Dựa trên thông tin tình báo về mối đe dọa do FortiRecon cung cấp, các chuyên gia FortiGuard Labs nhận định, Olympics Paris 2024 đã trở thành mục tiêu của số đông tội phạm mạng trên toàn thế giới.
Các tác nhân đe dọa nhắm vào Olympics Paris 2024
Theo đó, FortiGuard Labs đã quan sát thấy tội phạm mang đang gia tăng đáng kể các nguồn lực hướng đến Olympics Paris 2024 - đặc biệt là những nguồn lực nhắm vào người dùng nói tiếng Pháp, các cơ quan chính phủ và các doanh nghiệp Pháp cũng như các nhà cung cấp cơ sở hạ tầng của Pháp.
Cụ thể, từ 6 tháng cuối năm 2023, FortiGuard Labs đã nhận thấy sự gia tăng hoạt động của darknet nhắm vào Pháp. Mức tăng từ 80% đến 90% này đã duy trì nhất quán trong nửa cuối năm 2023 và nửa đầu năm 2024. Điều này chứng tỏ tội phạm mang đang lên kế hoạch kỹ càng, trong đó dark web đóng vai trò là trung tâm cho các hoạt động của chúng.
Báo cáo ghi nhận các nhóm tội phạm mạng đang chuẩn bị sẵn ngày càng nhiều công cụ và dịch vụ tiên tiến được thiết kế để sử dụng cho các vụ vi phạm dữ liệu và thu thập thông tin nhận dạng cá nhân (PII), hoạt động mua bán các thông tin đăng nhập bị đánh cắp và kết nối VPN bị xâm nhập cho phép truy cập trái phép vào các mạng riêng... Cùng đó là các quảng cáo về bộ công cụ phishing, công cụ khai thác được tùy chỉnh riêng cho Olympics Paris 2024. Các hoạt động này cũng liên quan đến việc mua bán cơ sở dữ liệu của Pháp với các thông tin cá nhân nhạy cảm như tên đầy đủ, ngày sinh, số định danh cá nhân, địa chỉ email, số điện thoại, địa chỉ thường trú và các thông tin nhận dạng cá nhân khác, cũng như các danh sách kết hợp (một tập hợp tên người dùng và mật khẩu bị xâm nhập được sử dụng cho các cuộc tấn công brute-force tự động) của các công dân Pháp.
Cùng đó, có sự gia tăng đột biến trong hoạt động hacktivist của các nhóm thân Nga –như LulzSec, noname057(16), Cyber Army Russia Reborn, Cyber Dragon và Dragonforce – đặc biệt kêu gọi nhắm vào các môn thi đấu tại Thế vận hội. Các nhóm từ các quốc gia và khu vực khác cũng rất phổ biến, bao gồm Anonymous Sudan (Sudan), Gamesia Team (Indonesia), Turk Hack Team (Thổ Nhĩ Kỳ) và Team Anon Force (Ấn Độ).
Ngoài ra, đội ngũ FortiGuard Labs cũng đã ghi nhận một số lượng lớn các tên miền typosquatting (còn được gọi là chiếm quyền điều khiển URL) được đăng ký gần giống tên Olympics Paris 2024 có thể được sử dụng trong các chiến dịch phishing, bao gồm các biến thể về tên (oympics[.]com, olmpics[.]com, olimpics[.]com và nhiều tên khác). Các miền này kết hợp với các phiên bản sao chép của trang web bán vé chính thức đưa người dùng đến phương thức thanh toán lừa đảot.
Phối hợp với các đối tác của Thế vận hội, Lực lượng Hiến binh Quốc gia Pháp đã xác định được 338 trang web lừa đảo tự nhận bán vé Olympic. Theo dữ liệu của họ, 51 trang web đã bị đóng cửa và 140 trang web đã nhận được thông báo chính thức từ cơ quan thực thi pháp luật.
Cùng đó là sự gia tăng các dịch vụ mã hóa để tạo các trang web phishing và các bảng điều khiển trực tiếp liên kết, các dịch vụ SMS cho phép gửi tin nhắn hàng loạt, và các dịch vụ giả mạo số điện thoại...
Theo FortiGuard Labs, Raccoon hiện là phần mềm đánh cắp thông tin hoạt động tích cực nhất ở Pháp, chiếm 59% tổng số vụ phát hiện. Raccoon là một Phần mềm độc hại dưới dạng dịch vụ (MaaS) hiệu quả, chi phí thấp được bán trên các diễn đàn dark web. Phần mềm này đánh cắp mật khẩu tự động điền của trình duyệt, lịch sử, cookie, thẻ tín dụng, tên người dùng, mật khẩu, ví tiền điện tử cryptocurrency wallet và các dữ liệu nhạy cảm khác. Tiếp theo là Lumma (một loại Phần mềm độc hại dưới dạng dịch vụ khác dựa trên người đăng ký) ở mức 21% và Vidar ở mức 9%.
Những khuyến nghị từ FortiGuard Labs
Người dùng cần cài đặt bảo vệ thiết bị hoặc hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối (EDR) trên tất cả các thiết bị, cẩn thận hơn khi kết nối với các mạng không dây công cộng và sử dụng các dịch vụ SASE để mã hóa lưu lượng truy cập.
Với nhà tổ chức và các đơn vị liên quan, FortiGuard Labs khuyến cáo nên đẩy mạnh đào tạo, nâng cao nhận thức cho nhân viên và người dùng; các chiến dịch nâng cao nhận thức cộng đồng để phổ biến về các mối đe dọa an ninh mạng, hướng dẫn cách nhận diện các cuộc tấn công phishing, tránh các đường link đáng ngờ và báo cáo các mối đe dọa tiềm ẩn cho các cơ quan chức năng.
Cùng đó, cần sử dụng các công cụ điều phối, tự động hóa và phản hồi bảo mật để phát hiện và ứng phó kịp thời với các hoạt động bất thường. Duy trì việc mã hóa các bản sao lưu của dữ liệu quan trọng, và các bản sao lưu này cần được lưu trữ ngoại tuyến một cách an toàn để giảm thiểu tác động của các cuộc tấn công ransomware.
Đồng thời, liên tục giám sát và đánh giá bề mặt tấn công bên ngoài của cơ sở hạ tầng CNTT để xác định các lỗ hổng và rủi ro tiềm ẩn. Thực hiện các biện pháp bảo mật truy cập giao thức máy tính từ xa và ngăn chặn việc khai thác lỗi cấu hình sai của máy chủ web. Truy cập trang Fortinet DRP để biết thông tin về cách FortiRecon có thể trợ giúp.
Ngoài ra, cần triển khai phần mềm diệt virus và phần mềm chống phần mềm độc hại trên tất cả các thiết bị; Duy trì cập nhật phần mềm và hệ điều hành bằng cách liên tục cập nhật các bản vá lỗ hổng bảo mật; Bảo vệ cơ sở hạ tầng bằng các giải pháp ngăn chặn DDoS đa lớp, bao gồm tường lửa, VPN và bộ lọc chống spam; Giám sát lưu lượng truy cập mạng để phát hiện những điểm bất thường có thể chỉ ra các cuộc tấn công DDoS và thực hiện các hành động phòng ngừa...