

Trong một số trường hợp, kẻ tấn công áp dụng chiến thuật "chăm bẵm ba năm, chén một giờ" bằng cách lân la kết thân với nạn nhân thông qua tài khoản mạng xã hội giả mạo với mọi thông tin được tạo ra bằng AI. 

Kiểu tấn công này có thể kéo dài nhiều tháng hoặc nhiều năm để tạo sự tin tưởng trước khi hạ gục con mồi bằng cách gửi đường dẫn đến một trang web để thu thập thông tin nhạy cảm mà đối tượng không mảy may nghi ngờ.

Ransomware - muốn là có

Theo Chainalysis, trong năm 2023 những kẻ tấn công ransomware đã tăng cường hoạt động nhắm vào các tổ chức lớn và cơ sở hạ tầng trọng yếu bao gồm bệnh viện, trường học và cơ quan chính phủ, lập một kỷ lục đáng buồn là vượt quá 1 tỉ USD khoản thanh toán tương đương bằng tiền điện tử đã tống tiền thành công từ các nạn nhân. Các cuộc tấn công mã độc tống tiền đã tăng mạnh cả về tần suất, quy mô và khối lượng, theo báo cáo năm 2023 của Chainalysis.

Đơn vị nghiên cứu mã độc Unit 42 thuộc công ty an ninh mạng Palo Alto Networks cho biết số nạn nhân được báo cáo bởi các trang web rò rỉ dữ liệu tống tiền ransomware đã tăng 49% trong năm 2023, trang The Verge đưa tin. Công ty an ninh mạng Recorded Future thì ước tính năm ngoái có đến 538 chủng ransomware mới ra đời, trong đó không ít đến từ các nhóm tin tặc độc lập mới nổi.

Năm 2023 cũng ghi nhận sự thành công của chiến thuật tống tiền "cá lớn" mà điển hình là nhóm Cl0p - thực hiện ít cuộc tấn công hơn nhưng nhắm đến những đối tượng giá trị cao và thu về nhiều tiền hơn cho mỗi vụ.

Mô hình cung cấp "ransomware theo yêu cầu" (ransomware as a service - RaaS) cũng được ưa chuộng, trong đó kẻ tấn công sử dụng mã độc được viết và vận hành bởi bên thứ ba rồi ăn chia phần trăm trên mỗi vụ tống tiền thành công. 

Mô hình này nguy hiểm ở chỗ mã độc trở thành món hàng dễ dàng được phát tán bởi cả những tên tin tặc tay mơ, trong khi kẻ phát triển chúng thì có thể tập trung tối ưu hóa phần mềm độc hại, không cần ra mặt mà vẫn có nguồn tiền ổn định.

"Sự gia tăng khối lượng tấn công có thể là do tính dễ truy cập của mô hình liên kết và việc áp dụng ransomware dưới dạng dịch vụ, một mô hình kinh doanh hiệu quả đáng lo ngại đối với tội phạm mạng" - Chainalysis dẫn lời Andrew Davis, tổng cố vấn tại Kivu Consulting, một công ty chuyên ứng phó sự cố an ninh mạng.

Bức tranh ransomware năm 2023 không hoàn toàn là một mảng xám. Đây cũng là năm chứng kiến những chiến thắng đáng kể trong cuộc chiến chống lại ransomware nhờ sự hợp tác giữa cơ quan thực thi pháp luật quốc tế, các tổ chức bị ảnh hưởng và các công ty an ninh mạng.

"Việc triệt phá mã độc Hive và làm gián đoạn khả năng tấn công của nhóm tin tặc BlackCat đều là những ví dụ tuyệt vời về cách FBI ưu tiên hỗ trợ nạn nhân, giúp đỡ nạn nhân và buộc những kẻ xấu phải trả giá" - theo Lizzie Cookson, giám đốc cấp cao tại Coveware, một công ty cung cấp dịch vụ phản ứng nhanh với tấn công ransomware.