BITDEFENDER: Dự báo an ninh mạng năm 2024 – Chiến thuật và mục tiêu mới của Ransomware

Trước đây, tội phạm mạng thường hoạt động với động cơ “do it for lulz”, tham gia vào các hoạt động đánh phá chỉ nhằm mục đích giải trí hoặc gây rối loạn. Ngày nay, được thúc đẩy bởi lợi nhuận nên các hoạt động này càng trở nên phổ biến và bàn bản và quy trình hơn nhằm mục đích tạo ra nguồn thu nhập ổn. Sự thay đổi về động lực này đã làm cho việc dự đoán hành vi của tin tặc trở nên dễ dàng hơn phần nào, vì hành động của họ giờ đây dựa trên các mục tiêu chiến lược thay vì những ý tưởng bất chợt không thể đoán trước.

Trong năm 2024, chúng tôi dự đoán mối đe dọa Ransomware sẽ tiếp tục chuyển sang hướng cơ hội—một xu hướng mà chúng tôi nhấn mạnh lần đầu tiên vào năm 2022, đã đạt được động lực trong suốt năm 2023 (được đánh dấu bằng nhiều lời khuyên, đỉnh điểm là hoạt động khai thác CitrixBleed đang diễn ra) và dự kiến ​​sẽ đạt mức đỉnh trong năm nay.

  1. Tăng cường Ransomware bằng cách khai thác Zero-Day

Trong 2024, những kẻ đe dọa Ransomware sẽ tiếp tục áp dụng tư duy cơ hội, nhanh chóng tận dụng các lỗ hổng mới được phát hiện trong vòng 24 giờ. Sau khi xâm phạm nhiều mạng bằng máy quét tự động, chúng sẽ phân loại theo cách thủ công để xác định phương thức kiếm tiền tối ưu và chọn chế độ tấn công thích hợp. Khi các công ty ngày càng áp dụng bản vá ưu tiên và phản hồi nhanh chóng, thì các nhóm/ tổ chức với nguồn lực lớn và tinh vi hơn kể sẽ bắt đầu đầu tư vào các lỗ hổng Zero-Day.

Các tổ chức Ransomware sẽ tiếp tục tập trung khai thác phần mềm doanh nghiệp. Cả nhà cung cấp dịch vụ, doanh nghiệp và khách hàng đều cần phải thích ứng với xu hướng này. Ngoài việc áp dụng rộng rãi, phổ biến thì phần mềm doanh nghiệp còn nổi bật như một mục tiêu hàng đầu do chu kỳ bảo trì truyền thống của nó. Ngược lại với các cơ chế cập nhật liền mạch và hoàn toàn tự động phổ biến trong phần mềm tiêu dùng, chẳng hạn như trình duyệt hoặc ứng dụng văn phòng, phần mềm doanh nghiệp thường tuân theo cách tiếp cận và vá lỗi theo giai đoạn. Quy trình này có thể sẽ kéo dài thời gian cho nên điều này tạo ra một cơ hội cho các tác nhân đe dọa. 

Với thời gian cần thiết cho việc điều chỉnh này gây ra sự mất an toàn tạm thời nên khả năng tấn công có thể xảy ra. Sau một số cuộc tấn công quy mô lớn, các công ty dự kiến ​​sẽ tập trung vào các giải pháp quản lý rủi ro.

2. Đánh giá và phân loại nạn nhân

Các cuộc tấn công cơ hội, được thực hiện bởi các tổ chức môi giới hoặc các chi nhánh của Ransomware, chung nhanh chóng giành được quyền truy cập vào hàng trăm hoặc hàng nghìn mạng. Sau sự thỏa hiệp tự động này, một quy trình phân loại thủ công sẽ diễn ra sau đó. Thời gian dừng này mang đến cho người quản trị cơ hội phát hiện và giảm thiểu mối đe dọa, đặc biệt là với khả năng phát hiện và ứng phó hiệu quả (XDR hoặc MDR).

Việc phân loại rất quan trọng để xác định tiềm năng đòi tiền chuộc tối đa và phương pháp tấn công hiệu quả nhất, có tính đến các yếu tố như quy mô, ngành hoạt động. Nhà máy sản xuất và các ngành phụ thuộc vào hoạt động sản xuất dễ bị triển khai Ransomware. Ngoài ra, các lĩnh vực như chăm sóc sức khỏe hoặc văn phòng thì dễ bị đánh cắp dữ liệu hơn. Các nhóm Ransomware ngày càng thành thạo trong việc hiểu các quy trình hoạt động của các tổ chức doanh nghiệp. Đặc biệt, các studio chơi game cần phải cảnh giác vì chúng tôi dự đoán các cuộc tấn công sẽ gia tăng vào năm 2024.

Các doanh nghiệp vừa và nhỏ có tiềm năng đòi tiền chuộc hạn chế nhưng đóng vai trò là nguồn kết nối để gia tăng các cuộc tấn công, thường thông qua kết nối VPN/VDI hoặc xâm phạm email doanh nghiệp. Việc khai thác lỗ hổng thông qua các nhà cung cấp dịch vụ có thể gây tổn hại cho cả công ty, ngay cả khi công ty đó không trực tiếp sử dụng phần mềm bị ảnh hưởng.

3. Hiện đại hóa Ransomware

Các tổ chức phát triển Ransomware đang ngày càng sử dụng Rust làm ngôn ngữ lập trình chính của họ. Rust cho phép các nhà phát triển viết mã an toàn hơn, đồng thời khiến các chuyên gia bảo mật khó thực hiện kỹ thuật đảo ngược và phân tích hơn. Ngoài ra, nó cho phép phát triển mã có thể được biên dịch cho các hệ điều hành khác nhau. Mặc dù không thể lường trước được sự phát triển của Ransomware cho macOS, nhưng xu hướng nhắm mục tiêu vào các trình ảo hóa và Server Workloads đang ngày càng tăng.

Thay vì mã hóa hoàn toàn các tệp, mã Ransomware sẽ ưu tiên mã hóa không liên tục và dần dần chuyển sang mã hóa có khả năng phục hồi như Mã hóa NTRU. Mã hóa không liên tục bao gồm việc chỉ mã hóa một phần tệp tại một thời điểm, mang lại hai ưu điểm chính: thứ nhất, việc các công cụ bảo mật phát hiện cuộc tấn công trở nên khó khăn hơn do sự giống nhau về mặt thống kê giữa tệp được mã hóa một phần và tệp gốc và thứ hai là quá trình mã hóa nhanh hơn, cho phép Ransomware mã hóa nhiều tệp hơn trong một khung thời gian nhất định.

Tóm lại, Ransomware chất lượng cao đang trở thành một mặt hàng. Ransomware thường tác động đến một số lượng lớn hệ thống và lượng dữ liệu khổng lồ. Tuy nhiên, dù có sự phát triển chuyên môn nhưng việc khôi phục dữ liệu vẫn còn nhiều thách thức và không bao giờ được đảm bảo 100%. Nhiều nhóm Ransomware đang chuyển sang đánh cắp dữ liệu như một chiến lược.

4. Sự thay đổi liên tục theo hướng đánh cắp dữ liệu qua mã hóa Ransomware

Mã hóa dữ liệu sẽ tiếp tục là một phần trong kho vũ khí của các tổ chức Ransomware, nhưng nó sẽ đảm nhận vai trò bổ sung. Xu hướng đánh cắp và lấy cắp dữ liệu vẫn tiếp tục diễn ra, rời xa sự tập trung truyền thống vào mã hóa Ransomware (ngoại lệ là các ngành sản xuất vì ưu tiên đảm bảo tính khả dụng, liên tục hơn là bảo mật). Một vài ví dụ đáng chú ý là CL0P, BianLian, Avos, BlackCat, Hunters International và Rhysida.

Việc lọc và phân loại dữ liệu có khả năng nhận được tiền chuộc cao hơn so với các cuộc tấn công bằng Ransomware. Sau khi trích xuất dữ liệu thành công, nạn nhân phải đối mặt với một quyết định nhị phân: giữ bí mật dữ liệu hoặc cho phép các tác nhân đe dọa xuất bản dữ liệu đó.

Không giống như Ransomware, việc lọc dữ liệu tránh gây ra sự phá hủy, cho phép các nhóm Ransomware tự thể hiện mình là những người thử nghiệm sự xâm nhập không tự nguyện. Việc lọc dữ liệu cho phép nạn nhân duy trì bề ngoài bảo mật dữ liệu, vì các tác nhân đe dọa đề nghị xử lý các vi phạm một cách kín đáo. Tội phạm mạng khai thác kiến ​​thức về pháp luật và tuân thủ để buộc nạn nhân phải đáp ứng nhu cầu tiền chuộc ngày càng tăng và một số nạn nhân có thể chọn trả tiền chuộc để trốn tiền phạt hoặc tác động tiêu cực đến thương hiệu.

Như được thể hiện trong kết quả từ cuộc khảo sát “Đánh giá an ninh mạng Bitdefender 2023” của chúng tôi, hơn 70% người được hỏi ở Hoa Kỳ cho biết họ đã được yêu cầu giữ bí mật về hành vi vi phạm, trong khi 55% cho biết họ đã giữ bí mật về hành vi vi phạm khi họ biết, lẽ ra nó phải được báo cáo. Các cơ quan thực thi pháp luật thường có quyền truy cập vào dữ liệu bị rò rỉ từ các nhóm Ransomware, dữ liệu này có thể chứa thông tin về các vi phạm bảo mật chưa được báo cáo. 

5. Tổ chức Ransomware trở nên tinh vi hơn

Đối mặt với những thách thức về khả năng mở rộng liên quan đến các cuộc tấn công cơ hội, các nhóm Ransomware dự kiến ​​sẽ tích cực tìm kiếm các kỹ năng tự động hóa trong tương lai gần. Để tối đa hóa số tiền chuộc, sự hiểu biết sâu sắc về cách thức hoạt động của các doanh nghiệp là rất quan trọng, dẫn đến sự chú trọng nhiều hơn vào bảo hiểm mạng. Điều này mở ra nhiều cơ hội hơn cho các chuyên gia không chuyên về kỹ thuật tham gia vào hệ sinh thái tội phạm ngày càng mở rộng.

Bối cảnh cạnh tranh giữa các nhóm Ransomware sẽ ngày càng gay gắt. Các nhóm đang gặp khó khăn với các thách thức về quá trình hoạt động, chẳng hạn như BlackCat (gần đây đã bị cơ quan thực thi pháp luật đóng cửa và liên kết với các nhóm BlackMatter và DarkSide đã thất bại trước đó), có thể sẽ đổi thương hiệu nhưng gặp khó khăn trong việc thu hút – hơp tác với tổ chức khác, đặc biệt là sau nhiều lần thất bại. Một số nhóm có thể chọn bán tài sản còn lại của mình cho những tội phạm mạng đầy tham vọng khác và biến mất, như trường hợp của Hive and Hunters International. Khi các nhóm Ransomware ngày càng dựa vào các chuyên gia, thương hiệu và danh tiếng của họ được định vị để đóng một vai trò quan trọng hơn thì nó có khả năng trở thành lỗ hổng trong hoạt động của họ.

6. Sự gián đoạn các kỹ thuật do nhà nước tài trợ bởi các nhóm Ransomware

Sự tinh vi ngày càng tăng của các nhóm Ransomware vào năm 2024 sẽ dẫn đến việc áp dụng rộng rãi các công cụ và kỹ thuật thường được liên kết với các tác nhân đe dọa được nhà nước bảo trợ. DLL sideloading sẽ trở thành một thông lệ và các kỹ thuật ” living off the land” sẽ vẫn là xu hướng chủ đạo. Khi các công ty thuộc mọi quy mô áp dụng các biện pháp phòng vệ hiệu quả như MDR và ​​​​XDR, việc các nhóm được nhà nước bảo trợ sẽ ngày càng trở nên khó khăn hơn trong việc che giấu hoạt động của mình, buộc họ phải chuyển sang các phần mềm độc hại tùy chỉnh phức tạp và các vectơ tấn công phức tạp, bao gồm cả các cuộc tấn công chuỗi cung ứng.

Các nhà nước đã dung túng cho sự tồn tại của các nhóm Ransomware này có thể cần đặt ra các quy tắc khi các hoạt động này bắt đầu gây xung đột với đồng minh hoặc làm suy yếu lợi ích của chính họ.

Phần kết:

Tóm lại, năm 2024 được dự đoán sẽ là một năm nữa của Ransomware. Tuy nhiên, điều quan trọng là phải nhận ra rằng mô hình kinh doanh Ransomware đã phát triển đáng kể kể từ năm 2017 và chúng tôi đang ở giữa một trong những quá trình chuyển đổi này. Luôn cập nhật thông tin về các xu hướng mới nhất là rất quan trọng, cũng như ưu tiên các chiến lược cơ bản như bảo mật theo chiều sâu và đa lớp. Cần nhấn mạnh vào việc có được các khả năng hơn là các công cụ, bao gồm các khả năng phòng ngừa, bảo vệ, phát hiện và ứng phó.

Những dự đoán này là kết quả của công việc tận tâm của các nhà nghiên cứu bảo mật của chúng tôi tại Bitdefender Labs và những hiểu biết thực tế của các chuyên gia bảo mật trong nhóm Bitdefender MDR.

Hiện tại Tech Horizon là nhà phân phối chính thức của BITDEFENDER tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội:Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Uy Trần /Tech Horizon

Tags: ,

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.