Báo cáo mối đe dọa của FortiGuard Labs nửa cuối năm 2023: Những xu hướng tấn công mới cần được chú trọng

Nửa cuối 2023 đầu năm 2024, bối cảnh an ninh mạng đã trải qua rất nhiều sự kiện quan trọng, chẳng hạn như sự gia tăng các cuộc tấn công tinh vi nhắm vào các doanh nghiệp đa quy mô đa lĩnh vực hiện nay.

Trong Báo cáo tổng quan về mối đe dọa nửa cuối năm 2023, FortiGuard Labs đã phân tích chi tiết bối cảnh diễn biến của các cuộc tấn công không gian mạng. Qua đó, xác định xu hướng bảo mật và đưa ra những hướng dẫn quan trọng để các chuyên gia bảo mật có thể bảo vệ tổ chức của họ một cách hiệu quả. 

Các phát hiện trong báo cáo được tổng hợp dựa trên hệ thống Collective Intelligence của FortiGuard Labs, bao gồm rất nhiều trung tâm tình báo của Fortinet, thu thập hàng tỷ sự kiện an ninh mạng được giám sát trên toàn thế giới trong thời gian này. Hãy cùng bắt đầu ngay bây giờ!

Báo cáo mối đe dọa nửa cuối năm 2023: Tóm tắt

Trong giai đoạn cuối năm 2023, FortiGuard Labs đã theo dõi và ghi nhận rất nhiều hoạt động đáng gờm trên không gian mạng. Có thể kể đến như: Sự gia tăng của các nhóm APT, các cuộc tấn công ransomware có chủ đích hơn, botnet hay các chủng phần mềm độc hại mới cũng như sự gia tăng về hình thức tấn công khai thác thiết bị IoT. 

FortiGuard Labs nhận thấy: Xu hướng của các tác nhân đe dọa tiếp tục áp dụng lại các hình thức tấn công “cũ”. Điều này cũng nhấn mạnh tầm quan trọng của đội ngũ CNTT bảo mật, cần phải cảnh giác 24/24 bởi những kẻ tấn công sẽ không ngừng khai thác các lỗ hổng cũ hơn.

Đáng chú ý, những kẻ tấn công đang tiến hành các cuộc xâm lăng nhanh hơn bao giờ hết, khai thác các lỗ hổng mới nhanh hơn 43% so với nửa đầu năm. Phát hiện này nhấn mạnh sự cần thiết trong quy trình cập nhật phần mềm cũng như hệ thống CNTT của doanh nghiệp 1 cách thường xuyên hơn. 

Các nhà cung cấp giải pháp cũng đóng một vai trò quan trọng trong việc giúp khách hàng doanh nghiệp giảm thiểu rủi ro về lỗ hổng bảo mật. Mọi nhà cung cấp đều phải hướng đến sự minh bạch, cũng như có trách nhiệm trong việc cung cấp các giải pháp bảo mật mạnh mẽ ở tất cả các giai đoạn trong vòng đời phát triển sản phẩm. Đồng thời, chủ động nghiên cứu và cung cấp tin tình báo của các lỗ hổng bảo mật rủi ro cao để hỗ trợ doanh nghiệp cải tiến và nâng cấp các lớp bảo mật kịp thời. 

Ransomware đang gia tăng, đặc biệt là trong các ngành quan trọng

Không có gì ngạc nhiên khi mối đe dọa từ ransomware tiếp tục khiến các trung tâm an ninh phải thức trắng đêm. Trên các hệ thống cảm biến của FortiGuard Labs, số lượt phát hiện Ransomware đã vượt qua nửa đầu năm 2023, tăng tới 13 lần. Tiếp theo đó là mức giảm 70% trong nửa cuối năm, FortiGuard Labs ghi nhận ít tổ chức bị tấn công bởi các biến thể Ransomware mới hơn.

Tuy nhiên, sự thay đổi này không phải là lý do để ăn mừng. Trong báo cáo dự đoán mối đe dọa năm 2024 , FortiGuard Labs đã dự đoán rằng những kẻ tấn công đang tìm kiếm các mục tiêu có giá trị lớn hơn. Dự đoán này đã thực sự xảy ra vào nửa cuối năm 2023: Chúng ta đã chứng kiến ​​sự thay đổi từ chiến lược Ransomware Spray and pray truyền thống sang các hình thức tinh vi hơn. 

Tội phạm mạng đang áp dụng cách tiếp cận có mục tiêu hơn và yêu cầu tiền chuộc cao hơn. Các tổ chức công nghiệp đang hoạt động trong các lĩnh vực, bao gồm: Năng lượng, chăm sóc sức khỏe, sản xuất, vận tải… đã trở thành mục tiêu tấn công của gần một nửa (44%) cuộc tấn công Ransomware và Wipers được ghi nhận.

Thiết bị IoT bị nhắm tới nhiều hơn bởi những kẻ tấn công 

FortiGuard Labs giám sát hệ thống các cảm biến được triển khai trên toàn cầu để thu thập hàng nghìn tỷ sự kiện an ninh mạng, diễn ra trên toàn thế giới mỗi ngày. Điều này cung cấp cho tổ chức cái nhìn chi tiết về viễn cảnh của mối đe dọa, bao gồm cả xu hướng khai thác, sự thay đổi về hình thức triển khai các phần mềm độc hại và botnet thay đổi.

Hoạt động khai thác được ghi lại bởi các cảm biến của Hệ thống ngăn chặn xâm nhập (IPS) FortiGuard chạy trên các thiết bị Firewall thế hệ mới (NGFW). Từ đó, các chuyên gia có thể theo dõi cách thức tin tặc tìm thấy lỗ hổng trong hệ thống, khai thác mục tiêu của chúng và xây dựng cơ sở hạ tầng độc hại. 

Không có gì ngạc nhiên khi các thiết bị IoT đang mục tiêu phổ biến hiện nay. Những kẻ tấn công khai thác mọi thiết bị mạng từ tường lửa đến bộ định tuyến trong nửa cuối năm. Với đích đến là tìm thấy lỗ hổng để xâm nhập và phá hoại hệ thống mạng của doanh nghiệp.

Sau khi các tác nhân đe dọa tìm thấy lỗ hổng có thể khai thác, bước tiếp theo của chúng sẽ là triển khai phần mềm độc hại. Các mẫu tấn công được các giải pháp Anti Malware hàng đầu của Fortinet thu thập, giúp các chuyên gia hiểu rõ công cụ mà tin tặc sử dụng phổ biến nhất. 

Chẳng hạn như: JS/ScrInject và JS/Cryxos. Ngoài hai chủng phổ biến này, FortiGuard Labs cũng ghi nhận thêm 4 dạng phần mềm độc hại nổi bật vào nửa cuối năm 2023 như: AndroxGh0st , phần mềm tống tiền Apache ActiveMQ , Lazarus RATs và Agent Tesla .

Sau khi bị nhiễm phần mềm độc hại, các hệ thống thường cố gắng liên lạc với các máy chủ từ xa để tải xuống các bản vá hệ thống bổ sung, thiết lập các kênh chỉ huy và kiểm soát phạm vi ảnh hưởng của cuộc tấn công trên hạ tầng CNTT.

Những hiểu biết sâu sắc về Botnet rất quan trọng để nắm rõ toàn bộ phạm vi của một cuộc tấn công. Bên cạnh các hình thức tấn công Botnet như Gh0st, Mirai và ZeroAccess, FortiGuard Labs đã xác định được một số mạng Botnet mới cần theo dõi, bao gồm Prometei và DarkGate.

Tốc độ khai thác lỗ hổng đang diễn ra nhanh hơn 43% so với nửa đầu năm 2023

Trong các báo cáo về bối cảnh mối đe dọa, mục tiêu của FortiGuard Labs là xác định: Mất bao lâu để một lỗ hổng chuyển từ giai đoạn bị phát hiện ban đầu sang khai thác và liệu các lỗ hổng có chỉ số EPSS cao có bị khai thác nhanh hơn hay không.

Đối với các hoạt động khai thác mới được xác định, các cuộc tấn công xảy ra trung bình trong 4,76 ngày sau khi phát hiện, nhanh hơn 43% so với thời gian khai thác được ghi nhận trong nửa đầu năm 2023. Điều này nhấn mạnh sự cần thiết của việc áp dụng thước đo EPSS làm hệ thống cảnh báo sớm cho từng mức độ rủi ro của lỗ hổng hệ thống. 

Đồng thời, nhấn mạnh tầm quan trọng trong việc ưu tiên các nỗ lực cập nhật thường xuyên các bản vá lỗi hệ thống để giảm thiểu tối đa rủi ro của các lỗ hổng có khả năng bị khai thác.

Có gì cũ mà mới khi nói đến The Red Zone “Vùng đỏ”

Vào năm 2022, chúng tôi đã đưa ra khái niệm “Vùng đỏ” hay The Red Zone, giúp các đội ngũ bảo mật hiểu rõ hơn về tỷ lệ khả năng các cuộc tấn công mạng sẽ khai thác một lỗ hổng. Tin vui là chỉ một phần nhỏ (<1%) trong số tất cả các lỗ hổng được công bố đã bị khai thác trong nửa cuối năm 2023. 

Tuy nhiên, khi nói đến lỗ hổng bảo mật, FortiGuard Labs nhấn mạnh rằng những lỗ hổng “cũ” đã được công bố, vẫn tồn tại khả năng cao bị những kẻ tấn công nhắm tới. Ngoài ra, tổ chức này cũng tiếp tục ghi nhận những thông tin quan trọng khác như:

• Các cuộc tấn công khai thác các lỗ hổng có tuổi đời trên 15 năm.
• Hầu hết các tổ chức doanh nghiệp (98%) đã phát hiện các lỗ hổng bảo mật trong hệ thống CNTT của họ đã bị tin tặc khai thác trong ít nhất 5 năm.

Các nhóm APT tiếp tục có khả năng thích ứng cao

Các nhóm APT tiếp tục có khả năng thích ứng cao với những thay đổi trong bối cảnh chuyển đổi số đang diễn ra trên toàn thế giới. Chúng ngày càng lén lút, lên kế hoạch tỉ mỉ và thực hiện các cuộc tấn công của mình một cách cẩn thận. Dựa trên thông tin tình báo từ FortiRecon, FortiGuard Labs đã ghi nhận thấy 38 trong số 143 nhóm APT (27%) được MITER xác định là đang hoạt động trong nửa cuối năm 2023. Trong số đó, Lazarus Group, Kimusky, APT28, APT29, Andariel và OilRig hoạt động tích cực nhất.

Làm sáng tỏ các hoạt động đáng ngờ trên nền tảng Dark Web

Mặc dù phần lớn kết quả đo từ xa cho chúng ta biết những hành động mà kẻ tấn công đã thực hiện trước đó. Tuy nhiên, trí thông minh của Darknet giúp chúng ta dự đoán những gì kẻ thù có thể làm tiếp theo. Trong 6 tháng cuối năm 2023, các tổ chức tin tặc khét tiếng thường xuyên thảo luận về việc nhắm mục tiêu vào các tổ chức trong ngành dịch vụ tài chính, tiếp theo là lĩnh vực dịch vụ kinh doanh và giáo dục. 

Hơn 20 mẫu tấn công Zero day nguy hiểm đã được chia sẻ trên Dark Web và hơn 850.000 thẻ thanh toán được rao bán. Các tác nhân đe dọa an ninh mạng hoạt động công khai nhất trên Dark Web phải kể đến như: Valerka, Punktir, CoreLab, XXXX và qwer.

Tham khảo thêm: Hướng dẫn các cách phòng chống Ransomware hiệu quả cao

Tổng kết

Trên đây là những thông tin bạn đọc cần biết về Báo cáo mối đe dọa của FortiGuard Labs nửa cuối năm 2023, bao gồm những nội dung quan trọng về các xu hướng tấn công mới cần được chú trọng. FortiGuard Labs đã réo lên 1 hồi chuông báo động về sự tăng mạnh về tần suất tấn công của Ransomware cũng như xu hướng tấn công vào thiết bị IoT của tin tặc, nhắm tới các lỗ hổng cũ và mới trong hạ tầng CNTT của doanh nghiệp trong các lĩnh vực như tài chính, sức khỏe và giáo dục. Hi vọng rằng những nội dung được Việt Tuấn biên soạn sẽ hỗ trợ doanh nghiệp và người dùng có thể hiểu rõ những nguy hiểm của các hình thức tấn công an ninh mạng mới. Đừng quên theo dõi những tin tức bảo mật mới nhất sẽ được cập nhật thường xuyên trên Viettuans.vn!