FortiGuard Labs: tấn công đòi tiền chuộc Ransomware ngày càng khó phát hiện hơn
Fortinet Việt Nam ngày 20-9-2023 cho biết:Fortinet (tên giao dịch trên sàn NASDAQ: FTNT), công ty an ninh mạng (Mỹ), đã công bố Báo cáo Toàn cảnh các Mối đe dọa an ninh mạng Toàn cầu (FortiGuard Labs 1H 2023 Global Threat Landscape Report) mới nhất do FortiGuard Labs thực hiện. Trong nửa đầu năm 2023, FortiGuard Labs của Fortinet đã quan sát thấy số lượng tổ chức phát hiện được sự xuất hiện của mã độc tống tiền (ransomware) ngày càng ít hơn, đồng thời FortiGuard Labs cũng phát hiện những hoạt động đáng chú ý của các nhóm thực hiện tấn công có chủ đích (Advanced Persistent Threat, APT), cùng với đó là sự biến đổi trong các kỹ thuật MITRE ATT&CK mà những kẻ tấn công sử dụng, và nhiều phát hiện đáng ghi nhận khác.
Ông Derek Manky, Giám đốc chiến lược an ninh mạng và nghiên cứu mối đe dọa toàn cầu của FortiGuard Labs, cho biết: “Việc ngăn chặn tội phạm mạng phải là nỗ lực toàn cầu, đòi hỏi sự hợp tác chặt chẽ, bền vững giữa khu vực công và tư, bên cạnh việc chú trọng đầu tư vào các dịch vụ bảo mật được hỗ trợ bởi trí tuệ nhân tạo (AI), giúp các nhóm phụ trách bảo mật thực hiện các biện pháp phòng vệ một cách tối ưu trong thời gian thực trên toàn bộ phạm vi mạng của tổ chức. Các nhóm phụ trách bảo mật không thể ‘ngồi yên’ khi những mối đe dọa vẫn đang gia tăng ở mức cao nhất từ trước tới nay. Bởi vậy, đội ngũ nghiên cứu FortiGuard Labs của Fortinet nỗ lực liên tục cung cấp những thông tin tình báo mới và thiết thực (như phân tích Red Zone và Hệ thống chấm điểm lỗ hổng bảo mật mới), nhằm hỗ trợ các nhóm phụ trách bảo mật trong việc ưu tiên xử lý các lỗ hổng một cách nhanh chóng, cũng như ứng phó linh hoạt với những mối đe dọa nhanh hơn bao giờ hết.”
Mặc dù các tổ chức vẫn luôn bị động khi phải đối mặt với sự phức tạp ngày càng tăng của các tác nhân gây hại và tình hình leo thang của các cuộc tấn công có chủ đích, việc FortiGuard Labs đưa ra những phân tích kịp thời về bối cảnh mối đe dọa trong Báo cáo sẽ giúp cung cấp những thông tin tình báo rất có giá trị, đưa ra cảnh báo sớm về các hoạt động đe dọa tiềm ẩn, giúp các nhân sự phụ trách bảo mật thiết lập ưu tiên trong chiến lược bảo mật nói chung, cũng như các nỗ lực vá các lỗ hổng cần thiết nói riêng.
Những điểm nổi bật trong Báo cáo của FortiGuard Labs được tóm tắt như sau:
Ngày càng ít tổ chức có thể tự phát hiện được sự xuất hiện của ransomware: FortiGuard Labs đã ghi nhận một sự gia tăng đáng kể về mức độ phát triển các biến thể của mã độc tống tiền trong những năm gần đây, phần lớn theo xu hướng sử dụng mô hình tấn công mã độc ransomware dưới dạng dịch vụ (Ransomware-as-a-Service, RaaS). Tuy vậy, FortiGuard Labs nhận thấy trong nửa đầu năm 2023, chỉ còn một số ít tổ chức phát hiện được sự xuất hiện của ransomware. Con số này là 13%, thấp hơn đáng kể so với 22% vào cùng thời điểm này cách đây 5 năm. Mặc dù vậy, việc duy trì tinh thần cảnh giác vẫn luôn là điều quan trọng đối với các tổ chức. Cũng theo FortiGuard Labs quan sát trong vài năm qua, xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể dựa trên sự tinh vi ngày càng cao của những kẻ tấn công với mong muốn tối ưu hóa tỷ lệ hoàn vốn đầu tư (return on investment, ROI) cho mỗi cuộc tấn công. Nghiên cứu cho thấy số lượng các vụ phát hiện mã độc tống tiền liên tục biến đổi. Tuy số liệu ghi nhận vào thời điểm giữa năm 2023 cao hơn 13 lần so với cuối năm 2022, nhưng vẫn theo xu hướng giảm tổng thể khi so sánh theo năm.
Với các lỗ hổng có nguy cơ hàng đầu theo đánh giá của Hệ thống chấm điểm lỗ hổng bảo mật (Exploit Prediction Scoring System, EPSS), trong vòng 7 ngày kể từ lúc công bố, nguy cơ bị tấn công sẽ cao hơn tới 327 lần so với bất kỳ lỗ hổng CVE nào khác: Kể từ khi thành lập, Fortinet đã đóng một vai trò quan trọng trong việc cung cấp dữ liệu hỗ trợ Hệ thống chấm điểm lỗ hổng bảo mật EPSS. Dự án này được thiết kế với mục tiêu tận dụng lượng dữ liệu vô cùng lớn để dự đoán khả năng và thời điểm mà các lỗ hổng có thể bị khai thác. FortiGuard Labs đã tiến hành phân tích dữ liệu của 6 năm, bao gồm hơn 11.000 lỗ hổng đã được công bố qua đó đã phát hiện ra các lỗ hổng và phơi nhiễm phổ biến (Common Vulnerabilities and Exposures, CVE) được xếp vào danh mục điểm cao của Hệ thống chấm điểm lỗ hổng bảo mật EPSS (thuộc Top 1% mức độ nghiêm trọng hàng đầu) có khả năng bị khai thác cao hơn tới 327 lần so với bất kỳ lỗ hổng nào khác. Dữ liệu phân tích kiểu này có thể được coi như một dấu hiệu cảnh báo sớm, giúp cho các giám đốc an toàn thông tin (CISO) và các nhóm phụ trách bảo mật phát hiện sớm nhất được những cuộc tấn công có chủ đích nhằm vào tổ chức của họ. Giống như Red Zone, được nhắc đến trong Báo cáo Toàn cảnh các Mối đe dọa An ninh mạng Toàn cầu nửa cuối năm 2022, thông tin tình báo này có thể giúp các nhóm phụ trách bảo mật xác định và ưu tiên các nỗ lực vá lỗ hổng một cách hệ thống, từ đó giảm thiểu rủi ro cho tổ chức.
Red Zone vẫn tiếp tục hỗ trợ các giám đốc an toàn thông tin trong nỗ lực ưu tiên vá lỗ hổng: Phân tích của FortiGuard Labs về hoạt động khai thác EPSS trong tự nhiên đã mở rộng phạm vi của Red Zone, giúp định lượng tỷ lệ các lỗ hổng tại các thiết bị đầu cuối đang là mục tiêu tấn công. Trong nửa cuối năm 2022, Red Zone chiếm khoảng 8,9%, nghĩa là khoảng 1.500 CVE trong số hơn 16.500 CVE được biết đến đã bị tấn công. Trong nửa đầu năm 2023, con số này đã giảm nhẹ xuống còn 8,3%. Có một sự chênh lệch nhỏ giữa nửa cuối năm 2022 và nửa đầu năm 2023, và các tác nhân gây hại vẫn đang nhắm vào các lỗ hổng trên các thiết bị đầu cuối. Cũng cần lưu ý rằng số lượng lỗ hổng được phát hiện, hiện diện và bị khai thác biến đổi không ngừng. Những yếu tố biến đổi này, kết hợp với hiệu quả của chiến lược quản lý vá lỗ hổng của tổ chức, có thể giảm rõ rệt bề mặt Red Zone. Tương tự như phân tích EPSS đã nêu trên, FortiGuard Labs tiếp tục đầu tư vào những phương pháp hiệu quả hơn nhằm hỗ trợ các tổ chức trong việc ưu tiên và nhanh chóng khắc phục các lỗ hổng.
Gần một phần ba số nhóm chuyên thực hiện tấn công APT đã có hoạt động được ghi nhận trong nửa đầu năm 2023: Lần đầu tiên trong lịch sử thực hiện báo cáo toàn cảnh về các mối đe dọa an ninh mạng trên toàn cầu, FortiGuard Labs đã theo dõi số lượng các tác nhân đe dọa đứng sau các xu hướng này. Nghiên cứu đã phát hiện ra rằng: trong tổng số 138 nhóm chuyên đe dọa tấn công an ninh mạng được tổ chức nghiên cứu bảo mật MITRE theo dõi, có tới 41 nhóm (chiếm 30%) đã có hoạt động trong thời gian nửa đầu năm 2023. Trong số đó, Turla, StrongPity, Winnti, OceanLotus và WildNeutron nổi bật là những nhóm hoạt động tích cực nhất, dựa trên số lượng mã độc phát hiện được. Với bản chất nhắm vào mục tiêu cụ thể và thực hiện những chiến dịch tương đối ngắn của APT và các nhóm tấn công mạng theo chỉ đạo quốc gia, so với với các chiến dịch dài hơi của tội phạm an ninh mạng, sự phát triển và số lượng hoạt động trong lĩnh vực này sẽ là điểm đáng lưu ý trong các báo cáo sắp tới.
Số liệu so sánh của 5 năm chỉ ra sự bùng nổ trong các loại lỗ hổng, các biến thể của mã độc và tính bền bỉ của botnet:
- Các loại lỗ hổng đặc biệt có xu hướng tăng: Trong nửa đầu năm 2023, FortiGuard Labs đã phát hiện hơn 10.000 lỗ hổng đặc biệt, tăng 68% so với 5 năm trước đây. Sự gia tăng đột biến trong việc phát hiện các lỗ hổng loại này cho thấy khối lượng lớn các cuộc tấn công bằng mã độc đã được tiến hành, đòi hỏi các nhóm phụ trách bảo mật phải nắm rõ cách thức hoạt động và phương thức ngày càng đa dạng của các cuộc tấn công diễn ra trong một khoảng thời gian tương đối ngắn. Báo cáo của FortiGuard Labs cũng cho thấy mức giảm tới 75% số các cuộc tấn công khai thác (exploitation attempt) đối với mỗi tổ chức trong vòng 5 năm, và mức giảm 10% trong các cuộc tấn công khai thác đặc biệt nghiêm trọng, điều này cho thấy với các bộ công cụ khai thác phát triển tiên tiến hơn, các cuộc tấn công hiện nay đang tập trung vào các mục tiêu cụ thể hơn so với những năm trước.
- Các “họ” và biến thể của mã độc bùng nổ, với mức độ tăng lần lượt là 135% và 175%: Bên cạnh sự gia tăng đáng chú ý trong các “họ” (families) và biến thể của mã độc, một khám phá đầy bất ngờ khác là số lượng các “họ” mã độc đã lan truyền đến ít nhất 10% tổ chức toàn cầu (ngưỡng phổ biến đáng kể) – tăng gấp đôi trong 5 năm qua. Sự gia tăng về số lượng và mức độ phổ biến của mã độc này có thể là do ngày càng nhiều nhóm tội phạm mạng và các nhóm tấn công APT mở rộng hoạt động và đa dạng hóa các cuộc tấn công của chúng trong những năm gần đây. Một trọng tâm quan trọng của Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây là sự gia tăng mã độc wiper chủ yếu liên quan đến cuộc xung đột Nga-Ukraine. Sự gia tăng này vẫn tiếp tục trong suốt năm 2022 nhưng chậm lại trong nửa đầu năm 2023. FortiGuard Labs quan sát thấy mã độc wiper vẫn đang tiếp tục được sử dụng khi nhắm mục tiêu vào các tổ chức chính phủ và trong các ngành như công nghệ, sản xuất, viễn thông và y tế.
- Các botnet tồn tại trong mạng lâu hơn bao giờ hết: Mặc dù Báo cáo của FortiGuard Labs cho thấy có sự gia tăng về số lượng botnet hoạt động (+27%) và tần suất tiếp xúc cao hơn giữa các tổ chức trong nửa thập kỷ qua (+126%), một trong những phát hiện gây chú ý khác là sự gia tăng đáng kể theo cấp số nhân trong tổng số “ngày hoạt động”(active days) – được FortiGuard Labs định nghĩa là khoảng thời gian kéo dài từ lần tấn công đầu tiên từ một botnet nhất định trên một cảm biến đến lần tấn công cuối cùng. Trong sáu tháng đầu năm 2023, thời gian trung bình mà các botnet tồn tại trước khi kết thúc liên lạc chỉ huy và kiểm soát (C2, command and control) là 83 ngày, tăng hơn 1.000 lần so với 5 năm trước. Đây chính là một ví dụ khác về tầm quan trọng của việc giảm thời gian phản hồi, vì khi các tổ chức để botnet tồn tại càng lâu thì thiệt hại và rủi ro đối với hoạt động kinh doanh của họ càng lớn.
Phá vỡ hoạt động của tội phạm mạng đòi hỏi một phương thức tiếp cận toàn diện
Những đóng góp của FortiGuard Labs cho cộng đồng qua việc chia sẻ thông tin về các mối đe dọa trong suốt thập kỷ qua tạo ra ảnh hưởng tích cực đáng kể trên phạm vi toàn cầu, đồng thời giúp cải thiện khả năng bảo vệ cho khách hàng, đối tác và các chính phủ trong cuộc chiến chống lại tội phạm mạng. Việc phá vỡ những rào cản cách biệt và nâng cao chất lượng thông tin về các mối đe dọa bằng cách tự đưa ra hành động phòng vệ giúp các tổ chức có thể giảm thiểu rủi ro và nâng cao hiệu quả cho ngành an ninh mạng. Ngày nay, những người bảo vệ an ninh mạng có quyền truy cập vào các công cụ, kiến thức và hỗ trợ cần thiết để có thể thay đổi nhiều mặt hoạt động của các tác nhân gây hại, kể cả tác động kinh tế. Tuy nhiên, cam kết toàn ngành trong việc hợp tác và chia sẻ thông tin tình báo sẽ tạo ra một hệ sinh thái đột phá với quy mô lớn hơn, mang lại ưu thế vượt trội cho ngành trong cuộc đối đầu với tội phạm mạng.
Fortinet cho biết: Là một công ty hàng đầu trong lĩnh vực bảo mật mạng và mang tới những đổi mới kỹ thuật cấp doanh nghiệp, Fortinet đã góp phần bảo vệ an toàn cho hơn nửa triệu tổ chức trên toàn thế giới, bao gồm các doanh nghiệp toàn cầu, các nhà cung cấp dịch vụ quốc tế và các cơ quan chính phủ. Đáng chú ý, việc Fortinet không ngừng phát triển trí tuệ nhân tạo (AI) ứng dụng vào các trường hợp sử dụng an ninh mạng, vào cả FortiGuard Labs và danh mục sản phẩm, đang đẩy nhanh tốc độ trong việc ngăn chặn, phát hiện và ứng phó với các mối đe dọa cả đã biết lẫn chưa biết.
Cụ thể, FortiGuard sử dụng các dịch vụ bảo mật tiên tiến dựa trên AI, được tích hợp vào các biện pháp kiểm soát bảo mật triển khai trên khắp các điểm cuối và các ứng dụng trên cơ sở hạ tầng mạng và đám mây. Các công nghệ phát hiện và phản hồi được xây dựng với mục đích tận dụng các công cụ AI và phân tích đám mây (bao gồm EDR, NDR và các công nghệ khác) được tích hợp linh hoạt như những tiện ích mở rộng của các biện pháp kiểm soát hoặc điều khiển đang sử dụng. Đồng thời, Fortinet còn cung cấp các công cụ phản hồi tập trung như XDR, SIEM, SOAR, DRPS và nhiều giải pháp khác, ứng dụng các công nghệ AI, tự động hóa để có thể gia tăng tốc độ trong việc khắc phục. Tất cả những điều này có khả năng tạo nên sự chống lại mạnh mẽ trước hoạt động tội phạm mạng trên toàn bộ bề mặt tấn công và xuyên suốt chuỗi tấn công mạng.
Tổng quan về Báo cáo Toàn cảnh các Mối đe dọa Toàn cầu (Global Threat Landscape Report)
Báo cáo Toàn cảnh các Mối đe dọa Toàn cầu (Global Threat Landscape Report) mới nhất này là quan điểm đại diện cho trí tuệ tập thể của FortiGuard Labs, trên cơ sở dữ liệu từ số lượng lớn cảm biến của Fortinet thu thập hàng tỷ sự kiện tấn công an ninh mạng ghi nhận được trên toàn thế giới trong nửa đầu năm 2023. Sử dụng MITRE ATT&CK để phân loại chiến thuật, kỹ thuật và thủ tục (TTP) của tội phạm, Báo cáo Toàn cảnh các Mối đe dọa Toàn cầu của FortiGuard Labs mô tả cách thức các tác nhân đe dọa nhắm mục tiêu vào các lỗ hổng, xây dựng cơ sở hạ tầng phục vụ cho việc phá hoại và khai thác các mục tiêu của chúng.
Xin mời xem video:
.
Bạn đọc có thể tìm hiểu thêm tất cả các phân tích chi tiết của FortiGuard Labs trong Báo cáo Toàn cảnh các Mối đe dọa An ninh mạng Toàn cầu 6 tháng đầu năm 2023 (FortiGuard Labs 1H 2023 Global Threat Landscape Report). Download tại đây.
T.N.X.
Nguồn do Fortinet cung cấp.