Trace Id is missing

Tống tiền kinh tế

Mê cung màu trắng với các hình tròn và chấm nhiều màu sắc

Cyber Signals Số 2: Mô hình kinh doanh mới của mã độc tống tiền

Tuy mã độc tống tiền luôn là chủ đề thu hút nhiều sự chú ý, nhưng sau cùng vẫn có một hệ sinh thái kết nối tương đối nhỏ bao gồm những tay chơi đang điều khiển lĩnh vực này của nền kinh tế tội phạm mạng. Sự chuyên môn hóa và hợp nhất của nền kinh tế tội phạm mạng đã thúc đẩy mã độc tống tiền dưới dạng dịch vụ (RaaS) trở thành một mô hình kinh doanh thống trị, cho phép nhiều kẻ phạm tội triển khai mã độc tống tiền, bất kể chuyên môn kỹ thuật.
Hơn 80% các cuộc tấn công bằng mã độc tống tiền có thể bắt nguồn từ những lỗi cấu hình phổ biến trong phần mềm và thiết bị.1

Xem bản tóm tắt số của Cyber Signals, trong đó Vasu Jakkal, CVP của Microsoft Security, phỏng vấn các chuyên gia hàng đầu về thông tin trên mạng liên quan đến nền kinh tế mã độc tống tiền và cách tổ chức có thể giúp tự bảo vệ mình.

Bản tóm tắt số: Tự bảo vệ trước nền kinh tế mã độc tống tiền

Mô hình kinh doanh mới mang đến những hiểu biết mới mẻ cho người bảo vệ

Giống như nhiều ngành đã chuyển hướng sang nhân viên làm việc tự do để đạt hiệu quả, tội phạm mạng đang cho thuê hoặc bán các công cụ mã độc tống tiền để kiếm một phần lợi nhuận, thay vì tự mình thực hiện các cuộc tấn công.

Mã độc tống tiền dưới dạng dịch vụ cho phép tội phạm mạng mua quyền truy nhập vào Tải trọng mã độc tống tiền và rò rỉ dữ liệu cũng như hạ tầng thanh toán. Các chương trình tương tự như mã độc tống tiền trong thực tiễn là RaaS như Conti hoặc REvil, được sử dụng bởi nhiều tác nhân (những người chuyển đổi giữa chương trình RaaS và tải trọng) khác nhau.

RaaS hạ thấp rào cản xâm nhập và ẩn danh tính của những kẻ tấn công thực hiện hành vi tống tiền. Một số chương trình có hơn 50 “chương trình liên kết”, tức là người dùng dịch vụ của chúng, với các công cụ, kỹ thuật và mục tiêu khác nhau. Giống như bất kỳ ai sở hữu xe hơi cũng có thể lái xe cung cấp dịch vụ đi chung xe, bất kỳ ai có máy tính xách tay và thẻ tín dụng sẵn lòng tìm kiếm công cụ kiểm thử xâm nhập hoặc phần mềm xấu dùng ngay trên web tối cũng có thể tham gia nền kinh tế này.

Quá trình công nghiệp hóa tội phạm mạng này đã tạo ra những vai trò chuyên biệt, như những người môi giới quyền truy nhập bán quyền truy nhập vào mạng. Một vụ xâm phạm thường liên quan đến nhiều tội phạm mạng ở các giai đoạn xâm nhập khác nhau.

Bạn có thể dễ dàng tìm kiếm bộ công cụ RaaS trên web tối. Các công cụ này được quảng cáo giống hàng hóa được quảng bá trên internet.

Một bộ công cụ RaaS có thể bao gồm hỗ trợ dịch vụ khách hàng, ưu đãi gói, đánh giá của người dùng, diễn đàn và các tính năng khác. Tội phạm mạng có thể thanh toán một mức giá đã định để mua bộ công cụ RaaS, còn các nhóm khác bán RaaS theo mô hình liên kết sẽ nhận một tỷ lệ phần trăm lợi nhuận.

Các cuộc tấn công bằng mã độc tống tiền liên quan đến những quyết định dựa trên cấu hình mạng và khác nhau với mỗi nạn nhân ngay cả khi tải trọng mã độc tống tiền giống nhau. Mã độc tống tiền dẫn đến một cuộc tấn công có thể bao gồm trích rút dữ liệu và tác động khác. Vì bản chất nối tiếp nhau của nền kinh tế tội phạm mạng, các cuộc xâm nhập có vẻ không liên quan có thể tích lũy với nhau. Phần mềm xấu ăn cắp dữ liệu đánh cắp mật khẩu và cookie được xử lý ở mức độ ít nghiêm trọng hơn, nhưng tội phạm mạng sẽ bán những mật khẩu này để hỗ trợ các cuộc tấn công khác.

Những cuộc tấn công này tuân theo một mẫu truy nhập ban đầu thông qua việc nhiễm phần mềm xấu hoặc khai thác lỗ hổng, sau đó là trộm cắp thông tin xác thực để nâng cao đặc quyền và xâm nhập. Quy trình công nghiệp hóa cho phép kẻ tấn công thực hiện các cuộc tấn công bằng mã độc tống tiền gây tác động lớn và mạnh mẽ mà không cần kỹ năng tinh vi hoặc nâng cao. Kể từ khi Conti ngừng hoạt động, chúng tôi đã quan sát thấy những thay đổi trong bối cảnh của mã độc tống tiền. Một số bên liên kết từng triển khai Conti đã chuyển sang tải trọng từ các hệ sinh thái RaaS được phát triển như LockBit và Hive, còn những bên khác lại đồng thời triển khai tải trọng từ nhiều hệ sinh thái RaaS.

RaaS mới như QuantumLocker và Black Basta đang dần thay vào vị trí còn trống mà Conti để lại sau khi dừng hoạt động. Vì hầu hết Mã độc tống tiền tập trung vào tải trọng thay vì tác nhân, việc chuyển tải trọng này có khả năng khiến các chính phủ, lực lượng hành pháp, cơ quan truyền thông, chuyên gia nghiên cứu về bảo mật và người bảo vệ nhầm lẫn về người thực hiện vụ tấn công.

Việc báo cáo mã độc tống tiền có vẻ trở thành vấn đề dai dẳng trên quy mô lớn; tuy nhiên,thực tế cho thấy chỉ một nhóm tác nhân có hạn đang sử dụng bộ kỹ thuật này.

Đề xuất:

  • Xây dựng biện pháp bảo vệ thông tin xác thực: Phát triển phân đoạn mạng logic dựa trên các đặc quyền có thể triển khai cùng phân đoạn mạng để giới hạn hành vi xâm nhập.
  • Kiểm tra mức rủi ro của thông tin xác thực: Cần kiểm tra mức rủi ro của thông tin xác thực nhằm ngăn chặn các cuộc tấn công bằng mã độc tống tiền và tội phạm mạng nói chung. Nhóm bảo mật CNTT và SOC có thể hợp tác để giảm các đặc quyền của người quản trị và hiểu được mức độ rủi ro của thông tin xác thực.
  • Giảm bề mặt tấn công: Xây dựng các quy tắc giảm bề mặt tấn công để ngăn chặn các kỹ thuật tấn công phổ biến dùng trong cuộc tấn công bằng mã độc tống tiền. Trong các cuộc tấn công quan sát được từ một số nhóm hoạt động liên quan đến mã độc tống tiền, các tổ chức có quy tắc được xác định rõ ràng đã có thể giảm thiểu các cuộc tấn công trong giai đoạn đầu, đồng thời ngăn chặn hoạt động tấn công kiểm soát trực tiếp.

Tội phạm mạng đã khả năng tống tiến kép vào chiến lược tấn công

Mã độc tống tiền tồn tại để tống tiền từ nạn nhân. Hầu hết các chương trình RaaS hiện tại cũng làm rò rỉ dữ liệu bị đánh cắp, được gọi là tống tiền kép. Khi tình trạng ngừng hoạt động gây ra phản ứng dữ dội và nỗ lực làm gián đoạn những người vận hành mã độc tống tiền của chính phủ ngày càng tăng, một số nhóm đã từ bỏ mã độc tống tiền và tìm cách tống tiền bằng dữ liệu.

Hai nhóm tập trung vào tống tiền là DEV-0537 (LAPSUS$) và DEV-0390 (từng là bên liên kết với Conti). Các cuộc xâm nhập của DEV-0390 bắt đầu từ phần mềm xấu nhưng sử dụng các công cụ hợp pháp để trích rút dữ liệu và tống tiền. Họ triển khai các công cụ kiểm thử xâm nhập như Cobalt Strike, Brute Ratel C4 và tiện ích quản lý từ xa Atera hợp pháp để đảm bảo quyền truy nhập vào một nạn nhân. DEV-0390 sẽ tăng cấp đặc quyền bằng cách đánh cắp thông tin xác thực, định vị dữ liệu nhạy cảm (thường là trên máy chủ tệp và máy chủ sao lưu của công ty), đồng thời gửi dữ liệu đến site chia sẻ tệp trên đám mây bằng tiện ích sao lưu tệp.

DEV-0537 sử dụng một chiến lược và kỹ thuật hoàn toàn khác. Họ có được quyền truy nhập ban đầu bằng cách mua thông tin xác thực của tổ chức tội phạm ngầm hoặc từ nhân viên tại các tổ chức bị nhắm đến.

Các vấn đề

  • Mật khẩu bị đánh cắp và danh tính không được bảo vệ
    Hơn cả phần mềm xấu, những kẻ tấn công cần thông tin xác thực để thành công. Trong gần như tất cả các hoạt động triển khai mã độc tống tiền thành công, kẻ tấn công đều có quyền truy nhập vào các tài khoản cấp người quản trị, có đặc quyền và có thể cấp quyền truy nhập rộng rãi vào mạng của tổ chức.
  • Thiếu sản phẩm bảo mật hoặc sản phẩm bảo mật bị tắt
    Trong hầu hết mọi sự cố mã độc tống tiền quan sát được, ít nhất một hệ thống bị khai thác trong cuộc tấn công đã thiếu hoặc đặt cấu hình sai các sản phẩm bảo mật cho phép kẻ xâm nhập xáo trộn hoặc vô hiệu hóa một số biện pháp bảo vệ nhất định.
  • Ứng dụng bị đặt cấu hình sai hoặc bị lạm dụng
    Bạn có thể sử dụng một ứng dụng phổ biến cho một mục đích, nhưng điều đó không có nghĩa là tội phạm không thể sử dụng ứng dụng đó làm vũ khí cho mục đích khác. Thông thường, cấu hình "cũ" có nghĩa là ứng dụng ở trạng thái mặc định, cho phép mọi người dùng truy nhập rộng rãi trong toàn bộ tổ chức. Đừng bỏ qua rủi ro này hay ngần ngại thay đổi cài đặt ứng dụng vì sợ gián đoạn.
  • Vá lỗi chậm
    Nghe thì có vẻ đơn giản, như “Ăn nhiều rau vào!” vậy nhưng đó là một sự thật quan trọng: Cách hiệu quả nhất để củng cố phần mềm là đảm bảo luôn cập nhật phần mềm. Tuy một số ứng dụng trên nền điện toán đám mây cập nhật mà không cần người dùng hành động, nhưng các công ty phải áp dụng ngay bản vá của nhà cung cấp khác. Theo quan sát của Microsoft vào năm 2022, các lỗ hổng cũ hơn vẫn là yếu tố chính thúc đẩy các vụ tấn công.
  • Mật khẩu bị đánh cắp và danh tính không được bảo vệ
    Hơn cả phần mềm xấu, những kẻ tấn công cần thông tin xác thực để thành công. Trong gần như tất cả các hoạt động triển khai mã độc tống tiền thành công, kẻ tấn công đều có quyền truy nhập vào các tài khoản cấp người quản trị, có đặc quyền và có thể cấp quyền truy nhập rộng rãi vào mạng của tổ chức.
  • Thiếu sản phẩm bảo mật hoặc sản phẩm bảo mật bị tắt
    Trong hầu hết mọi sự cố mã độc tống tiền quan sát được, ít nhất một hệ thống bị khai thác trong cuộc tấn công đã thiếu hoặc đặt cấu hình sai các sản phẩm bảo mật cho phép kẻ xâm nhập xáo trộn hoặc vô hiệu hóa một số biện pháp bảo vệ nhất định.
  • Ứng dụng bị đặt cấu hình sai hoặc bị lạm dụng
    Bạn có thể sử dụng một ứng dụng phổ biến cho một mục đích, nhưng điều đó không có nghĩa là tội phạm không thể sử dụng ứng dụng đó làm vũ khí cho mục đích khác. Thông thường, cấu hình "cũ" có nghĩa là ứng dụng ở trạng thái mặc định, cho phép mọi người dùng truy nhập rộng rãi trong toàn bộ tổ chức. Đừng bỏ qua rủi ro này hay ngần ngại thay đổi cài đặt ứng dụng vì sợ gián đoạn.
  • Vá lỗi chậm
    Nghe thì có vẻ đơn giản, như “Ăn nhiều rau vào!” vậy nhưng đó là một sự thật quan trọng: Cách hiệu quả nhất để củng cố phần mềm là đảm bảo luôn cập nhật phần mềm. Tuy một số ứng dụng trên nền điện toán đám mây cập nhật mà không cần người dùng hành động, nhưng các công ty phải áp dụng ngay bản vá của nhà cung cấp khác. Theo quan sát của Microsoft vào năm 2022, các lỗ hổng cũ hơn vẫn là yếu tố chính thúc đẩy các vụ tấn công.

Hành động

  • Xác thực danh tính Thực thi xác thực đa yếu tố (MFA) trên tất cả các tài khoản, ưu tiên người quản trị và các vai trò nhạy cảm khác. Với lực lượng lao động kết hợp, hãy yêu cầu MFA trên tất cả thiết bị ở mọi vị trí vào mọi lúc. Bật tính năng xác thực không cần mật khẩu như khóa FIDO hoặc Microsoft Authenticator cho các ứng dụng hỗ trợ tính năng này.
  • Giải quyết các điểm mù về bảo mật
    Như chuông báo cháy, bạn phải cài đặt các sản phẩm bảo mật ở không gian phù hợp và kiểm tra thường xuyên. Xác nhận rằng các công cụ bảo mật hoạt động ở cấu hình an toàn nhất và không phần nào của mạng không được bảo vệ.
  • Củng cố tài sản kết nối internet
    Cân nhắc xóa các ứng dụng bị trùng lặp hoặc không được sử dụng nhằm loại bỏ các dịch vụ rủi ro, không sử dụng. Hãy lưu ý đến nơi bạn cho phép các ứng dụng trợ giúp từ xa như TeamViewer. Đây là mục tiêu phổ biến của các tác nhân đe dọa nhằm giành quyền truy nhập nhanh vào máy tính xách tay.
  • Duy trì cập nhật hệ thống
    Liên tục kiểm kê phần mềm. Theo dõi phần mềm bạn đang chạy và ưu tiên hỗ trợ cho những sản phẩm này. Sử dụng khả năng vá lỗi nhanh chóng và dứt khoát của bạn để đánh giá xem việc chuyển đổi sang các dịch vụ trên nền điện toán đám mây có mang lại lợi ích hay không.

Hiểu được bản chất nối tiếp của danh tính và mối quan hệ tin cậy trong hệ sinh thái công nghệ hiện đại, chúng nhắm mục tiêu vào các dịch vụ viễn thông, công nghệ, CNTT và hỗ trợ các công ty tận dụng quyền truy nhập từ một tổ chức để có được quyền truy nhập vào mạng lưới đối tác hoặc nhà cung cấp. Các cuộc tấn công chỉ nhằm mục đích tống tiền chứng tỏ rằng những người bảo vệ mạng phải nhìn xa hơn mã độc tống tiền giai đoạn cuối và theo dõi chặt chẽ việc trích rút dữ liệu và hành vi xâm nhập.

Nếu tác nhân đe dọa có kế hoạch tống tiền một tổ chức để giữ bí mật dữ liệu của họ thì tải trọng mã độc tống tiền là phần ít quan trọng nhất và ít giá trị nhất trong chiến lược tấn công. Cuối cùng, chính người vận hành mới là người lựa chọn công cụ nào để triển khai và mã độc tống tiền không phải lúc nào cũng là khoản chi lớn mà mọi tác nhân đe dọa đều theo đuổi.

Mặc dù mã độc tống tiền hoặc tống tiền kép dường như là kết quả không thể tránh khỏi sau một cuộc tấn công của kẻ tấn công tinh vi, nhưng mã độc tống tiền là một thảm họa có thể tránh được. Khi kẻ tấn công phụ thuộc vào điểm yếu về bảo mật, bạn phải đầu tư lâu dài vào biện pháp đảm bảo an toàn mạng.

Khả năng hiển thị độc đáo của Microsoft giúp chúng ta quan sát kỹ hơn về hoạt động của tác nhân đe dọa. Thay vì dựa vào các bài đăng trên diễn đàn hoặc thông tin rò rỉ trong cuộc trò chuyện, nhóm chuyên gia bảo mật của chúng tôi nghiên cứu các chiến thuật mới sử dụng mã độc tống tiền và phát triển thông tin về mối đe dọa để cung cấp thông tin cho các giải pháp bảo mật của chúng tôi.

Tính năng bảo vệ trước mối đe dọa tích hợp trên các thiết bị, danh tính, ứng dụng, email, dữ liệu và đám mây giúp chúng tôi xác định các cuộc tấn công vốn được gắn nhãn là do nhiều tác nhân thực hiện, trong khi thực tế chúng chỉ là một nhóm tội phạm mạng. Đơn vị Tội phạm Kỹ thuật số của chúng tôi bao gồm các chuyên gia về kỹ thuật, pháp lý và kinh doanh liên tục hợp tác với lực lượng hành pháp để ngăn chặn tội phạm mạng

Đề xuất:

Củng cố đám mây: Khi những kẻ tấn công hướng tới tài nguyên đám mây, bạn cần bảo mật các tài nguyên và danh tính này cũng như các tài khoản tại chỗ. Các nhóm bảo mật nên tập trung vào việc củng cố hạ tầng danh tính bảo mật, thực thi xác thực đa yếu tố (MFA) trên tất cả các tài khoản, cũng như coi người quản trị đám mây/người quản trị đối tượng thuê ở cùng mức độ bảo mật và bảo vệ thông tin xác thực như người quản trị miền.
Ngăn chặn quyền truy nhập ban đầu: Ngăn chặn việc thực thi mã bằng cách quản lý macro và tập lệnh, đồng thời bật Quy tắc giảm bề mặt tấn công.
Đóng các điểm mù về bảo mật: Các tổ chức nên xác minh rằng công cụ bảo mật của họ đang chạy ở cấu hình tối ưu và thực hiện quét mạng thường xuyên để đảm bảo sản phẩm bảo mật bảo vệ tất cả các hệ thống.

Microsoft đề xuất các giải pháp chuyên sâu tại  https://go.microsoft.com/fwlink/?linkid=2262350.

Lắng nghe chia sẻ từ Emily Hacker, Chuyên gia phân tích thông tin về mối đe dọa về cách nhóm của cô chủ động trước mã độc tống tiền đang thay đổi trong bối cảnh dịch vụ.

Đơn vị Tội phạm Kỹ thuật số (DCU) của Microsoft:
Chỉ đạo quá trình loại bỏ hơn 531.000 URL lừa đảo không trùng lặp và 5.400 bộ công cụ lừa đảo từ tháng 7 năm 2021 đến tháng 6 năm 2022, dẫn đến việc xác định và đóng hơn 1.400 tài khoản email độc hại dùng để thu thập thông tin xác thực bị đánh cắp của khách hàng.1
Mối đe dọa từ email:
Thời gian trung bình để kẻ tấn công truy nhập vào dữ liệu riêng tư của bạn nếu bạn trở thành nạn nhân của email lừa đảo là 1 giờ 12 phút.1
Mối đe dọa điểm cuối:
Thời gian trung bình để kẻ tấn công bắt đầu xâm nhập vào mạng công ty bạn nếu thiết bị bị xâm phạm là 1 giờ 42 phút.1
  1. [1]

    Phương pháp: Đối với dữ liệu ảnh tức thời, các nền tảng của Microsoft, bao gồm Defender và Azure Active Directory cũng như Đơn vị Tội phạm Kỹ thuật số của chúng tôi, đã cung cấp dữ liệu ẩn danh về hoạt động của mối đe dọa như tài khoản email độc hại, email lừa đảo qua mạng và chuyển động của kẻ tấn công trong mạng. Các thông tin chuyên sâu bổ sung đến từ 43 nghìn tỷ tín hiệu bảo mật hàng ngày thu thập được trên Microsoft, bao gồm nền tảng điện toán đám mây, điểm cuối, biên dữ liệu thông minh cũng như nhóm Thực hành Khôi phục Bảo mật Lỗ hổng và Nhóm Phát hiện và Ứng phó.

Hồ sơ chuyên gia: Emily Hacker

Chuyên gia phân tích Thông tin về Mối đe dọa, Emily Hacker, thảo luận về cách nhóm của cô luôn nắm bắt thông tin về cách mã độc tống tiền luôn thay đổi trong bối cảnh dịch vụ và các biện pháp họ thực hiện để giúp phát hiện những tác nhân tiền mã độc tống tiền.

Cyber Signals: Số 3: Phát triển IoT và rủi ro với CNVH

Sự lưu thông ngày càng tăng của IoT đang khiến OT gặp rủi ro, với hàng loạt lỗ hổng tiềm ẩn và nguy cơ bị các tác nhân đe dọa tấn công. Tìm hiểu cách duy trì bảo vệ cho tổ chức của bạn

Cyber Signals: Số 1

Danh tính chính là chiến trường mới. Thu thập thông tin chuyên sâu về các mối đe dọa trên mạng đang phát triển và các bước cần thực hiện để bảo vệ tổ chức tốt hơn.

Theo dõi Microsoft Security