Các mối đe dọa trên không gian mạng đối với các tổ chức tài chính năm 2022
TÌNH HÌNH TỘI PHẠM MẠNG NĂM 2021
Gia tăng tội phạm mạng, đặc biệt trong lĩnh vực tiền điện tử
Các chuyên gia đã nhận định từ năm 2020 rằng, đại dịch COVID-19 có khả năng gây ra một làn sóng nghèo đói lớn và điều đó luôn dẫn đến gia tăng tội phạm trong nhiều lĩnh vực trong đó bao gồm cả tội phạm mạng. Đại dịch làm cho rất nhiều mảng sản xuất, kinh doanh đình trệ và hoạt động tiền tệ giảm mạnh, các loại tiền điện tử trở lên phổ biến, giới tội phạm chuyển sang trộm cắp các đồng tiền điện tử, trong đó có Bitcoin trở nên hấp dẫn hơn rất nhiều.
Các đồng tiền điện tử lên giá, trong đó, Bitcoin kết thúc năm 2020 ở mức khoảng 28.000 USD và nhanh chóng tăng lên mức cao nhất là 40.000 USD vào tháng 01/2021. Hiện tại, với giá trị khoảng 60.000 USD, tội phạm mạng đã điều chỉnh phần mềm độc hại để giám sát ô nhớ tạm của hệ điều hành và chuyển hướng tiền đến các địa chỉ tin tặc dưới sự kiểm soát. Trên thực tế, từ tháng 01 đến cuối tháng 10, Kaspersky đã phát hiện hơn 2.300 tài nguyên gian lận nhằm vào 85.000 nhà đầu tư tiền điện tử tiềm năng hoặc người dùng quan tâm đến khai thác tiền điện tử.
Tấn công mạnh vào phương tiện thanh toán trực tuyến
Các cuộc tấn công MageCart chuyển sang phía máy chủ. Magecart Group 12, được biết đến với việc đọc lướt thông tin thanh toán từ những người mua sắm trực tuyến, hiện sử dụng webshell PHP để có quyền truy cập quản trị từ xa vào các trang web bị tấn công nhằm đánh cắp dữ liệu thẻ tín dụng, thay vì sử dụng mã JavaScript được ưa chuộng trước đây. Tồn tại một tệp thực thi lệnh chuyển đổi chính nó có tên là 'image/png' nhưng lại không được định dạng tên tệp đuôi .PNG. Tệp này sẽ tải một trình thông báo trong web PHP tại các trang web bị xâm hại bằng cách thay thế các biểu tượng lối tắt hợp pháp bằng một đường dẫn đến tệp .PNG giả mạo. Webshell khó bị phát hiện và chặn hơn vì mã skimmer được đưa vào phía máy chủ chứ không phải phía máy khách.
Giảm thuê gia công phần mềm độc hại nhằm tăng lợi nhuận
Tái tích hợp và nội bộ hóa các hoạt động bên trong hệ sinh thái tội phạm mạng: những nhóm, cá nhân hoạt động trên thị trường tội phạm mạng và những người kiếm lợi từ hoạt động tấn công mạng chủ yếu sẽ dựa vào sự phát triển nội bộ, giảm việc thuê ngoài để tăng lợi nhuận của tin tặc. Trước đây, rất nhiều nhóm đã tuyển dụng rất nhiều chi nhánh, nhưng cách tiếp cận này đi kèm với các vấn đề tiềm ẩn về lỗi và rò rỉ của con người. Để tăng lợi nhuận và bớt phụ thuộc vào gia công phần mềm, một số nhóm như REvil thậm chí còn lừa đảo các chi nhánh của mình, thêm một cửa sau có khả năng thực hiện các cuộc đàm phán với nạn nhân và lấy 70% khoản tiền chuộc được cho là chuyển cho các chi nhánh.
Gia tăng các cuộc tấn công đòi tiền chuộc
Các tác nhân đe dọa nâng cao từ các quốc gia bị trừng phạt kinh tế dùng các phương tiện mã độc tống tiền bắt chước hoạt động của tội phạm mạng. Họ có thể sử dụng lại mã có sẵn công khai hoặc tạo các chiến dịch của riêng họ từ đầu. Vào tháng 4/2021, nhóm Andariel đã cố gắng phát tán mã độc tống tiền tùy chỉnh. Theo Viện An ninh Tài chính Hàn Quốc, Andariel là một nhóm phụ của kẻ đe dọa Lazarus. Các chuyên gia rất ngạc nhiên khi phát hiện ra mã độc tống tiền sau khi tải ở giai đoạn thứ ba. Mẫu mã độc tống tiền này được tùy chỉnh và phát triển rõ ràng bởi tác nhân đe dọa đằng sau cuộc tấn công này. Mã độc tống tiền này được kiểm soát bởi các tham số dòng lệnh và có thể lấy khóa mã hóa từ C2 hoặc một đối số tại thời điểm khởi chạy.
Các chuyên gia nhận thấy rằng, nhiều cuộc tấn công đã sử dụng thuộc loại N-days (tấn công sử dụng các lỗ hổng đã được vá từ trước), chẳng hạn như cuộc tấn công nhắm vào Tòa án tối cao Brazil (khai thác lỗ hổng trong VMWare ESXI (CVE-2019-5544 và CVE-2020-3992). Ngoài ra, nhiều nhóm dựa vào lỗ hổng trong máy chủ VPN. Các tác nhân đe dọa đã tiến hành một loạt cuộc tấn công bằng cách sử dụng mã độc tống tiền Cring. Một cuộc điều tra sự cố do Kaspersky ICS CERT tiến hành tại một trong những doanh nghiệp bị tấn công cho thấy rằng họ đã khai thác lỗ hổng trong máy chủ FortiGate VPN (CVE-2018-13379).
Chính phủ tăng cường tấn công tội phạm mạng
Năm 2020, Cơ quan kiểm soát tài sản ngoại (Office of Foreign Assets Control - OFAC) Hoa Kỳ thông báo rằng họ sẽ giám sát bất kỳ khoản thanh toán nào cho các nhóm tin tặc. Sau đó, Bộ Tư lệnh Không gian mạng Hoa Kỳ đã tạm thời khóa mạng Trickbot trước cuộc bầu cử. Đồng thời cũng tiến hành mở rộng chiến lược “can dự lâu dài” đối với tội phạm tài chính. Các biện pháp trừng phạt kinh tế đã được áp đặt với các tổ chức, vùng lãnh thổ hoặc thậm chí các quốc gia thiếu kiên quyết trong việc chống lại tội phạm mạng bắt nguồn từ lãnh thổ của họ. Với việc tiếp tục phản đối việc thanh toán cho các cuộc tấn công mã độc tống tiền, OFAC đã nêu rõ quan điểm của mình rằng, việc thỏa hiệp này sẽ khuyến khích các cuộc tấn công mã độc tống tiền trong tương lai và nếu các khoản thanh toán đó (và các dịch vụ liên quan và tạo điều kiện) vi phạm các lệnh cấm trừng phạt của Hoa Kỳ, có thể khiến những người tham gia thanh toán phải chịu các biện pháp trừng phạt của OFAC.
MỘT SỐ SỰ KIỆN NỔI BẬT TRONG NĂM 2021
Bắt giữ kẻ đe dọa bằng mã độc tống tiền
Với các cuộc tấn công mã độc tống tiền diễn ra rầm rộ trong năm nay, cơ quan thực thi pháp luật trên toàn thế giới đã tăng cường cuộc chiến chống lại các nhóm tin tặc này. Một trường hợp điển hình khác là REvil, hay còn gọi là Sodinokibi, đến từ GandCrab và Cerber. Vào tháng 11/2021, một số chi nhánh của REvil đã bị bắt. Việc bắt giữ Yaroslav Vasinskyi và các cáo buộc chống lại Yevgeniy Polyanin là những ví dụ điển hình về sự hợp tác quốc tế hiệu quả trong cuộc chiến chống tội phạm mạng.
Sự cố Facebook
Do việc đổi thương hiệu và công bố sứ mệnh mới của Facebook dẫn tới việc rò rỉ dữ liệu gây ra hậu quả nghiêm trọng cho các khách hàng. Thông tin của một số công ty đã bị sai lệch và việc sử dụng tài khoản có thể gây tổn hại nghiêm trọng đến hoạt động kinh doanh hoặc bán hàng của các công ty này.
Rò rỉ thông tin tài chính, ngân hàng
Năm 2021, có rất nhiều mã độc Trojan trên nền Android, chẳng hạn như RealRAT, Coper, Bian, SMisor, Ubel, TwMobo, BRata và BasBanke ráo riết nhắm mục tiêu đến người dùng di động trên toàn thế giới với trọng tâm đặc biệt là Châu Âu, Châu Mỹ Latinh và Trung Đông. Một số chiến dịch đó đi kèm với kỹ thuật xã hội, trong đó kẻ đe dọa gọi điện cho nạn nhân và gửi một tin nhắn văn bản được thiết kế đặc biệt với liên kết tải xuống dẫn đến tệp APK độc hại sau một cuộc trò chuyện ngắn.
DỰ BÁO CHO NĂM 2022
Sự gia tăng đánh cắp thông tin
Các phương tiện đo lường từ xa của Kaspersky cho thấy, sự tăng trưởng theo cấp số nhân của nhóm tội phạm mạng đánh cắp thông tin đã xuất hiện vào năm 2021. Với sự đa dạng của các đối tượng, chi phí thấp và hiệu quả, các chuyên gia tin rằng xu hướng này sẽ tiếp tục trong năm 2022.
Cuộc tấn công nhắm mục tiêu tiền điện tử
Việc kinh doanh tiền điện tử tiếp tục phát triển và mọi người tiếp tục đầu tư tiền vào thị trường này vì nó là tài sản kỹ thuật số và tất cả các giao dịch đều diễn ra trực tuyến, đặc biệt là cung cấp tính năng ẩn danh cho người dùng. Đây là những khía cạnh hấp dẫn không chỉ các nhóm tội phạm mạng đơn lẻ mà cả các nhóm được nhà nước bảo trợ đã bắt đầu nhắm mục tiêu vào ngành công nghiệp này. Sau vụ trộm ngân hàng Bangladesh, nhóm BlueNoroff vẫn đang tấn công mạnh mẽ vào lĩnh vực kinh doanh tiền điện tử và hoạt động này được dự đoán sẽ còn tiếp tục.
Mã độc tống tiền nhắm mục tiêu hướng vào các khu vực nhạy cảm
Việc áp dụng ngân hàng mở ở nhiều quốc gia hơn có thể dẫn đến nhiều cơ hội hơn cho các cuộc tấn công mạng. Các nhóm tin tặc sử dụng mã độc tống tiền có mục tiêu sẽ gia tăng các nhóm nhỏ, tập trung vào các nạn nhân trong khu vực điểm nhạy cảm.
Trojan ngân hàng di động đang gia tăng
Khi ngân hàng di động trải qua việc áp dụng bùng nổ trên toàn thế giới do đại dịch (ở Brazil, tỷ lệ này chiếm 51% tổng số giao dịch vào năm 2020), sẽ có nhiều Trojan ngân hàng di động hơn cho Android, đặc biệt là RAT có thể vượt qua các biện pháp bảo mật được các ngân hàng áp dụng (chẳng hạn như OTP và MFA).
Mối đe dọa đối với hệ thống thanh toán trực tuyến gia tăng
Với nhiều ứng dụng fintech hơn, khối lượng dữ liệu tài chính ngày càng tăng đang thu hút tội phạm mạng. Nhờ hệ thống thanh toán trực tuyến và các ứng dụng fintech, rất nhiều thông tin cá nhân quan trọng được lưu trữ trên di động. Nhiều nhóm tội phạm mạng sẽ tiếp tục tấn công điện thoại di động cá nhân với các chiến lược phát triển như công nghệ giả mạo sâu và phần mềm độc hại tiên tiến để đánh cắp dữ liệu của nạn nhân.
Phần mềm độc hại ATM và PoS quay trở lại
Trong thời gian đại dịch, một số địa điểm đã giảm đáng kể các giao dịch PoS/ATM. Khóa máy buộc mọi người phải ở nhà và mua hàng trực tuyến và điều này cũng được phản ánh trong phần mềm độc hại PoS/ATM. Khi các hạn chế được dỡ bỏ sẽ có sự trở lại của các dự án phần mềm độc hại PoS/ATM đã biết và sự xuất hiện của các dự án mới. Tội phạm mạng sẽ lấy lại quyền truy cập vật lý dễ dàng vào máy ATM và thiết bị PoS cùng lúc với khách hàng của các nhà bán lẻ và tổ chức tài chính.
Nguyễn Ngoan