Đừng đánh giá thấp malware đánh cắp thông tin đăng nhập

Đừng đánh giá thấp malware đánh cắp thông tin đăng nhập

January 9, 2019 | vietsunshine

Cùng nhìn lại những mối đe dọa an ninh mạng phổ biến trong năm 2018 (đặc biệt là ở khu vực châu Âu). Trong khi châu Âu tiếp tục đấu tranh với các cuộc tấn công nhắm mục tiêu từ các nhóm tội phạm mạng có tổ chức và các nhóm gián điệp mạng, thì có một mối đe dọa khác mà chúng tôi quan sát thấy đang thách thức nhiều tổ chức trong gần như mọi ngành công nghiệp. Một số có thể nghĩ rằng câu trả lời là ransomware. Chắc chắn, ransomware tiếp tục là một mối đe dọa, nhưng chúng tôi thực sự đã quan sát thấy sự giảm liên tục trong việc phát hiện ransomware.

Không, những gì tôi nói về phần mềm độc hại trộm cắp thông tin. Năm 2018, chúng tôi đã quan sát thấy việc tiếp tục sử dụng phần mềm độc hại trộm cắp thông tin của tội phạm mạng và những kẻ tấn công khác. Chúng tôi nói về tất cả mọi thứ, từ phần mềm độc hại đánh cắp thông tin như các tệp đính kèm trong email lừa đảo đến phân phối phần mềm độc hại thông qua bộ dụng cụ khai thác.

Malware đánh cắp thông tin đăng nhập vs các loại malware khác

Bằng cách phân tích các phát hiện mối đe dọa từ Dynamic Threat Intelligence (DTI) từ ngày 1 tháng 1 năm 2018, đến ngày 31 tháng 12 năm 2018, chúng ta có thể thấy rằng gần 50 phần trăm tất cả các mối đe dọa được phát hiện ở châu Âu nằm trong danh mục phần mềm độc hại trộm cắp thông tin. Dữ liệu bao gồm các phát hiện từ cả email và các thiết bị mạng của FireEye.

Malware đánh cắp thông tin đăng nhập vs các loại malware khác

Một thách thức mới nổi ở châu Âu

Phần mềm độc hại trộm cắp tin cậy chắc chắn là một vấn đề toàn cầu và các tổ chức từ khắp nơi trên thế giới có nguy cơ, nhưng ở châu Âu và đặc biệt là các thành viên của Liên minh châu Âu (EU), đây là một thách thức đặc biệt khó khăn và cần lưu ý trong năm 2019.

Một lý do là EU tiếp tục tập trung vào số hóa. Các sáng kiến số hóa này tập trung vào nhiều loại khác nhau, từ đảm bảo kết nối tốc độ cao cho công dân EU đến cách công dân tương tác với chính phủ của họ, cũng như khả năng cho các doanh nghiệp và công dân kinh doanh trực tuyến.

Một thách thức mới nổi ở châu Âu

Từ góc độ mối đe dọa, kết nối được cải thiện sẽ mở rộng diện tích bề mặt cho các mối đe dọa trên mạng, nhưng quan trọng hơn, việc mở rộng liên tục trong Digital Public Services có thể là một mảng đáng quan tâm để tội phạm mạng đánh cắp thông tin xác thực và thông tin nhạy cảm tiềm năng được gửi qua cổng web của chính phủ.

  • Trong năm 2017, 58 phần trăm công dân EU cần các dịch vụ công đã chọn lên mạng, gửi biểu mẫu và sử dụng cổng thông tin chính phủ.
  • Vào ngày 29 tháng 9 năm 2018, luật pháp trên toàn EU về nhận dạng bầu cử (Quy định eIDAS) đã có hiệu lực cho phép nhận dạng ID điện tử xuyên biên giới. Một vài trong số các sáng kiến này trong chiến lược Digital Single Market được thiết kế để cải thiện năng lực cho công dân, chính phủ và doanh nghiệp EU và có khả năng cắt giảm chi phí của chính phủ.

Các kịch bản đe dọa tiềm năng

Trước đây chúng tôi đã quan sát thấy phần mềm độc hại trộm cắp thông tin chủ yếu nhắm mục tiêu khách hàng trong ngành dịch vụ tài chính; tuy nhiên, sự gia tăng trong việc sử dụng phần mềm độc hại trộm cắp thông tin trong suốt năm 2018 có thể có chúng ta sẽ thấy một kịch bản trong đó thông tin đăng nhập cho các hệ thống trung tâm của EU – như chính phủ, y tế, hệ thống tiền lương và các hệ thống nhạy cảm khác – sẽ được áp dụng trong các tệp cấu hình phần mềm độc hại trong tương lai. Một số điều khác cần lưu ý:

  • Trong suốt năm 2018, chúng tôi đã quan sát thấy một loạt các tội phạm mạng đưa cả khối lượng lớn thông tin bị đánh cắp lên để bán, cũng như cáo buộc truy cập trực tiếp vào cơ sở hạ tầng của công ty.
  • Các họ phần mềm độc hại đánh cắp thông tin đáng chú ý trong suốt nhiều năm đã mở rộng nhắm mục tiêu của họ để bao gồm các nhà bán lẻ trực tuyến lớn, các trang web đánh bạc và các trang web khác ngoài ngành dịch vụ tài chính.
  • Việc các kẻ xấu mua lại các thông tin đăng nhập bị đánh cắp giúp họ dễ dàng truy cập vào các cơ sở hạ tầng và bỏ qua các bước xâm nhập ban đầu.

Trong báo cáo M-Trends 2018, chúng tôi cũng đề cập đến việc thiếu các nguyên tắc bảo mật cơ bản, trong đó quản lý truy cập và nhận dạng vẫn là một thách thức đối với nhiều tổ chức. Việc nhiều người chưa thực hiện xác thực đa yếu tố sẽ chỉ giúp các tác nhân đe dọa và phần mềm độc hại dễ dàng thu thập thông tin xác thực một cách hiệu quả, có thể cho phép truy cập vào các hệ thống nhạy cảm.

Trong những năm qua, chúng tôi đã xuất bản nhiều báo cáo và bài đăng trên blog về cách các tác nhân đe dọa – từ tội phạm mạng có tổ chức đến các nhóm gián điệp – đã sử dụng thông tin hợp pháp trong các cuộc tấn công mạng của họ. Đây là vài ví dụ:

  • Vào năm 2014, chúng tôi đã công bố những phát hiện về FIN4, một nhóm sử dụng email lừa đảo để đánh cắp thông tin đăng nhập hợp pháp, do đó có được quyền truy cập vào thông tin sáp nhập và mua lại.
  • Trong tháng 10 năm 2015, chúng tôi đã công bố phát hiện về một nhóm tội phạm mạng mà chúng tôi theo dõi là FIN5. Nhóm này đã hack các hệ thống thanh toán và có được quyền truy cập vào hồ sơ thẻ tín dụng bằng cách sử dụng thông tin xác thực hợp pháp bị đánh cắp trong các cuộc xâm nhập của họ.
  • Vào tháng 4 năm 2016, chúng tôi đã xuất bản một báo cáo về FIN6. Tương tự FIN5, nhóm này đã sử dụng thông tin xác thực hợp pháp trong các cuộc tấn công nhắm vào các hệ thống điểm bán hàng, lấy đi bộ nhớ của họ để bản ghi thẻ tín dụng.

Kết luận

Mặc dù cách danh mục malware khác như Ransomware thường chiếm hầu hết trên các tiêu đề về bảo mật, tôi tin rằng các tổ chức và chính phủ cần nhận thức rõ hơn về mối đe dọa do phần mềm độc hại đánh cắp thông tin xác thực.

(Nguồn: Jens Monrad, Fire Eye Blog )

Tags: , , ,