Kaspersky dự báo toàn cảnh xu hướng các mối đe dọa nâng cao năm 2024
Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã đưa ra những thông tin chi tiết và dự đoán về sự phát triển của các cuộc tấn công có chủ đích (APT) vào năm 2024 trong Kaspersky Security Bulletin.
Các nhà nghiên cứu của Kaspersky dự đoán các hacker APT sẽ khai thác nhiều lỗ hổng mới để thâm nhập thiết bị di động, thiết bị đeo thông minh (wearables) và thiết bị thông minh (smart devices), đồng thời sử dụng (thông qua) chúng để hình thành mạng lưới botnet, tinh chỉnh các phương thức tấn công chuỗi cung ứng và sử dụng trí tuệ nhân tạo (AI) để cuộc tấn công lừa đảo có hiệu quả hơn. Những cải tiến này sẽ dẫn đến sự tăng cường các cuộc tấn công có động cơ chính trị và tội phạm mạng trong tương lai.
Việc AI hỗ trợ mạo danh góp phần gia tăng việc khai thác lỗ hổng trên các thiết bị di động và các mạng lưới botnet mới
Các công cụ AI mới nổi dễ dàng soạn thảo những tin nhắn lừa đảo trực tuyến thậm chí, cho phép bắt chước các cá nhân cụ thể. Những kẻ tấn công có thể nghĩ ra các phương pháp tự động hóa sáng tạo bằng cách thu thập dữ liệu trực tuyến và cung cấp dữ liệu đó cho mô hình ngôn ngữ lớn (LLM) để tạo ra nội dung tin nhắn giống như người quen của nạn nhân.
Chiến dịch “Operation Triangulation” đánh dấu một năm báo động trong hoạt động khai thác các lỗ hổng trên di động và có khả năng truyền cảm hứng cho nhiều nghiên cứu hơn về APT tấn công trên thiết bị di động, thiết bị đeo thông minh và thiết bị thông minh. Chúng ta có thể sẽ chứng kiến các tác nhân đe dọa mở rộng nỗ lực giám sát, nhắm mục tiêu vào các thiết bị tiêu dùng khác nhau thông qua những lỗ hổng bảo mật và phương pháp phân phối khai thác lỗ hổng “im lặng”, bao gồm các cuộc tấn công không cần nhấp chuột (zero-click attack) thông qua trình nhắn tin, tấn công bằng một cú nhấp chuột (one-click attack) qua SMS hoặc ứng dụng nhắn tin cũng như chặn lưu lượng truy cập mạng. Vì vậy, việc bảo vệ các thiết bị cá nhân và doanh nghiệp ngày càng trở nên quan trọng hơn bao giờ hết.
Ngoài ra, người dùng còn nên cảnh giác với việc khai thác các lỗ hổng trong phần mềm và thiết bị thường được sử dụng. Tuy nhiên, việc phát hiện ra lỗ hổng có mức độ nghiêm trọng cao thường bị hạn chế nghiên cứu và trì hoãn sửa chữa, điều này sẽ mở đường cho các mạng lưới botnet mới có quy mô lớn và có khả năng lén lút tấn công có chủ đích.
Sự gia tăng các cuộc tấn công mạng do các tác nhân được nhà nước bảo trợ và chủ nghĩa tin tặc (hacktivism) là một hiện tượng bình thường mới
Trong bối cảnh căng thẳng địa chính trị leo thang, số lượng các cuộc tấn công mạng do nhà nước bảo trợ cũng có khả năng tăng mạnh trong năm tới. Những cuộc tấn công này có thể đe dọa đến việc đánh cắp hoặc mã hóa dữ liệu, phá hủy cơ sở hạ tầng CNTT, hoạt động gián điệp lâu dài và phá hoại không gian mạng.
Một xu hướng đáng chú ý khác là chủ nghĩa hacktivism, vốn đã trở nên phổ biến hơn trong bối cảnh xung đột địa chính trị. Căng thẳng địa chính trị cho thấy khả năng gia tăng hoạt động hacktivist, vừa mang tính phá hoại, vừa nhằm mục đích truyền bá thông tin sai lệch, dẫn đến các cuộc điều tra không cần thiết và kéo theo là sự cảnh báo liên tục của các nhà phân tích Trung tâm Điều hành An ninh mạng (SOC) và nhà nghiên cứu an ninh mạng.
Các mối đe dọa nâng cao khác cũng được dự đoán trong năm 2024 bao gồm:
- Tấn công chuỗi cung ứng như một dịch vụ: mua số lượng lớn quyền truy cập của nhà khai thác
Các cuộc tấn công chuỗi cung ứng nhắm vào các công ty nhỏ hơn để xâm phạm các công ty lớn: Vi phạm Okta vào năm 2022 - 2023 đã làm nổi bật quy mô của mối đe dọa. Động cơ của các cuộc tấn công này có thể bao gồm từ lợi ích tài chính đến hoạt động gián điệp. Năm 2024 có thể chứng kiến những bước phát triển mới trong hoạt động thị trường truy cập dark web liên quan đến chuỗi cung ứng, tạo điều kiện cho các cuộc tấn công quy mô lớn và hiệu quả hơn.
- Sự xuất hiện của nhiều nhóm cung cấp dịch vụ hack cho thuê
Các nhóm hack cho thuê đang gia tăng, cung cấp dịch vụ đánh cắp dữ liệu cho khách hàng, từ các nhà điều tra tư nhân đến các đối thủ kinh doanh. Xu hướng này dự kiến sẽ phát triển trong năm tới.
- Rootkit nhân hệ điều hành (kernel rootkits) sẽ phổ biến trở lại
Bất chấp các biện pháp bảo mật hiện đại như Kernel Mode Code Signing, PatchGuard, Hypervisor-Protected Code Integrity (HVCI), các rào cản thực thi mã cấp nhân hệ điều hành vẫn đang bị APT và các nhóm tội phạm mạng vượt qua. Các cuộc tấn công nhân hệ điều hành Windows đang ngày càng gia tăng, được kích hoạt bởi việc lạm dụng Well Head Control Panel (WHCP), thị trường ngầm cho chứng chỉ EV (EV certificates) và ký mã hóa (code signing) bị đánh cắp cũng đang dần dà phát triển. Bên cạnh đó, các tác nhân đe dọa đang ngày càng tận dụng công cụ độc hại Bring Your Own Vulnerable Driver (BYOVD) trong chiến thuật của chúng.
- Hệ thống Truyền tệp được quản lý (MFT) được sử dụng cho các cuộc tấn công nâng cao
Các hệ thống MFT phải đối mặt với các mối đe dọa mạng ngày càng gia tăng khi những kẻ thù trên mạng ngày càng để mắt đến lợi ích tài chính và sự gián đoạn hoạt động, điển hình là các vụ vi phạm MOVEit và GoAnywhere vào năm 2023. Kiến trúc MFT phức tạp được tích hợp vào các mạng lưới rộng hơn ẩn chứa những điểm yếu trong bảo mật. Các tổ chức nên triển khai các biện pháp an ninh mạng mạnh mẽ, bao gồm Giải pháp Ngăn chặn Thất thoát Dữ liệu (Data Loss Prevention) và mã hóa dữ liệu, đồng thời nâng cao nhận thức về an ninh mạng để củng cố các hệ thống MFT trước các mối đe dọa ngày càng gia tăng.
Ông Igor Kuznetsov, Giám đốc Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky chia sẻ: “Vào năm 2023, sự gia tăng đáng kể về tính ích lợi của công cụ AI đã không làm mất đi sự chú ý của các tác nhân độc hại tiên tiến tham gia vào các chiến dịch mở rộng và hết sức tinh vi. Tuy nhiên, chúng tôi dự đoán rằng các xu hướng sắp tới sẽ vượt xa những tác động của AI, bao gồm các phương pháp tân tiến để tiến hành các cuộc tấn công chuỗi cung ứng, sự xuất hiện của các dịch vụ hack cho thuê, các cách khai thác lỗ hổng mới dành cho thiết bị tiêu dùng... Mục tiêu của chúng tôi là cung cấp cho những người bảo vệ thông tin tình báo gần nhất về các mối đe dọa nâng cao để luôn đi trước những diễn biến mới nhất của mối đe dọa, nâng cao khả năng chống lại các cuộc tấn công mạng hiệu quả hơn.”
Dự đoán APT đã được phát triển nhờ các dịch vụ Thám báo mối đe dọa của Kaspersky hiện đang được sử dụng trên toàn thế giới. Tìm hiểu thêm thông tin tại Securelist.
---
Về Kaspersky
Kaspersky là một công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu được thành lập vào năm 1997. Chuyên môn về bảo mật và thông tin về các mối đe dọa sâu của Kaspersky không ngừng chuyển đổi thành các giải pháp và dịch vụ bảo mật đổi mới để bảo vệ doanh nghiệp, cơ sở hạ tầng quan trọng, chính phủ và người tiêu dùng trên toàn cầu. Danh mục bảo mật toàn diện của công ty bao gồm bảo vệ điểm cuối hàng đầu cũng như một số giải pháp và dịch vụ bảo mật chuyên biệt để chống lại các mối đe dọa kỹ thuật số tinh vi và đang phát triển. Hơn 400 triệu người dùng được bảo vệ bởi các công nghệ của Kaspersky và chúng tôi giúp 220.000 khách hàng doanh nghiệp bảo vệ những gì quan trọng nhất đối với họ. Tìm hiểu thêm tại www.kaspersky.com/
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. Các cuộc tấn công mạng, đặc biệt là các hình thức lừa đảo tinh vi hay tấn công phi kỹ thuật (social engineering), đang diễn biến ngày càng phức tạp và tinh vi, đòi hỏi sự đề cao cảnh giác. Trước bối cảnh chuyển đổi số phát triển mạnh mẽ tại Việt Nam, Kaspersky đưa ra những khuyến cáo cấp thiết nhằm giúp các tổ chức và cá nhân ứng phó hiệu quả, tự vệ trước các mối đe dọa mạng ngày càng tinh vi.
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ một phát hiện đáng chú ý: một phiên bản Lite của phần mềm độc hại Grandoreiro đang nhắm mục tiêu vào khoảng 30 ngân hàng tại Mexico. Mặc dù những kẻ chủ mưu đứng sau việc phát tán Grandoreiro đã bị bắt giữ từ đầu năm nay, các nhóm tội phạm mạng khác vẫn tiếp tục lợi dụng loại malware này để thực hiện các cuộc tấn công.
Báo cáo của Kaspersky về thách thức an ninh mạng đối với các công ty công nghiệp nặng có cơ sở hạ tầng phân tán trên nhiều khu vực địa lý chỉ ra một thực tế đáng báo động: Một phần ba công ty trong lĩnh vực công nghiệp nặng thường xuyên gặp phải các sự cố mạng. Cụ thể, 45% công ty phải đối mặt với tình trạng này vài lần mỗi tháng, đáng chú ý chỉ 12% gặp sự cố mạng một lần/năm hoặc ít hơn.
Trước những thách thức ngày càng lớn và các mối đe dọa gia tăng đối với công nghệ vận hành (OT) và cơ sở hạ tầng thiết yếu, Kaspersky đã nâng cấp giải pháp Kaspersky Industrial CyberSecurity (KICS) - nền tảng XDR chuyên dụng cho các doanh nghiệp công nghiệp nặng và giải pháp MDR (Managed Detection and Response) cho các Hệ thống Điều khiển Công nghiệp (ICS). Đây là một giải pháp giúp các tổ chức thiếu nhân lực chuyên môn có thể tìm đến các trung tâm điều hành an ninh mạng (SOC) để được hỗ trợ.