Theo đó, Fortinet mới đây công bố Báo cáo Toàn cảnh các mối đe dọa an ninh mạng toàn cầu nửa đầu năm 2021 (FortiGuard Labs Global Threat Landscape Report) do FortiGuard Labs thực hiện.

Báo cáo chỉ ra sự tăng trưởng đáng kể về số lượng và mức độ tinh vi của các cuộc tấn công nhắm tới các cá nhân, tổ chức, cũng như ngày càng nhiều hơn tới các cơ sở hạ tầng thiết yếu. Bề mặt tấn công đang mở rộng bởi lực lượng lao động làm việc từ xa hay kết hợp có kết nối cả trong và ngoài mạng truyền thống, đang tiếp tục trở thành mục tiêu tấn công.

Mã độc tống tiền không chỉ nhắm mục tiêu vào tiền

Dữ liệu từ FortiGuard Labs chỉ ra rằng mức độ hoạt động trung bình hàng tuần của mã độc tống tiền (Ransomware) vào tháng 6/2021 đã cao hơn gấp 10 lần so với một năm về trước. Đây là sự tăng trưởng liên tục và đáng lo ngại trong giai đoạn một năm qua.

Các tổ chức trong lĩnh vực viễn thông là mục tiêu bị tấn công nặng nề nhất, sau đó là các cơ quan chính phủ, các đơn vị cung ứng dịch vụ an ninh được quản lý, ngành ô tô và lĩnh vực chế tạo. Hơn nữa, tin tặc đã thay đổi chiến lược sử dụng các payload trong email, thay vào đó tập trung vào việc chiếm dụng và bán quyền truy cập ban đầu vào các hệ thống mạng công ty. Điều đó cho thấy sự biến đổi không ngừng của tội phạm mạng cung cấp Mã độc tống tiền như một dịch vụ (RaaS).

Cùng đó, ransomware vẫn là mối nguy hiểm thường trực đối với tất cả các tổ chức ở mọi quy mô và lĩnh vực. Các tổ chức cần một phương thức tiếp cận chủ động với các giải pháp bảo vệ endpoint, phát hiện và ứng phó tự động theo thời gian thực để bảo vệ các môi trường, đồng thời triển khai hình thức truy cập zero-trust, phân đoạn mạng và mã hóa dữ liệu.

Quảng cáo độc hại gia tăng trong môi trường làm việc lai

Xét theo mức độ phổ biến của phần mềm độc hại được phát hiện, các cuộc tấn công phi kỹ thuật lừa đảo gồm malvertising (quảng cáo độc hại) và scareware (phần mềm hù dọa giả mạo) cũng gia tăng trong năm qua.

Theo dữ liệu từ FortiGuard Labs, hơn 1/4 số tổ chức, doanh nghiệp đã khám phá ra các đợt tấn công malvertising hay scareware với Cryxos - loại mã độc phổ biến. Dù vậy, đa số các trường hợp phát hiện có khả năng được kết hợp với các chiến dịch JavaScript tương tự khác được coi như malvertising.

Thực trạng làm việc theo phương thức kết hợp cả từ xa và tại văn phòng hiện nay đã làm gia tăng xu hướng sử dụng chiến thuật này của tội phạm mạng khi chúng cố gắng khai thác điểm yếu, không chỉ nhằm mục đích hù dọa mà còn để tống tiền. 

Tin tặc đã nhắm tới Biên mạng

Theo Fortinet, vào đầu năm nay, 35% tổ chức đã phát hiện hoạt động của botnet ở dạng này hay dạng khác, nhưng 6 tháng sau con số đã lên tới 51%.

Sự phát triển đáng kể trong hoạt động TrickBot liên quan đến sự gia tăng đột biến của botnet trong tháng 6. TrickBot ban đầu xuất hiện như một trojan ngân hàng nhưng sau đó đã được phát triển thành một bộ công cụ tinh vi và nhiều giai đoạn giúp hỗ trợ cho một loạt các hành vi bất hợp pháp. Mirai là loại phổ biến nhất; nó đã vượt qua Gh0st vào đầu năm 2020 để thống trị kể từ đó cho tới năm 2021. Mirai đã không ngừng bổ sung những vũ khí mới vào kho vũ khí trên mạng của mình, nhưng có khả năng sự thống trị của Mirai cũng do tội phạm mạng tìm cách khai thác các thiết bị IoT được những người làm việc hoặc học tập tại nhà sử dụng. Gh0st cũng đáng chú ý bởi là một botnet truy cập từ xa cho phép những kẻ tấn công kiểm soát hoàn toàn hệ thống bị nhiễm mã độc, chiếm lấy các nguồn cấp dữ liệu webcam và micrô trực tiếp hoặc tải các tệp xuống.

Để bảo vệ hệ thống mạng và ứng dụng, các tổ chức cần triển khai hình thức truy cập zero - trust để cung cấp đặc quyền truy cập tối thiểu nhất, từ đó bảo đảm an toàn trước việc các thiết bị và endpoint IoT truy cập vào hệ thống mạng.

Lẩn tránh và leo thang đặc quyền được tin tặc ưa thích

Các chuyên gia FortiGuard Labs đã phân tích chức năng cụ thể của mã độc đã bị phát hiện bằng cách thử nghiệm triển khai các mẫu nghiên cứu để quan sát kết quả dự kiến đối với những tội phạm mạng là như thế nào. Kết quả cho thấy một chuỗi vấn đề tiêu cực mà mã độc sẽ gây ra nếu các payload tấn công được triển khai trong môi trường mục tiêu. Điều này chứng minh tội phạm mạng đã tìm cách để leo thang đặc quyền, lẩn tránh các biện pháp phòng thủ, di chuyển qua các hệ thống nội bộ và xâm nhập qua các dữ liệu bị kiểm soát, cùng với nhiều kỹ thuật khác nữa.

Ví dụ: 55% chức năng leo thang đặc quyền quan sát được đã sử dụng kỹ thuật mồi câu (hooking) và 40% sử dụng kỹ thuật chèn tiến trình (process injection). Rõ ràng là có một sự tập trung vào các chiến thuật lẩn tránh hệ thống bảo vệ và leo thang đặc quyền. Mặc dù những kỹ thuật này không mới, nhưng đội ngũ phòng thủ sẽ chủ động bảo đảm an ninh tốt hơn trước các cuộc tấn công trong tương lai nếu được trang bị kiến thức kịp thời này.

Các phương pháp tiếp cận nền tảng được tích hợp và ứng dụng trí tuệ nhân tạo (AI), được hỗ trợ bởi trí thông minh về mối đe dọa mạng phi pháp, là điều cần thiết để bảo vệ mọi biên mạng, đồng thời xác định và khắc phục các mối đe dọa đang thay đổi mà các tổ chức phải đối mặt hiện nay theo thời gian thực.

Xung quanh Báo cáo này, ông Nguyễn Gia Đức - Giám đốc quốc gia, Fortinet Việt Nam - cho biết, gần đây, phương thức tấn công Ransomware cũng được ghi nhận ở nhiều lĩnh vực khác nhau tại Việt Nam.

"Fortinet khuyến cáo các tổ chức, cá nhân luôn nâng cao nhận thức an toàn thông tin để nhận biết được các “bẫy” ngày càng tinh vi của Hacker hiện nay. Đồng thời, các tổ chức cũng cần thường xuyên đánh giá lại hệ thống bảo mật của mình, cập nhật hệ điều hành và bản vá tránh việc Hacker khai thác những lỗ hồng từ những thiết bị cũ, không được cập nhật..."

Cần áp dụng một chiến lược, một chính sách bảo mật xuyên suốt trong tổ chức, từ “On-Net” đến “Off-Net” là cần thiết đặc biệt trong bối cảnh đại dịch hiện nay khi người dùng phải làm việc kết hợp hay hoàn toàn từ xa.

Ông Nguyễn Gia Đức, Giám đốc quốc gia, Fortinet Việt Nam.