Các biến thể của mã độc tống tiền sử dụng mô hình tấn công ransomware dưới dạng dịch vụ (RaaS) đang ngày càng gia tăng và dễ dàng qua mặt nhiều doanh nghiệp, tổ chức. Đây là một trong những cảnh báo quan trọng được đưa ra từ Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu mới nhất do FortiGuard Labs thực hiện và công bố. 

Về tổng quan, Báo cáo này chỉ ra các mối đe dọa an ninh mạng toàn cầu 6 tháng đầu năm 2023 do FortiGuard Labs ghi nhận. Theo đó, các hình thức tấn công ransomware ngày càng dễ dàng "qua mặt" các doanh nghiệp và tổ chức; trong khi các cuộc tấn công có chủ đích (APT) vẫn tiếp tục gia tăng.

Ngày càng ít tổ chức tự phát hiện được tấn công ransomware

Theo Báo cáo, các biến thể của mã độc tống tiền gia tăng đáng kể về mức độ phát triển  trong những năm gần đây, phần lớn theo xu hướng sử dụng mô hình tấn công mã độc ransomware dưới dạng dịch vụ (RaaS). Tuy vậy, trong nửa đầu năm 2023, chỉ một số ít tổ chức "nhận diện" được ransomware. Con số này là 13%, thấp hơn đáng kể so với cùng thời điểm này cách đây 5 năm là 22%. 

Theo FortiGuard Labs quan sát trong vài năm qua, xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể, với mức tinh vi ngày càng cao nhằm tối ưu hóa tỷ lệ hoàn vốn đầu tư (ROI) cho mỗi cuộc tấn công. Nghiên cứu cho thấy số lượng các vụ phát hiện mã độc tống tiền liên tục biến đổi. Tuy số liệu ghi nhận vào thời điểm giữa năm 2023 cao hơn 13 lần so với cuối năm 2022, nhưng vẫn theo xu hướng giảm tổng thể khi so sánh theo năm.

Bên cạnh đó, là công ty an ninh mạng đóng vai trò quan trọng trong việc cung cấp dữ liệu hỗ trợ Hệ thống chấm điểm lỗ hổng bảo mật (EPSS), Fortinet cũng đưa ra những cảnh báo liên quan đến các lỗ hổng bảo mật. Theo đó, với các lỗ hổng có nguy cơ hàng đầu theo đánh giá của EPSS, trong vòng 7 ngày kể từ lúc công bố, nguy cơ bị tấn công sẽ cao hơn tới 327 lần so với bất kỳ lỗ hổng CVE nào khác. 

Giống như Red Zone - từng được nhắc đến trong Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu nửa cuối năm 2022, thông tin tình báo này có thể giúp các nhóm phụ trách bảo mật xác định và ưu tiên các nỗ lực vá lỗ hổng một cách hệ thống, từ đó giảm thiểu rủi ro cho tổ chức. 

Với Red Zone và EPSS, FortiGuard Labs tiếp tục đầu tư vào những phương pháp hiệu quả hơn nhằm hỗ trợ các tổ chức trong việc ưu tiên và nhanh chóng khắc phục các lỗ hổng. 

Các cuộc tấn công ATP vẫn tiếp tục "rải" botnet  

Lần đầu tiên trong lịch sử thực hiện Báo cáo toàn cảnh về các mối đe dọa an ninh mạng trên toàn cầu, FortiGuard Labs đã theo dõi số lượng các tác nhân đe dọa đứng sau các xu hướng này.

Theo đó, nghiên cứu đã phát hiện: trong tổng số 138 nhóm chuyên đe dọa tấn công an ninh mạng được tổ chức nghiên cứu bảo mật MITRE theo dõi, có tới 41 nhóm (chiếm 30%) đã có hoạt động trong thời gian nửa đầu năm 2023. Trong số đó, căn cứ trên số mã độc bị phát hiện thì Turla, StrongPity, Winnti, OceanLotus và WildNeutron là những nhóm hoạt động tích cực nhất, dựa trên số lượng mã độc bị phát hiện. 

Cùng đó, số liệu so sánh 5 năm do Fortinet thu thập cũng chỉ ra sự bùng nổ trong các loại lỗ hổng, các biến thể của mã độc và tính bền bỉ của botnet. 

Theo đó, trong nửa đầu năm 2023, FortiGuard Labs đã phát hiện hơn 10.000 lỗ hổng đặc biệt, tăng 68% so với 5 năm trước đây. Sự gia tăng đột biến trong việc phát hiện các lỗ hổng loại này cho thấy khối lượng lớn các cuộc tấn công bằng mã độc đã được tiến hành. Cùng đó, các cuộc tấn công khai thác đối với mỗi tổ chức trong vòng 5 năm đã giảm tới 75%; các cuộc tấn công khai thác đặc biệt nghiêm trọng giảm 10%. Điều này cho thấy với các bộ công cụ khai thác phát triển tiên tiến hơn, các cuộc tấn công hiện nay đang tập trung vào các mục tiêu cụ thể hơn so với những năm trước.

Không chỉ vâỵ, số lượng các “họ” mã độc đã lan truyền đến ít nhất 10% tổ chức toàn cầu (ngưỡng phổ biến đáng kể) - tăng gấp đôi trong 5 năm qua. Sự gia tăng về số lượng và mức độ phổ biến của mã độc này có thể là do ngày càng nhiều nhóm tội phạm mạng và các nhóm tấn công APT mở rộng hoạt động và đa dạng hóa các cuộc tấn công của chúng trong những năm gần đây.

Đặc biệt, các botnet đang tồn tại trong mạng lâu hơn bao giờ hết. Trong 6 tháng đầu năm 2023, thời gian trung bình mà các botnet tồn tại trước khi kết thúc liên lạc chỉ huy và kiểm soát (C2) là 83 ngày, tăng hơn 1.000 lần so với 5 năm trước. Đây chính là một ví dụ khác về tầm quan trọng của việc giảm thời gian phản hồi, vì khi các tổ chức để botnet tồn tại càng lâu thì thiệt hại và rủi ro đối với hoạt động kinh doanh của họ càng lớn.

Theo đại diện Fortinet, việc nâng cao chất lượng thông tin về các mối đe dọa, chủ độngj phòng vệ giúp các tổ chức có thể giảm thiểu rủi ro và nâng cao hiệu quả cho ngành an ninh mạng. Sự cam kết toàn ngành trong việc hợp tác và chia sẻ thông tin tình báo sẽ tạo ra một hệ sinh thái đột phá với quy mô lớn hơn, mang lại ưu thế vượt trội cho ngành trong cuộc đối đầu với tội phạm mạng.