Các nhà nghiên cứu bảo mật cảnh báo về những mối đe dọa mới và đang nổi lên có thể gây hại nghiêm trọng.
1. Sự hồi sinh các cuộc tấn công DDoS
Theo James Willett, phó chủ tịch công nghệ của Neustar, đầu năm nay, ngành công nghiệp đã hứng chịu cuộc tấn công DDoS lớn nhất từng được ghi nhận – 1,7 Tbps – sử dụng một loại tấn công mới gọi là Memcached. Loại này xuất hiện ở đỉnh điểm của một cuộc tấn công DDoS 1,35 Tbps. Willett cho biết các cuộc tấn công khuếch đại trước đó, chẳng hạn như DNSSEC, trả về một nhân tố gấp 217 lần, nhưng các cuộc tấn công Memcached trả về các bản ghi khuếch đại vượt quá 51.000 lần. Ông cho biết, tiềm năng trở lại từ các cuộc tấn công Memcached trên một phần của cuộc tấn công đã trở nên quá lớn, rằng chúng không yêu cầu sử dụng các botnet, làm cho chúng trở thành một vector nguy cơ mới và nguy hiểm.
Khi tin tặc tiếp tục tìm cách tối đa hóa hiệu quả tấn công, khả năng khuếch đại mới sẽ tiếp tục hỗ trợ kích thước các cuộc tấn công DDoS. Chúng thường được sử dụng như một cuộc tấn công trên màn hình khói, chuyển hướng các tài nguyên bảo mật để tập trung và giảm thiểu các cuộc tấn công DDoS, trong khi các cuộc tấn công khác như nhiễm phần mềm độc hại, vi phạm hoặc xóa dữ liệu có thể được tiến hành mà không bị phát hiện.
2. Tấn công lớp 7
Willett của Neustar cho biết: các cuộc tấn công DDoS có quy mô lớn có thể thu hút sự chú ý của giới truyền thông, nhưng các tội phạm mạng ngày càng tập trung vào tấn công ứng dụng Web Lớp 7. Trong thực tế, “Báo cáo an ninh mạng hàng năm Cisco 2018” phát hiện ra rằng các cuộc tấn công DDoS của ứng dụng đã vượt qua các cuộc tấn công DDoS mạng trong năm nay. Willett cho biết các cuộc tấn công như vậy hầu như không có cảnh báo, khó khăn hơn nhiều so với các cuộc tấn công DDoS mạng, và bởi vì chúng thường nhắm đến người tiêu dùng, có thể gây thiệt hại không thể khắc phục trong một thời gian rất ngắn. Thông thường, những kẻ tấn công không tìm cách hạ gục mục tiêu mà là tìm kiếm các lỗ hổng. Một khi chúng được xác định, các tội phạm mạng khởi chạy các kịch bản lệnh cross-site scripts (XSS) hoặc SQL injection để gây gián đoạn hoặc thay đổi kết quả đầu ra của ứng dụng Web.
3. Tấn công IPv6
Willett của Neustar chỉ ra rằng IPv6 đã dần dần tiến vào dòng chính vì địa chỉ IPv4 đã cạn kiệt. Nhưng nhiều công cụ bảo mật có thể không được cấu hình đúng bởi vì không đủ nhân viên công nghệ thông tin có kinh nghiệm với IPv6. Điều này cho phép kẻ tấn công tận dụng các hệ thống bị định cấu hình sai, tạo lưu lượng IPv6 độc hại góp phần vào các cuộc tấn công DDoS. Mặc dù IPv6 đã đạt đến giới hạn hiện tại, việc áp dụng đã mở rộng và hầu hết các thiết bị di động và máy tính cá nhân đều hỗ trợ nó. Điều đó có nghĩa là khi các địa chỉ IPv6 được sử dụng trong khi các cuộc tấn công khuếch đại tăng lên, các thiết bị sẽ bị ảnh hưởng nặng nề.
4. Tấn công chuỗi cung ứng
Candid Wueest, nhà nghiên cứu về mối đe dọa chính của Symantec, cho biết các nhà nghiên cứu hiện đang thấy sự gia tăng của những cuộc tấn công tiêm phần mềm độc hại vào chuỗi cung ứng để thâm nhập vào các tổ chức không phòng bị. Symantec đã nhận thấy số lượng các cuộc tấn công này đã tăng 200% – trung bình một vụ mỗi tháng trong năm 2017 – so với bốn vụ tấn công một năm trong những năm trước đó. Trong một cuộc tấn công điển hình, kẻ tấn công thay thế một bản cập nhật phần mềm hợp pháp với một phiên bản độc hại để phân phối nó một cách nhanh chóng và lén lút đến các mục tiêu dự định. Wueest cho biết: người dùng áp dụng bản cập nhật phần mềm sẽ tự động khiến máy tính của họ bị nhiễm và sẽ cung cấp cho kẻ tấn công một chỗ đứng trên mạng của họ. Thậm chí nguy hiểm hơn: Các cuộc tấn công này không giới hạn ở các máy tính để bàn. Điều tương tự cũng áp dụng cho các thiết bị Internet of Things và các thành phần điều khiển công nghiệp.
5. Tấn công trên thiết bị di động
Các mối đe dọa trên thiết bị di động sẽ tiếp tục phát triển, theo Wueest của Symantec. Trong năm 2017, số lượng các biến thể phần mềm độc hại mới không chỉ tăng 54% mà khối lượng cũng tăng lên. Những kẻ tấn công đã phát triển các phương pháp lây nhiễm và thủ thuật mới để duy trì trên các thiết bị bị xâm phạm càng lâu càng tốt. Chúng cũng đã đưa ra nhiều cách khác nhau để tạo doanh thu từ các thiết bị, từ ransomware đến khai thác tiền điện tử. Tuy nhiên, khi các cuộc tấn công tiếp tục phát triển và trưởng thành, Wueest cho biết không thể nói với người dùng di động, nhiều người trong số họ tiếp tục làm cho cuộc tấn công dễ dàng hơn đối với những kẻ tấn công bằng cách sử dụng các hệ điều hành cũ hơn. Ví dụ: trên thiết bị Android, chỉ 20% người dùng đang chạy phiên bản chính mới nhất. Chuyên gia bảo mật tại các công ty đã khuyên người dùng nên đảm bảo việc cập nhật thiết bị công việc của họ cũng như điện thoại thông minh cá nhân.
6. Tấn công Spear-Phishing
Wueest của Symantec cho biết: email giả mạo (Spear – phishing), trong đó người nhận bị lừa vào việc mở một tệp đính kèm hoặc kèm theo một liên kết độc hại, đã trở thành vector lây nhiễm được sử dụng rộng rãi nhất, được 71% các nhóm tác nhân đe dọa sử dụng. Mức độ phổ biến của nó nhấn mạnh mức độ thường xuyên một người dùng máy tính điển hình có thể là liên kết yếu nhất trong bảo mật của tổ chức. Cùng với một giải pháp bảo mật email mạnh mẽ, Wueest nói rằng việc giáo dục nhân viên về sự nguy hiểm của các email lừa đảo và cách phát hiện chúng sẽ đóng vai trò quan trọng để giảm thiểu các cuộc tấn công bảo mật chúng có thể gây ra.
7. Khai thác quy trình nghiệp vụ
Ed Cabrera, giám đốc an ninh mạng tại Trend Micro cho biết, khi các công ty trải qua chuyển đổi kỹ thuật số và tự động hóa quy trình với trí thông minh nhân tạo và học máy, lỗ hổng kỹ thuật và hệ thống mới sẽ xuất hiện, và sẵn sàng để được khai thác. Ví dụ, khi các công ty tiếp tục tự động hóa, xử lý các lỗ hổng xung quanh chuỗi cung ứng sẽ giải phóng các cơ hội cho tội phạm mạng để kiếm một số tiền lớn. Khi các doanh nghiệp hợp pháp có được quyền truy cập vào các công cụ tự động, thì những kẻ xấu cũng vậy. Cabrera cảnh báo rằng những kẻ tấn công sẽ tiếp tục đổi mới, tự động hóa và xây dựng nhiều năng lực hơn khi họ cộng tác trong các khu mạng ngầm.
8. Thỏa hiệp email doanh nghiệp
Cabrera của Trend Micro cho biết các cuộc tấn công qua email doanh nghiệp (BEC – Business email compromise) đã mở rộng trong vài năm qua, với những tổn thất đã được xác định tăng lên 10,8 tỷ USD kể từ năm 2015 lên hơn 12 tỷ USD vào năm 2018. Sự kết hợp của sự đơn giản và hiệu quả đã đảm bảo rằng BEC sẽ tiếp tục là một trong những cuộc tấn công phổ biến nhất, đặc biệt là cho các tổ chức tội phạm thiếu các công cụ đặc biệt và kiến thức để rút ra các chương trình phức tạp hơn.
Các cuộc tấn công tự biểu hiện theo hai cách: Một, kẻ tấn công mạng thực hiện các cuộc tấn công lừa đảo bằng thông tin xác thực được thiết kế bằng cách sử dụng keyloggers và bộ công cụ lừa đảo để truy cập vào tài khoản webmail của công ty để xác định lãnh đạo doanh nghiệp và giám sát thông tin liên lạc. Trong một kịch bản thứ hai, những kẻ tấn công gửi một email mạo danh, ví dụ, một nhà cung cấp hoặc nhân viên công ty cho một người nào đó trong bộ phận tài chính của công ty nạn nhân. Những kẻ tấn công cẩn thận thiết kế email để làm cho nó trông như thể là nhà cung cấp hoặc nhân viên công ty đã gửi nó, thường hướng dẫn nạn nhân chuyển tiền để thanh toán hóa đơn hoặc gửi số tiền lớn ở nước ngoài.
Theo James Willett, phó chủ tịch công nghệ của Neustar, đầu năm nay, ngành công nghiệp đã hứng chịu cuộc tấn công DDoS lớn nhất từng được ghi nhận – 1,7 Tbps – sử dụng một loại tấn công mới gọi là Memcached. Loại này xuất hiện ở đỉnh điểm của một cuộc tấn công DDoS 1,35 Tbps. Willett cho biết các cuộc tấn công khuếch đại trước đó, chẳng hạn như DNSSEC, trả về một nhân tố gấp 217 lần, nhưng các cuộc tấn công Memcached trả về các bản ghi khuếch đại vượt quá 51.000 lần. Ông cho biết, tiềm năng trở lại từ các cuộc tấn công Memcached trên một phần của cuộc tấn công đã trở nên quá lớn, rằng chúng không yêu cầu sử dụng các botnet, làm cho chúng trở thành một vector nguy cơ mới và nguy hiểm.
Khi tin tặc tiếp tục tìm cách tối đa hóa hiệu quả tấn công, khả năng khuếch đại mới sẽ tiếp tục hỗ trợ kích thước các cuộc tấn công DDoS. Chúng thường được sử dụng như một cuộc tấn công trên màn hình khói, chuyển hướng các tài nguyên bảo mật để tập trung và giảm thiểu các cuộc tấn công DDoS, trong khi các cuộc tấn công khác như nhiễm phần mềm độc hại, vi phạm hoặc xóa dữ liệu có thể được tiến hành mà không bị phát hiện.
2. Tấn công lớp 7
Willett của Neustar cho biết: các cuộc tấn công DDoS có quy mô lớn có thể thu hút sự chú ý của giới truyền thông, nhưng các tội phạm mạng ngày càng tập trung vào tấn công ứng dụng Web Lớp 7. Trong thực tế, “Báo cáo an ninh mạng hàng năm Cisco 2018” phát hiện ra rằng các cuộc tấn công DDoS của ứng dụng đã vượt qua các cuộc tấn công DDoS mạng trong năm nay. Willett cho biết các cuộc tấn công như vậy hầu như không có cảnh báo, khó khăn hơn nhiều so với các cuộc tấn công DDoS mạng, và bởi vì chúng thường nhắm đến người tiêu dùng, có thể gây thiệt hại không thể khắc phục trong một thời gian rất ngắn. Thông thường, những kẻ tấn công không tìm cách hạ gục mục tiêu mà là tìm kiếm các lỗ hổng. Một khi chúng được xác định, các tội phạm mạng khởi chạy các kịch bản lệnh cross-site scripts (XSS) hoặc SQL injection để gây gián đoạn hoặc thay đổi kết quả đầu ra của ứng dụng Web.
3. Tấn công IPv6
Willett của Neustar chỉ ra rằng IPv6 đã dần dần tiến vào dòng chính vì địa chỉ IPv4 đã cạn kiệt. Nhưng nhiều công cụ bảo mật có thể không được cấu hình đúng bởi vì không đủ nhân viên công nghệ thông tin có kinh nghiệm với IPv6. Điều này cho phép kẻ tấn công tận dụng các hệ thống bị định cấu hình sai, tạo lưu lượng IPv6 độc hại góp phần vào các cuộc tấn công DDoS. Mặc dù IPv6 đã đạt đến giới hạn hiện tại, việc áp dụng đã mở rộng và hầu hết các thiết bị di động và máy tính cá nhân đều hỗ trợ nó. Điều đó có nghĩa là khi các địa chỉ IPv6 được sử dụng trong khi các cuộc tấn công khuếch đại tăng lên, các thiết bị sẽ bị ảnh hưởng nặng nề.
4. Tấn công chuỗi cung ứng
Candid Wueest, nhà nghiên cứu về mối đe dọa chính của Symantec, cho biết các nhà nghiên cứu hiện đang thấy sự gia tăng của những cuộc tấn công tiêm phần mềm độc hại vào chuỗi cung ứng để thâm nhập vào các tổ chức không phòng bị. Symantec đã nhận thấy số lượng các cuộc tấn công này đã tăng 200% – trung bình một vụ mỗi tháng trong năm 2017 – so với bốn vụ tấn công một năm trong những năm trước đó. Trong một cuộc tấn công điển hình, kẻ tấn công thay thế một bản cập nhật phần mềm hợp pháp với một phiên bản độc hại để phân phối nó một cách nhanh chóng và lén lút đến các mục tiêu dự định. Wueest cho biết: người dùng áp dụng bản cập nhật phần mềm sẽ tự động khiến máy tính của họ bị nhiễm và sẽ cung cấp cho kẻ tấn công một chỗ đứng trên mạng của họ. Thậm chí nguy hiểm hơn: Các cuộc tấn công này không giới hạn ở các máy tính để bàn. Điều tương tự cũng áp dụng cho các thiết bị Internet of Things và các thành phần điều khiển công nghiệp.
5. Tấn công trên thiết bị di động
Các mối đe dọa trên thiết bị di động sẽ tiếp tục phát triển, theo Wueest của Symantec. Trong năm 2017, số lượng các biến thể phần mềm độc hại mới không chỉ tăng 54% mà khối lượng cũng tăng lên. Những kẻ tấn công đã phát triển các phương pháp lây nhiễm và thủ thuật mới để duy trì trên các thiết bị bị xâm phạm càng lâu càng tốt. Chúng cũng đã đưa ra nhiều cách khác nhau để tạo doanh thu từ các thiết bị, từ ransomware đến khai thác tiền điện tử. Tuy nhiên, khi các cuộc tấn công tiếp tục phát triển và trưởng thành, Wueest cho biết không thể nói với người dùng di động, nhiều người trong số họ tiếp tục làm cho cuộc tấn công dễ dàng hơn đối với những kẻ tấn công bằng cách sử dụng các hệ điều hành cũ hơn. Ví dụ: trên thiết bị Android, chỉ 20% người dùng đang chạy phiên bản chính mới nhất. Chuyên gia bảo mật tại các công ty đã khuyên người dùng nên đảm bảo việc cập nhật thiết bị công việc của họ cũng như điện thoại thông minh cá nhân.
6. Tấn công Spear-Phishing
Wueest của Symantec cho biết: email giả mạo (Spear – phishing), trong đó người nhận bị lừa vào việc mở một tệp đính kèm hoặc kèm theo một liên kết độc hại, đã trở thành vector lây nhiễm được sử dụng rộng rãi nhất, được 71% các nhóm tác nhân đe dọa sử dụng. Mức độ phổ biến của nó nhấn mạnh mức độ thường xuyên một người dùng máy tính điển hình có thể là liên kết yếu nhất trong bảo mật của tổ chức. Cùng với một giải pháp bảo mật email mạnh mẽ, Wueest nói rằng việc giáo dục nhân viên về sự nguy hiểm của các email lừa đảo và cách phát hiện chúng sẽ đóng vai trò quan trọng để giảm thiểu các cuộc tấn công bảo mật chúng có thể gây ra.
7. Khai thác quy trình nghiệp vụ
Ed Cabrera, giám đốc an ninh mạng tại Trend Micro cho biết, khi các công ty trải qua chuyển đổi kỹ thuật số và tự động hóa quy trình với trí thông minh nhân tạo và học máy, lỗ hổng kỹ thuật và hệ thống mới sẽ xuất hiện, và sẵn sàng để được khai thác. Ví dụ, khi các công ty tiếp tục tự động hóa, xử lý các lỗ hổng xung quanh chuỗi cung ứng sẽ giải phóng các cơ hội cho tội phạm mạng để kiếm một số tiền lớn. Khi các doanh nghiệp hợp pháp có được quyền truy cập vào các công cụ tự động, thì những kẻ xấu cũng vậy. Cabrera cảnh báo rằng những kẻ tấn công sẽ tiếp tục đổi mới, tự động hóa và xây dựng nhiều năng lực hơn khi họ cộng tác trong các khu mạng ngầm.
8. Thỏa hiệp email doanh nghiệp
Cabrera của Trend Micro cho biết các cuộc tấn công qua email doanh nghiệp (BEC – Business email compromise) đã mở rộng trong vài năm qua, với những tổn thất đã được xác định tăng lên 10,8 tỷ USD kể từ năm 2015 lên hơn 12 tỷ USD vào năm 2018. Sự kết hợp của sự đơn giản và hiệu quả đã đảm bảo rằng BEC sẽ tiếp tục là một trong những cuộc tấn công phổ biến nhất, đặc biệt là cho các tổ chức tội phạm thiếu các công cụ đặc biệt và kiến thức để rút ra các chương trình phức tạp hơn.
Các cuộc tấn công tự biểu hiện theo hai cách: Một, kẻ tấn công mạng thực hiện các cuộc tấn công lừa đảo bằng thông tin xác thực được thiết kế bằng cách sử dụng keyloggers và bộ công cụ lừa đảo để truy cập vào tài khoản webmail của công ty để xác định lãnh đạo doanh nghiệp và giám sát thông tin liên lạc. Trong một kịch bản thứ hai, những kẻ tấn công gửi một email mạo danh, ví dụ, một nhà cung cấp hoặc nhân viên công ty cho một người nào đó trong bộ phận tài chính của công ty nạn nhân. Những kẻ tấn công cẩn thận thiết kế email để làm cho nó trông như thể là nhà cung cấp hoặc nhân viên công ty đã gửi nó, thường hướng dẫn nạn nhân chuyển tiền để thanh toán hóa đơn hoặc gửi số tiền lớn ở nước ngoài.
