Báo cáo do đơn vị Tình báo về các Mối đe dọa (Threat Intelligence) của Group-IB thực hiện xác định các rủi ro mạng liên quan nhất mà các công ty ở khu vực Châu Á Thái Bình Dương phải đối mặt.
Báo cáo tiết lộ rằng các hoạt động của mã độc tống tiền (ransomware) vẫn là mối đe dọa an ninh mạng hàng đầu đối với các công ty đại chúng và tư nhân trên toàn thế giới. Từ nửa cuối năm 2021 đến nửa đầu năm 2022, số lượng các công ty bị đăng tải thông tin của họ lên các trang web chuyên rò rỉ mã độc tống tiền (DLS) đã tăng 22% so với cùng kỳ năm ngoái lên 2.886, bao gồm các dữ liệu liên quan đến 322 công ty từ khu vực Châu Á Thái Bình Dương.
Trong năm thứ hai liên tiếp, các nhà nghiên cứu của Group-IB đã quan sát thấy tác động ngày càng tăng của các nhà môi giới truy cập ban đầu (IAB) đối với thị trường mã độc tống tiền (ransomware) ở khu vực APAC và hơn thế nữa.
Group-IB đã ghi nhận 2.348 trường hợp quyền truy cập mạng công ty được các IAB bán trên các diễn đàn web đen hoặc riêng tư, gấp đôi so với giai đoạn trước đó. Số lượng nhà môi giới cũng đã tăng từ 262 lên 380, dẫn đến việc giảm giá khiến các cuộc tấn công từ các băng nhóm mã độc tống tiền (ransomware) và các tác nhân đe dọa khác trở có giá cả phải chăng hơn.
Ở khu vực Châu Á Thái Bình Dương, số lượng chào bán truy cập mạng tăng gần gấp ba lần lên 382 trong nửa cuối năm 2021 – nửa đầu năm 2022, dẫn đến giá của tổng giá trị chào bán giảm 32%. APAC tiếp tục là nơi hoạt động chính của các tác nhân đe dọa an ninh mạng cấp quốc gia, trong đó các nhà nghiên cứu của Group-IB đã phát hiện hoạt động của hơn 35 tác nhân đe dọa liên tục nâng cao (APT).
Trong năm thứ 11 liên tiếp, báo cáo Xu hướng Tội phạm Công nghệ Cao phân tích các khía cạnh khác nhau trong hoạt động của ngành tội phạm mạng, xem xét các cuộc tấn công và đưa ra dự báo về bối cảnh mối đe dọa cho các lĩnh vực khác nhau như ngành tài chính, viễn thông, sản xuất và năng lượng. Báo cáo cung cấp một cái nhìn tổng quan toàn cầu về bối cảnh các mối đe dọa và bao gồm các dự đoán cho các bước phát triển trong tương lai.
Kinh nghiệm thực tiễn của Group-IB trong việc điều tra tội phạm mạng cùng với bộ sản phẩm và dịch vụ sáng tạo cho phép hiểu rõ các xu hướng và hoạt động ngầm, đồng thời đưa ra các dự đoán dài hạn để hỗ trợ các nhóm an ninh mạng trên khắp thế giới điều chỉnh hoạt động phòng thủ mạng của họ.
Từ nửa cuối năm 2021 đến nửa đầu năm 2022, đơn vị Tình báo về các Mối đe dọa (Threat Intelligence) của Group-IB đã phân tích các quảng cáo ngầm và xác định được sự gia tăng đáng kể trong hoạt động bán quyền truy cập công ty.
Tổng cộng có 2.348 trường hợp đã được ghi lại, gấp đôi so với giai đoạn trước đó (1.099 đề nghị chào bán quyền truy cập). Trong số này, 2.111 đề nghị chào bán cung cấp thông tin về quốc gia và 1.532 đề nghị chỉ định rõ ngành của nạn nhân.
IAB đã mở rộng đáng kể sự hiện diện của mình trên toàn thế giới, với số quốc gia nơi họ đột nhập vào mạng công ty tăng 41%: từ 68 lên 96 trong giai đoạn này. Tương tự như năm trước, các công ty có trụ sở tại Hoa Kỳ là mục tiêu được tìm kiếm nhiều nhất của các IAB, với gần một phần tư tổng số đề nghị chào bán quyền truy cập được phát hiện có liên quan đến các công ty Hoa Kỳ (558).
Các ngành bị ảnh hưởng nhiều nhất bởi IAB là sản xuất (5,8% tổng số công ty), dịch vụ tài chính (5,1%), bất động sản (4,6%) và giáo dục (4,2%).
“Các nhà môi giới tiếp cận ban đầu đóng vai trò là nhà sản xuất dầu cho toàn bộ nền kinh tế ngầm,” Dmitry Volkov, Giám đốc điều hành của Group-IB cho biết. “Chúng thúc đẩy và tạo điều kiện thuận lợi cho hoạt động của những tội phạm khác, chẳng hạn như mã độc tống tiền (ransomware) và những kẻ thù cấp quốc gia.
Khi doanh số bán quyền truy cập tiếp tục tăng trưởng và đa dạng hóa, các IAB là một trong những mối đe dọa hàng đầu cần theo dõi trong năm 2023. Các công ty tư nhân và đại chúng ở khu vực Châu Á Thái Bình Dương nên xem xét thiết lập một chương trình tình báo về mối đe dọa để theo dõi thông tin đăng nhập bị xâm phạm của lực lượng lao động của họ.”
Khu vực châu Á – Thái Bình Dương sở hữu một số lượng lớn các đề nghị chào bán quyền truy cập mạng với Ấn Độ (16,8%) ghi nhận số lượng cao nhất, tiếp theo là Úc (12,8%), Trung Quốc (11,8%), Indonesia (7,3%), Thái Lan (7,3%), Malaysia (4,5%), Đài Loan (4,5%), Việt Nam (4,2%), Nhật Bản (3,4%) và Singapore là 3,4% tổng số đề nghị chào bán truy cập mạng trong khu vực được phát hiện từ nửa cuối năm 2021 đến nửa đầu năm 2022.
Một trong những nhà môi giới truy cập ban đầu lớn nhất hoạt động ở APAC, có biệt danh là NikaC, đã cung cấp quyền truy cập vào mạng lưới của bảy công ty tài chính, chủ yếu ở Châu Á-Thái Bình Dương. Hầu hết bao gồm quyền truy cập vào email công ty của các nhà quản lý hàng đầu.
Theo xu hướng toàn cầu, tổng chi phí của các đề nghị chào bán quyền truy cập vào mạng của các công ty Châu Á Thái Bình Dương được giao dịch trên các diễn đàn ngầm đã giảm 32,3% xuống còn 2.238.924 USD do nguồn cung tăng đáng kể. Số lượng các đề nghị chào bán quyền truy cập mạng liên quan đến APAC tăng gần gấp ba lần từ 133 trong nửa cuối năm 2020 – nửa đầu năm 2021 lên 382 trong giai đoạn tiếp theo, điều này giải thích cho số lượng sự cố ransomware ngày càng tăng trong khu vực.
Trong giai đoạn xem xét, các nhóm mã độc tống tiền (ransomware) đã đăng thông tin nhạy cảm thuộc về 322 công ty APAC trên DLS. Nhóm Group-IB nhấn mạnh rằng các nhóm an ninh mạng hiệu quả của công ty nên tính đến kiến thức liên quan về những kẻ tấn công đang hoạt động trong khu vực và đề xuất cân nhắc các giải pháp dựa trên dữ liệu từ các cuộc điều tra mạng thực tế và các hoạt động ứng phó sự cố ở APAC.
Báo cáo cho thấy mã độc tống tiền (ransomware) tiếp tục là mối đe dọa lớn đối với các công ty trên toàn thế giới, với 2.886 công ty có các thông tin, tệp tin và dữ liệu của họ được công bố trên DLS của ransomware từ nửa cuối năm 2021 đến nửa đầu năm 2022, tăng 22% so với 2.371 công ty bị ảnh hưởng trong giai đoạn trước đó (nửa cuối năm 2020 – nửa đầu năm 2021).
Điều đáng chú ý là số lượng các cuộc tấn công ransomware thực tế được cho là cao hơn đáng kể vì nhiều nạn nhân đã chọn trả tiền chuộc và một số nhóm ransomware không sử dụng DLS.
Dựa trên phân tích về DLS mã độc tống tiền (ransomware), Group-IB đã phát hiện ra rằng các công ty ở Bắc Mỹ (50% các công ty có dữ liệu bị rò rỉ bởi các băng nhóm mã độc tống tiền (ransomware) bị ảnh hưởng nhiều nhất bởi hình thức tấn công này. Trong khi đó, khu vực APAC là khu vực bị ảnh hưởng nhiều thứ ba, với 322 công ty có dữ liệu được công bố trên DLS.
Các thị trường bị ảnh hưởng chính trong khu vực này là Úc (55 công ty), Ấn Độ (38 công ty), Trung Quốc (37 công ty), Nhật Bản (31 công ty) và Thái Lan (27 công ty). Ngoài ra, 17 công ty ở Singapore đã có thông tin đăng tải trên DLS. Băng nhóm ransomware phát triển mạnh nhất tại thị trường APAC là Lockbit, chịu trách nhiệm cho 41% số công bố từ khu vực này trên các trang web rò rỉ chuyên dụng.
Đứng thứ hai trong danh sách này là Conti, một nhóm ransomware nói tiếng Nga đã phát động chiến dịch tấn công ARM tàn khốc vào cuối năm 2021, chịu trách nhiệm cho 7% số vụ rò rỉ và đứng thứ ba là Hive (6% số vụ rò rỉ).
Phân tích của Group-IB về mối đe dọa do các băng nhóm ransomware gây ra cũng tiết lộ rằng trên toàn cầu, số nạn nhân bị rò rỉ dữ liệu liên quan đến mã độc tống tiền (ransomware) lớn nhất được tìm thấy trong các lĩnh vực sau: sản xuất (295 công ty), bất động sản (291), dịch vụ chuyên nghiệp (226), và các ngành vận tải (224). Ở khu vực APAC, hầu hết các nạn nhân được đăng trên DLS tiến hành các hoạt động kinh doanh trong lĩnh vực sản xuất (45), tài chính (20) và năng lượng (15).
“Mã độc tống tiền ransomware có thể vẫn là mối đe dọa lớn đối với các doanh nghiệp và chính phủ trên toàn cầu vào năm 2023,” Dmitry Volkov, Giám đốc điều hành của Group-IB cho biết. “Các băng nhóm mã độc tống tiền đã có thể tạo ra một thị trường ổn định cho các doanh nghiệp tội phạm của chúng và các yêu cầu tiền chuộc được đưa ra cho các công ty sau khi họ bị tấn công đang tiếp tục tăng nhanh.
Nhiều băng nhóm ransomware lớn mạnh nhất đã trở thành các công ty khởi nghiệp tội phạm. Họ có một hệ thống phân cấp cứng nhắc và tiền thưởng cho thành tích vượt trội. Mặc dù các xu hướng tăng trưởng có thể chậm lại, nhưng có khả năng thị trường mã độc tống tiền (ransomware) có thể được củng cố hơn nữa, tiếp tục xu hướng đã thấy trong nửa cuối năm 2021 – nửa đầu năm 2022.”
Một trong những thay đổi đáng chú ý nhất đối với bối cảnh mối đe dọa toàn cầu là sự phổ biến ngày càng tăng của các bản ghi thu được khi sử dụng các phần mềm đánh cắp thông tin — phần mềm độc hại thu thập thông tin cá nhân từ siêu dữ liệu trình duyệt của người dùng. Những kẻ đánh cắp này có thể lấy các thông tin đăng nhập, thẻ ngân hàng, cookie, dấu vân tay của trình duyệt, v.v.
Group-IB nhận thấy rằng từ ngày 1 tháng 7 năm 2021 đến ngày 30 tháng 6 năm 2022, hơn 96 triệu bản ghi đã được rao bán, với hầu hết dữ liệu bị xâm phạm đến từ người dùng Hoa Kỳ (80%), với Vương quốc Anh (5,4%), Ấn Độ (4,6%), Indonesia (2,4%) và Brazil (2%) theo sau.
Các chuyên gia của Group-IB đã phát hiện ra hơn 400.000 bản ghi thông tin Đăng nhập Một lần trong số 96 triệu bản ghi này. SSO là một phương pháp xác thực doanh nghiệp được sử dụng rộng rãi, sử dụng một cặp thông tin đăng nhập duy nhất để có quyền truy cập vào nhiều dịch vụ, khiến chúng bị các tội phạm mạng săn lùng ráo riết vì chúng cho phép họ truy cập vào một vài hệ thống cùng một lúc mà tốn ít công sức.
Theo phát hiện của các nhà nghiên cứu Group-IB, tác nhân đe dọa đằng sau cuộc tấn công gần đây vào Uber đã mua các bản ghi phần mềm đánh cắp trên một trong các thị trường ngầm với giá 20 đô la Mỹ. Các bản ghi này chứa thông tin đăng nhập SSO của ít nhất hai nhân viên Uber.
Dmitry Volkov, Giám đốc điều hành của Group-IB cho biết: “Thật đáng lo ngại về những việc mà một tội phạm mạng với 20 đô la Mỹ và kỹ năng kỹ thuật khiêm tốn ngày nay có khả năng làm đc.
Khi các dịch vụ làm việc từ xa và SSO trở nên phổ biến hơn, các trường hợp truy cập vào mạng công ty bắt đầu xuất hiện trong các bản ghi của phần mềm đánh cắp thường xuyên hơn. Các cuộc tấn công vào các công ty thông qua nhân viên của họ sẽ trở thành một trong những phương thức lây nhiễm chính.
Một phép màu để chống lại các cuộc tấn công như vậy không tồn tại. Xu hướng này nhấn mạnh sự cần thiết của việc các công ty cải thiện an ninh mạng của họ trên tất cả các lớp, bao gồm đào tạo các nhân viên để đối phó với kỹ thuật xã hội, tăng cường khả năng phát hiện và ứng phó, và tất nhiên là cả giám sát tội phạm mạng ngầm để tìm các hồ sơ nhân viên bị xâm phạm và các đề nghị bán quyền truy cập vào mạng lưới của họ.”
Nhóm Tình báo về Mối đe dọa Group-IB đã phát hiện ra rằng số lượng lớn nhất các cuộc tấn công do các tác nhân đe dọa cấp quốc gia thực hiện diễn ra ở khu vực Châu Á-Thái Bình Dương. Trong giai đoạn nửa sau năm 2021 – nửa đầu năm 2022, hoạt động của hơn 35 nhóm APT đã được phát hiện ở APAC.
Những tác nhân đe dọa đến từ Ấn Độ, Trung Quốc, Đài Loan, Hàn Quốc và Việt Nam là những kẻ hoạt động tích cực nhất. Do căng thẳng ngày càng tăng trong không gian ảo trên toàn cầu, các đối tượng tham gia mới đã xuất hiện.
Chẳng hạn, vào cuối năm 2022, các nhà nghiên cứu của Group-IB đã phát hiện ra một APT Dark Pink chưa từng được biết đến trước đây được cho là có nguồn gốc từ khu vực Châu Á-Thái Bình Dương. Các nạn nhân được xác nhận của Dark Pink bao gồm hai cơ quan quân đội ở Philippines và Malaysia, các cơ quan chính phủ ở Campuchia, Indonesia và Bosnia và Herzegovina, và một tổ chức tôn giáo ở Việt Nam.
“Không có gì đáng ngạc nhiên khi phần lớn các nạn nhân của APT được biết đến là các tổ chức chính phủ và quân đội (33%), tiếp theo là các công ty tài chính (6,3%) và viễn thông (5,8%),” Dmitry Volkov nói. “Môi trường chính trị căng thẳng sẽ dẫn đến sự gia tăng hơn nữa các cuộc tấn công vào cơ sở hạ tầng năng lượng, viễn thông và sản xuất vào năm 2023.
Không chỉ các nhóm có động cơ chính trị sẽ hoạt động mạnh mẽ mà cả các tội phạm mạng có động cơ tài chính. Điều này có thể dẫn đến các cuộc tấn công DDoS có ảnh hưởng sâu rộng và rò rỉ đáng kể thông tin nhạy cảm, cũng như các vụ trộm tài chính lớn.”