SYMANTEC Tổng kết tình hình an ninh, bảo mật – Tháng 7, 2021

Băng nhóm tin tặc REvil, mã độc tống tiền Ransomware và Phần thưởng cho Công lý.

An ninh mạng đang bị đe dọa từ nhiều phía.

Cuộc tấn công bằng mã độc tống tiền ransomware lớn mới nhất có thể đã ảnh hưởng đến từ 800 đến 1.500 công ty trên khắp thế giới. Cuộc tấn công chuỗi cung ứng bắt đầu bằng một cuộc tấn công chuỗi cung ứng vào công ty Kaseya, một nhà cung cấp phần mềm quản lý công nghệ thông tin (CNTT) phục vụ cho các nhóm CNTT doanh nghiệp và các nhà cung cấp phần mềm được quản lý (Managed Service Provier – MSP). Tin tặc được cho là nhóm những hackers có liên hệ với REvil Russia, chịu trách nhiệm cho các cuộc tấn công nổi tiếng gần đây như cuộc tấn công vào nhà xử lý thịt JBS. Theo những gì chúng ta biết cho đến nay, những kẻ tấn công đã tận dụng một lỗ hổng trong nền tảng quản lý, bảo vệ và giám sát điểm cuối VSA của Kaseya. Các chuyên gia ví vụ việc này giống như vụ tấn công ransomware của chuỗi cung ứng SolarWinds, tác động đến toàn bộ hệ sinh thái của các công ty sử dụng bản cập nhật phần mềm Trojanized. Công ty kêu gọi người dùng VSA đóng các máy chủ VSA của họ để ngăn chúng bị xâm phạm — một động thái ban đầu đã ảnh hưởng đến ít nhất 36.000 công ty.

Khi những xu hướng mới đang xuất hiện, các băng đảng ransomware thường sẽ dành thời gian để đánh cắp dữ liệu và xóa các bản sao lưu, trước khi chúng mã hóa thiết bị của nạn nhân, mang lại động cơ mạnh mẽ hơn để buộc nạn nhân trả tiền chuộc để đảm bảo khôi phục dữ liệu. Trong cuộc tấn công Kaseya, băng đảng REvil đã né tránh hoạt động tiền chuộc này, khai thác lỗ hổng zero-day trong máy chủ VSA để tự động tấn công mà không cần truy cập vào mạng của từng nạn nhân. Do đó, ít công ty có thể cảm thấy áp lực phải trả tiền vì họ có thể khôi phục mạng của mình từ các bản sao lưu. Trang web công nghệ Bleeping Computer cho biết chỉ có hai công ty trả tiền chuộc trong số ước tính 1.500 nạn nhân.

Khi xu hướng mới đang xuất hiện, các băng đảng ransomware thường sẽ dành thời gian để đánh cắp dữ liệu và xóa các bản sao lưu, trước khi chúng mã hóa thiết bị của nạn nhân, mang lại động cơ mạnh mẽ hơn để buộc nạn nhân trả tiền chuộc để đảm bảo khôi phục dữ liệu.

Trong khi đó, băng đảng REvil đã mất tăm khỏi môi trường mạng một cách bí ẩn chưa đầy hai tuần sau vụ tấn công vào công ty cung ứng phần mềm Kaseya. Trong khi không có câu trả lời rõ ràng, các nhà nghiên cứu đã nghiền ngẫm một số cách giải thích khả thi. Một là: Điện Kremlin đã khuất phục trước áp lực của Hoa Kỳ và buộc băng đảng này phải “đóng cửa” hoạt động. Một cách giải thích khác là các quan chức Hoa Kỳ đã tiến hành cuộc tấn công mạng của riêng họ để trả đũa và khiến nhóm này phải offline – ngoại tuyến. Cuối cùng, có thể các thành viên của REvil đã quyết định “ở ẩn” trong một thời gian.

Trong thời gian đó, công ty cung ứng phần mềm Kaseya đã phát hành các bản cập nhật bảo mật khẩn cấp để giải quyết các lỗ hổng nghiêm trọng trong VSA bị REvil khai thác. Công ty cũng cảnh báo khách hàng về một chiến dịch lừa đảo đang diễn ra nhắm vào khách hàng của VSA, qua đó những kẻ gửi thư rác đang sử dụng tin tức về các cập nhật về vụ việc này để gửi email có liên kết và / hoặc tệp đính kèm độc hại.

“Gần như không thể theo kịp.”

Với việc ransomware được xác định rõ ràng là một mối đe dọa an ninh quốc gia lớn nhất trong năm nay, ngành an ninh mạng và các nhà điều hành an ninh mạng hàng đầu đang phải vật lộn để tìm đủ năng lực để điều khiển các chiến tuyến. Cyber ​​Seek, một dự án theo dõi ngành công nghiệp an ninh mạng được tài trợ bởi Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology – NIST) của liên bang, báo cáo hơn nửa triệu công việc về an ninh mạng vẫn chưa được đáp ứng được các chiến tuyến bất chấp nhu cầu và ngân sách an ninh mạng của công ty dồi dào.

Một ý tưởng đang được đưa ra để giải quyết lỗ hổng đó là việc thành lập Khu bảo tồn an ninh mạng dân sự (Civilian Cyber Security Reserve). Một nhóm các nhà lập pháp lưỡng đảng đã đưa ra luật thiết kế một chương trình kiểu Vệ binh Quốc gia sẽ tồn tại dưới sự quản lý của Bộ Quốc phòng và An ninh Nội địa để đối phó với các mối đe dọa an ninh mạng ngày càng tăng mà chính phủ Hoa Kỳ phải đối mặt. Ngoài ra, Chính phủ Hoa Kỳ đã công bố chương trình “Phần thưởng cho Công lý”, một sáng kiến ​​cung cấp lên tới 10 triệu đô la cho thông tin có thể giúp xác định hoặc xác định vị trí tội phạm mạng độc hại làm việc cho các chính phủ nước ngoài có cơ sở hạ tầng của Hoa Kỳ.

Đối phó với mã độc tống tiền ransomware.

Chính phủ và ngành công nghiệp cũng đang tăng cường nỗ lực để giải quyết các cuộc tấn công ransomware, vốn đặc biệt gia tăng trong năm nay. Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (Cyber Security and Infrastructure Security Agency – CISA) đã phát hành khả năng tự đánh giá kiểm tra bảo mật ransomware mới dưới dạng một mô-đun cho Công cụ đánh giá an ninh mạng (Cyber Security Evaluation Tool – CSET) của họ. Được gọi là RRA, công cụ này được thiết kế để giúp các tổ chức khám phá xem họ được trang bị bảo mật an ning mạng tốt như thế nào để bảo vệ và phục hồi khỏi các cuộc tấn công ransomware nhắm vào nội dung CNTT hoặc công nghệ hoạt động (Operational technology – OT).

Ngoài ra còn có một dự án nguồn lực đám đông mới nhằm theo dõi các khoản thanh toán và lợi nhuận ransomware. Được đặt tên là Ransomwhere, trang web cho phép nạn nhân và các chuyên gia bảo mật tải lên bản sao của ghi chú đòi tiền chuộc và thông tin thích hợp khác để xây dựng hồ sơ về những tội phạm an ninh mạng và phương pháp của chúng. Dự án được bắt đầu bởi Jack Cable, sinh viên Stanford, cũng là một nhà nghiên cứu tại Krebs Stamos Group.

Với việc ransomware được xác định rõ ràng là một mối đe dọa an ninh quốc gia lớn trong năm nay, ngành an ninh mạng và các nhà điều hành an ninh mạng hàng đầu đang phải vật lộn để tìm đủ năng lực để điều khiển các chiến tuyến.

Một điểm dữ liệu thú vị khác trên mặt trận ransomware

Mong đợi một số thay đổi trên mặt trận bảo hiểm mạng dựa trên nghiên cứu mới từ Viện nghiên cứu quốc phòng-  Royal United Services Institute (RUSI). Theo một tài liệu nghiên cứu của RUSI, kiểm tra các thách thức về bảo hiểm mạng và an ninh mạng, hoạt động này có thể góp phần vào sự gia tăng của các cuộc tấn công ransomware bằng cách cho phép thanh toán các yêu cầu tiền chuộc. Các hãng bảo hiểm cũng đang đẩy mạnh chi phí và yêu cầu bảo hiểm để đáp ứng nhu cầu tăng cao. Ví dụ: nhiều nhà bảo lãnh đang yêu cầu xem bằng chứng chi tiết về các hoạt động an ninh mạng của một công ty để bảo mật các chính sách.

Các cuộc tấn công cơ sở hạ tầng có thể xảy ra trên diện rộng.

Hàng loạt các cuộc tấn công mạng gần đây cũng làm dấy lên lo ngại về các lỗ hổng cơ sở hạ tầng. Dịch vụ tàu hỏa ở Iran đã bị gián đoạn vào đầu tháng này sau một cuộc tấn công vào hệ thống máy tính của tuyến đường sắt quốc gia của nước này, gây ra sự chậm trễ cho cả chuyến tàu chở khách và hàng hóa.

Ở cấp độ chi tiết hơn, lỗ hổng thực thi mã từ xa (Remote code execution – RCE) đã được tiết lộ có thể giúp tin tặc dễ dàng chiếm quyền kiểm soát đối với Schneider Electric PLC, được sử dụng nhiều trong các thiết bị công nghiệp, từ sản xuất thiết bị sàn đến cơ sở hạ tầng quan trọng. Các nhà nghiên cứu của Armis đã phát hiện ra một lỗ hổng trong Modicon PLC, được sử dụng rộng rãi trong sản xuất, ứng dụng tự động hóa và tiện ích năng lượng. Các nhà nghiên cứu cảnh báo lỗi này có thể bị lợi dụng cho nhiều cuộc tấn công khác nhau, từ triển khai ransomware đến thay đổi lệnh vận hành máy móc. Schneider Electric đang tiến hành thực hiện một bản vá.

Các kỹ sư bị nhóm tin tặc Lazarus nhắm tới.

Một nhóm tin tặc nổi tiếng ở Triều Tiên đã nhắm vào các kỹ sư trong chiến dịch lừa đảo mới nhất của nhóm này. Theo AT&T Alien Labs, Lazarus (hay còn gọi là Appleworm) đang sử dụng các thư mời làm việc giả mạo như một phương tiện để thu hút các ứng viên kỹ thuật và nhân viên trong các vị trí việc làm đã được phân loại. Nếu mục tiêu bị nhắm đến vô tình nhấp vào các tệp lừa đảo này, phần mềm độc hại độc hại sẽ tự động cài đặt vào máy tính của người nạn nhân. Nhóm này lần đầu tiên sử dụng chiến thuật này vào năm ngoái trong một chiến dịch có tên Dreamjob, theo đó họ nhắm mục tiêu vào các nhà thầu an ninh quốc phòng.

Biên soạn bởi Phương Nguyễn – Iworld.com.vn