|
Mới đây, Sophos đă công bố “Báo cáo về các mối đe dọa bảo mật năm 2022”, phân tích chuyên sâu các xu hướng mă độc tống tiền, phần mềm độc hại, công cụ tấn công, ứng dụng đào tiền ảo và những rủi ro bảo mật khác.
Ransomware-as-a-Service: Tống tiền trở thành dịch vụ
Ransomware (mă độc tống tiền) đă trở thành loại h́nh tội phạm mạng có tốc độ phát triển mạnh nhất trong thời gian qua, mang lại cho tin tặc nguồn thu hiệu quả và nhanh chóng nhất, trong khi để lại những hậu quả mà đa số nạn nhân không thể cứu văn.
Chính v́ vậy, không ngạc nhiên khi ransomware sẽ c̣n được lan rộng. Tuy nhiên, theo ghi nhận bởi Sophos, tin tặc đang có sự thay đổi về chiến thuật trong thời gian gần đây. Thay v́ đặt mục tiêu là các cá nhân và đơn vị nhỏ lẻ, các cuộc tấn công có quy mô ngày một lớn hơn, được tập trung vào các tổ chức tầm cỡ và có tính chất được ứng biến dựa trên mô h́nh hoạt động của mỗi tổ chức.
2022 là năm mà mô h́nh Ransomware-as-a-Service (RaaS), hay “tống tiền dưới dạng dịch vụ”, trở nên nở rộ. Các nhóm tin tặc sẽ chào mời dịch vụ tấn công, cũng như cung cấp hướng dẫn và công cụ cho các nhóm tin tặc khác thực hiện hành vi xấu. Khi đă nắm trong tay vũ khí độc hại, các “khách hàng” của RaaS có thể t́m tới “chợ đen” lỗ hổng bảo mật, hay nền tảng phát tán mă độc để xác định nạn nhân tiềm năng.Vụ tấn công Colonial Pipelines, nhà vận hành đường ống dẫn dầu hàng đầu nước Mỹ, là một ví dụ điển h́nh của RaaS. Mă độc được phát triển bởi nhóm DarkSide đă gây tê liệt hệ thống xăng dầu của 17 tiểu bang thuộc vùng Đông Nam nước Mỹ, ảnh hưởng tới cuộc sống của hàng chục triệu người dân. Colonial Pipelines đă buộc phải bỏ ra gần 5 triệu USD để giành lại quyền kiểm soát từ tay hacker.
Sophos tin rằng RaaS sẽ trở thành mô h́nh chủ lực bởi nó cho phép mỗi nhóm tin tặc tập trung vào thế mạnh của ḿnh. Những nhà phát triển ransomware sẽ có thể tạo ra những mă độc phức tạp và nguy hiểm hơn, trong khi những kẻ đột nhập hệ thống sẽ truy t́m những phương thức, cũng như mục tiêu mới để triển khai mă độc. Khi kết hợp lại, các vụ tấn công tới người dùng và doanh nghiệp sẽ để lại hậu quả nghiêm trọng và khó truy vết hơn rất nhiều.
Đa dạng các mă độc phân tán tống tiền
Nguồn lợi nhuận béo bở thu về từ hành vi tống tiền là động lực để tin tặc lợi dụng ngày một nhiều thủ đoạn tinh vi hơn. Bên cạnh những mối nguy quen thuộc, hàng loạt các mối đe doạ bảo mật khác như những kẻ đột nhập hệ thống hay các phần mềm độc hại như loader hay dropper nay cũng được sử dụng để phát tán mă độc, từ đó tạo nên một mạng lưới phân phối ransomware khổng lồ.
Gootloader là một mă độc dạng loader với cơ chế tuyển chọn mục tiêu phức tạp. Ẩn ḿnh dưới dạng kết quả t́m kiếm trên Google, Gootloader sử dụng nhiều phương thức khác nhau để chỉ tấn công một tập người dùng nhất định. Trong khi đó, mă độc BazarLoader c̣n vận hành cả một hệ thống tổng đài điện thoại với những con người thật để lừa nạn nhân khởi chạy mă độc.
Nhờ sự chọn lọc, Gootloader và BazerLoader sẽ có thể ḱm hăm tốc độ lây nhiễm, từ đó giúp lọt khỏi tầm ngắm của các hăng bảo mật và chuyên gia IT.
Phương thức đe dọa mới
Sự bùng nổ của ransomware trong những năm trở lại đây đă nâng cao sự cảnh giác của nhiều người dùng và doanh nghiệp, khiến cho họ có sự đầu tư bài bản về hệ thống sao lưu (back-up) để luôn sẵn sàng cho các t́nh huống xấu. Nhận thấy điều này, ransomware đă ứng biến với những cách thức tống tiền mới.
Trong đó, phổ biến nhất là những lời đe dọa sẽ công bố dữ liệu tuyệt mật nếu nạn nhân không trả tiền. Đây là một điều đáng sợ đối với doanh nghiệp, bởi nó không chỉ gây ảnh hưởng nghiêm trọng tới uy tín, mà c̣n có thể để lộ bí mật kinh doanh, giá cổ phiếu lao dốc, thậm chí đối mặt với những án phạt từ chính quyền nếu thông tin cá nhân của người dùng bị ṛ rỉ. Một số phương thức tống tiền khác c̣n có thể kể đến cuộc gọi đe dọa hay tấn công từ chối dịch vụ (DDoS).
Tiền điện tử được vận dụng
Với tính chất phi tập trung và khó kiểm soát, các loại tiền điện tử sẽ tiếp tục được tin tặc vận dụng làm phương thức thanh toán cho các hoạt động phạm pháp. Chưa hết, 2022 sẽ chứng kiến thêm nhiều loại mă độc lợi dụng những hệ thống đă bị tấn công để cài đặt phần mềm đào tiền điện tử.
Một số mă độc như MrbMiner hay LemonDuck tập trung vào các máy chủ (server), vốn thường có năng lực xử lư mạnh hơn đáng kể so với PC thông thường và đạt hiệu quả đào tiền điện tử cao hơn. Tin tặc chiếm quyền kiểm soát vào hệ thống cơ sở dữ liệu Microsoft MySQL để đào Monero, một loại tiền điện tử với tính ẩn danh cao và khó truy xuất nguồn gốc. Sophos dự đoán xu hướng này sẽ tiếp diễn cho đến khi thị trường tiền điện tử toàn cầu được quản lư tốt hơn.
|