Theo Mandiant, sự gia tăng của các cuộc tấn công mã độc tống tiền, vốn được coi là ồn ào và tự lộ diện, là một lý do khiến thời gian phát hiện ngắn hơn được ghi nhận trong các cuộc tấn công trong năm 2020.
Dữ liệu cho thấy, các tổ chức đang ngày càng nhanh hơn trong việc tự phát hiện các cuộc xâm nhập, nhưng Mandiant cho rằng trong khi “tiếp tục phát triển và cải thiện khả năng phát hiện của tổ chức” là một yếu tố, thì yếu tố chính là sự gia tăng các cuộc tấn công mã độc tống tiền, tăng từ 14% năm 2019 lên 25% vào năm 2020.
Trong trường hợp tấn công bằng mã độc tống tiền, chúng thường được phát hiện nhanh chóng vì những kẻ tấn công thường tự hiện diện khi đòi tiền chuộc, sau khi đã mã hóa các tệp của nạn nhân và/hoặc đã đánh cắp dữ liệu của nạn nhân.
Trong các cuộc tấn công mã độc tống tiền do Mandiant điều tra, 78% có thời gian tồn tại từ 30 ngày trở xuống và chỉ 1% trong số các vụ này có thời gian tồn tại từ 700 ngày trở lên.
Dữ liệu này là một phần trong báo cáo M-Trends 2021 mới của Mandiant, dựa trên các cuộc điều tra do công ty thực hiện từ tháng 10/2019 đến tháng 9/2020 (khung thời gian này được gọi là năm 2020 trong báo cáo).
Theo Mandiant, 59% các vi phạm được điều tra trên toàn cầu trong giai đoạn này đã được phát hiện trong nội bộ. Trong khi đó, vào năm 2019, chỉ có 47% đã được phát hiện trong nội bộ.
“Thời gian tồn tại” là số ngày kẻ tấn công có mặt trong môi trường của mục tiêu trước khi chúng bị phát hiện - cũng giảm đáng kể vào năm 2020 so với năm trước, từ 56 ngày xuống còn 24 ngày. Xét riêng trong trường hợp các vụ vi phạm do bên ngoài phát hiện, thời gian tồn tại trung bình trong năm 2020 là 73 ngày, trong khi đối với những trường hợp tổ chức tự phát hiện, thời gian này chỉ là 12 ngày.
Điều thú vị là thời gian tồn tại trung bình trên toàn cầu chỉ là 5 ngày đối với mã độc tống tiền và 45 ngày đối với các vụ không phải mã độc tống tiền được Mandiant điều tra. Nhìn chung, thời gian tồn tại trung bình trên toàn cầu đã giảm liên tục trong thập kỷ qua, từ 416 ngày vào năm 2011 xuống còn 24 ngày vào năm 2020.
Tuy nhiên, báo cáo cũng cho thấy một số khác biệt đáng kể giữa các khu vực. Ví dụ, thời gian tồn tại ở châu Mỹ đã giảm từ 60 ngày vào năm 2019 xuống còn 17 ngày năm 2020, nhưng hơn 27% sự cố được điều tra ở khu vực này liên quan đến mã độc tống tiền.
“Số lượng lớn các cuộc điều tra liên quan đến mã độc tống tiền chắc chắn đã làm giảm thời gian tồn tại trung bình. Các sự cố mã độc tống tiền ở châu Mỹ có thời gian tồn tại trung bình chỉ 3 ngày và chiếm 41% các sự cố có thời gian tồn tại từ 14 ngày trở xuống”, Mandiant cho biết trong báo cáo của mình.
Ngược lại, thời gian tồn tại trung bình ở khu vực Châu Á - Thái Bình Dương tăng từ 54 ngày trong năm 2019 lên 76 ngày vào năm 2020, nhưng khu vực này cũng chứng kiến sự suy giảm các sự cố liên quan đến mã độc tống tiền. Khu vực Châu Âu, Trung Đông và Châu Phi cũng đã chứng kiến sự gia tăng tổng thể về thời gian lưu trú, từ 54 ngày vào năm 2019 lên 66 ngày vào năm 2020.
Về chiến thuật tấn công, Mandiant nhận thấy rằng những kẻ tấn công đã sử dụng 63% các kỹ thuật MITRE ATT&CK và 24% kỹ thuật phụ trong suốt khung thời gian được phân tích. Tuy nhiên, công ty cho biết, chỉ 37% các kỹ thuật được quan sát (23% của tất cả các kỹ thuật) được quan sát thấy trong hơn 5% các vụ xâm nhập mà họ đã điều tra.
Lưu ý rằng M-Trends là một trong số ít báo cáo mà SecurityWeek coi là bắt buộc cần phải biết, vì dữ liệu được tổng hợp từ các sự cố thực tế chứ không phải khảo sát mà các nhà cung cấp đưa ra với các câu hỏi được tạo ra để làm lệch kết quả để có lợi. Nói cách khác, đây là dữ liệu trong thế giới thực với các thông tin được phát hiện trong quá trình điều tra các sự cố của hàng trăm khách hàng, trong đó nhiều khách hàng là các tổ chức nổi tiếng.
Nguyễn Anh Tuấn (theo Security Week)
13:45 | 15/07/2015
13:00 | 12/02/2020
07:00 | 07/06/2021
15:00 | 31/05/2021
10:00 | 28/12/2020
13:00 | 11/06/2021
09:00 | 22/10/2021
17:00 | 29/10/2021
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024