Bản thân các mối đe dọa ít thay đổi, nhưng các chiến thuật được sử dụng liên tục được điều chỉnh để tối đa hóa lợi nhuận đầu tư và công sức của tội phạm.
Phân tích các mối đe dọa được phát hiện vào nửa cuối năm 2024 cho thấy kẻ tấn công sẽ thay đổi thay vì từ bỏ mục tiêu và chiến thuật chính của chúng.
Một nghiên cứu của các nhà nghiên cứu tại Ontinue mô tả bốn xu hướng tiến hóa chính: phát tán phần mềm độc hại thông qua tiện ích mở rộng của trình duyệt và quảng cáo độc hại; các kỹ thuật lừa đảo và gửi email tiên tiến hơn; gia tăng các cuộc tấn công vào thiết bị IoT và OT; và sự phát triển liên tục của phần mềm tống tiền.
Ransomware đáng chú ý. Ontinue giải thích (PDF) rằng các khoản thanh toán tiền chuộc đã giảm: từ 1,25 tỷ đô la vào năm 2023 xuống còn 813,5 triệu đô la vào năm 2024. Nhưng trong khi các khoản thanh toán mà tội phạm nhận được giảm, số lượng vi phạm được báo cáo lại tăng lên. "Điều này có thể chỉ ra rằng các nhóm ransomware đang tiến hành nhiều cuộc tấn công hơn để bù đắp cho tỷ lệ thành công thấp hơn về tiền chuộc", Ontinue gợi ý.
Động lực chính thúc đẩy ransomware là số tiền mà nó tạo ra. Rõ ràng, ngày càng có nhiều nạn nhân từ chối trả tiền - nhưng cũng rõ ràng là tội phạm không sẵn sàng từ bỏ loại tấn công này. "Việc giảm các khoản thanh toán cũng có thể thúc đẩy những kẻ tấn công đa dạng hóa các phương pháp của chúng hơn nữa. Ví dụ, chúng ta có thể thấy sự tập trung nhiều hơn vào các cuộc tấn công chuỗi cung ứng hoặc nhắm vào cơ sở hạ tầng quan trọng, nơi mà rủi ro - và khoản tiền thanh toán tiềm năng - cao hơn", Casey Ellis, Nhà sáng lập tại Bugcrowd, bình luận.
Cơ sở hạ tầng quan trọng có thể không thể từ chối thanh toán. Ngọc Bùi, chuyên gia an ninh mạng tại Menlo Security, cho biết thêm, "Mặc dù việc trả tiền chuộc có thể khuyến khích các tác nhân đe dọa, nhưng thực tế là việc không trả tiền có thể gây ra nhiều thiệt hại hơn - đặc biệt là đối với các tổ chức tham gia vào cơ sở hạ tầng quan trọng. Sự gián đoạn do phần mềm tống tiền có thể gây ra thảm họa và các tổ chức phải ưu tiên bảo vệ hoạt động và các bên liên quan".
Và trong khi tất cả những điều này đang diễn ra, các băng nhóm phần mềm tống tiền đang tinh chỉnh các chiến thuật của chúng, "bao gồm các tương tác với nhóm CNTT để thu thập thông tin nhằm cải thiện khả năng truy cập, các cuộc tấn công dựa trên SaaS và thậm chí nghiên cứu công nghệ truyền tệp để khai thác nhanh chóng và các phương pháp tống tiền kép", Nathaniel Jones, Phó chủ tịch nghiên cứu mối đe dọa tại Darktrace cho biết.
Vì vậy, trong khi các khoản thanh toán tiền chuộc có thể đã giảm vào năm ngoái, thì mối đe dọa từ phần mềm tống tiền không hề giảm đi mà chỉ đang phát triển.
Phân phối phần mềm độc hại qua trình duyệt cũng là một xu hướng được Menlo Security ghi nhận. Ontinue nhấn mạnh mối đe dọa lây nhiễm qua tiện ích mở rộng trình duyệt, đang bị khai thác để phân phối phần mềm độc hại đánh cắp thông tin. "Phương pháp này đặc biệt hiệu quả", các nhà nghiên cứu cảnh báo, "bởi vì các tiện ích mở rộng độc hại có thể tồn tại ngay cả sau khi hệ thống được tạo lại hình ảnh. Người dùng thường vô tình tái giới thiệu mối đe dọa bằng cách nhập lại hồ sơ trình duyệt của họ, bao gồm cả tiện ích mở rộng bị nhiễm, trong quá trình khôi phục".
Lừa đảo qua mạng và vishing đang gia tăng về cả số lượng và mức độ tinh vi. Điều này đã được dự đoán trước khi bọn tội phạm học cách hiểu và sử dụng gen-AI, gần như được thiết kế riêng cho kỹ thuật xã hội.
Về lừa đảo qua mạng, Ontinue đã phát hiện ra ba xu hướng: sử dụng các trang web hợp pháp cho trang đích đầu tiên, sau đó chuyển hướng nạn nhân đến một tên miền độc hại; sử dụng địa chỉ người gửi 'không trả lời' để ẩn kẻ tấn công khỏi các cuộc kiểm tra bảo mật; và sử dụng các biến thể khó hiểu của các tên miền lớn (chẳng hạn như từ google.com, apple.com và bing.com) để chuyển hướng nạn nhân đến các trang web AiTM.
Các cuộc tấn công vishing đang trở nên phổ biến hơn, tăng 1.633%. Vishing bỏ qua các bộ lọc bảo mật tự động mà lừa đảo qua email cần phải điều hướng - và đã được AI thúc đẩy rất nhiều. Các nhà nghiên cứu Ontinue giải thích rằng "Bằng cách sử dụng các công nghệ sao chép giọng nói do AI điều khiển, tội phạm mạng có thể tạo ra các bản âm thanh giả mạo cực kỳ chân thực, mạo danh những cá nhân đáng tin cậy để lừa nạn nhân tiết lộ thông tin nhạy cảm hoặc chuyển tiền".
Tùy thuộc vào từng người dùng để chống lại mối đe dọa vishing theo đúng chính sách nghiêm ngặt của người dùng. Nếu không có những chính sách chính thức như vậy, J Stephen Kowski, Giám đốc công nghệ tại SlashNext, nói thêm, “Cá nhân không bao giờ được chia sẻ thông tin cá nhân trong các cuộc gọi bất ngờ, ngay cả khi người gọi có vẻ hợp pháp. Luôn xác minh danh tính của người gọi bằng cách cúp máy và gọi lại thông qua các số điện thoại chính thức được tìm thấy trên các trang web hoặc báo cáo.”
Các cuộc tấn công ngày càng tăng vào các thiết bị IoT và OT chủ yếu là do chúng thường ít được bảo vệ hơn so với các thiết bị CNTT thuần túy và do khả năng cung cấp cho cả ransomware và kẻ tấn công quốc gia quyền truy cập vào nhiều cơ sở hạ tầng quan trọng.
Các nhà nghiên cứu cho biết "Khi các thiết bị IoT được xây dựng với mức giá thấp, thì chương trình cơ sở của chúng cũng thường được xây dựng với mức giá thấp". "Ví dụ, các dịch vụ web IoT thường dựa vào phần mềm mạng đơn giản chạy với quyền root và thực hiện các hoạt động cấu hình của mình chỉ bằng cách truyền dữ liệu do người dùng cung cấp cho hệ thống thông qua một shell lệnh".
Họ nói thêm rằng điều này "khiến các thiết bị IoT dễ bị tấn công bằng lệnh tiêm, thực thi mã từ xa và leo thang đặc quyền". Các thiết bị IoT thường được xây dựng cho người tiêu dùng, nhưng thói quen làm việc tại nhà ngày càng tăng, dù là toàn thời gian hay bán thời gian, khiến các thiết bị này tiếp xúc chặt chẽ với các phương tiện để xâm nhập vào hệ thống của công ty.
Đồng thời, tất cả các thiết bị OT đều thiếu độ sâu bảo mật dành cho các thiết bị CNTT và thường chậm trễ trong việc vá lỗi. Mối quan ngại về các cơ sở cung cấp nước minh họa cho các vấn đề này. “Chính phủ Hoa Kỳ đã cảnh báo về các hệ thống kiểm soát cơ sở hạ tầng được cấu hình sai trong các cơ sở cấp nước”, báo cáo bình luận. “Các tác nhân thân Nga được cho là có thể thay đổi các thông số bơm, vô hiệu hóa báo động và khóa người vận hành khỏi hệ thống của họ”.
Một báo cáo của OIG vào tháng 11 năm 2024 phát hiện ra rằng 97 hệ thống cấp nước phục vụ khoảng 27 triệu người có các vấn đề nghiêm trọng và nghiêm trọng.
Vào tháng 12 năm 2024, CISA và EPA đã thúc giục các công ty cấp nước đảm bảo hệ thống HMI OT của họ được bảo mật đúng cách. “Các tác nhân đe dọa đã chứng minh khả năng tìm và khai thác các HMI tiếp xúc với internet có điểm yếu về an ninh mạng một cách dễ dàng. Ví dụ, vào năm 2024, những kẻ tấn công mạng thân Nga đã thao túng HMI tại các hệ thống cấp nước và xử lý nước thải, khiến máy bơm nước và thiết bị thổi khí vượt quá các thông số hoạt động bình thường của chúng”, hai cơ quan này cho biết.
Báo cáo về mối đe dọa Ontinue chứng minh rằng các cuộc tấn công mạng có lúc lên lúc xuống - lúc xuống thường là khi các chiến thuật, phương pháp và công nghệ mới được khám phá, trong khi dòng chảy là bản chất liên tục và thường gia tăng của tội phạm mạng. Bản thân các mối đe dọa thay đổi rất ít, nhưng các chiến thuật được sử dụng liên tục được điều chỉnh để tối đa hóa lợi nhuận đầu tư và công sức của tội phạm.
Theo Securityweek.
