Kaspersky đã cập nhật giải pháp Kaspersky Industrial CyberSecurity (KICS) và Managed Detection and Response (MDR) dành cho các hệ thống điều khiển công nghiệp (ICS).

Đây là giải pháp hỗ trợ các công ty thiếu hụt nhân sự an ninh mạng có thể tiếp cận với các trung tâm điều hành an ninh mạng (SOC) của Kaspersky.

Kaspersky Industrial CyberSecurity và Managed Detection and Response (MDR), 2 giải pháp cho công nghiệp nặng

Theo báo cáo của Kaspersky ICS CERT, trong nửa cuối năm 2024, gần 23,5% máy tính công nghiệp đã bị đe dọa an ninh mạng. Tình hình này làm nổi bật tính cấp thiết của các chiến lược bảo mật mạnh mẽ và đáng tin cậy nhằm bảo vệ tài sản và quy trình vận hành của doanh nghiệp công nghiệp nặng.

Nâng cấp Kaspersky Industrial CyberSecurity

Phiên bản mới của Kaspersky Industrial CyberSecurity (KICS) mang lại nhiều cải tiến quan trọng nhằm bảo vệ toàn diện hệ thống tự động hóa và điều khiển công nghiệp, bao gồm:

  1. Quản lý cấu hình và thay đổi hiệu quả hơn cho hệ thống OT
    KICS giám sát và theo dõi các thay đổi trong cấu hình bảo mật, hỗ trợ nhiều hệ điều hành như Windows, Linux và các thiết bị mạng. Dữ liệu cấu hình thu thập được giúp theo dõi các thay đổi và phân tích sự cố.
  2. Mở rộng thu thập dữ liệu để điều tra sự cố
    KICS for Networks tăng cường thu thập thông tin như danh sách phần mềm, bản vá, tài khoản người dùng, giúp nhanh chóng phát hiện các hoạt động bất thường và phần mềm độc hại.
  3. Tự động cập nhật sơ đồ mạng và lên lịch thăm dò chủ động
    Hệ thống cập nhật thời gian thực về kết nối thiết bị, quản lý trạng thái bảo mật và tự động tạo sơ đồ mạng sau mỗi lần thăm dò, đảm bảo thông tin luôn mới.
  4. Phát hiện bất thường tại trạm biến áp kỹ thuật số
    KICS for Networks hỗ trợ kiểm tra cấu hình thiết bị và phát hiện các vấn đề về cấu hình hoặc kết nối mạng trái phép.
  5. Cảm biến SD-WAN giám sát mạng OT tại các địa điểm phân tán
    KICS có khả năng giám sát lưu lượng mạng tại các địa điểm phân tán về mặt địa lý, sử dụng công nghệ SD-WAN để sao chép và truyền dữ liệu về trung tâm để phân tích.
  6. Công cụ Portable Scanner kiểm tra thiết bị toàn diện
    KICS Portable Scanner có thể kiểm tra tình trạng bảo mật của thiết bị, bao gồm kiểm tra lỗ hổng bảo mật, tuân thủ quy định và quét phần mềm độc hại.

Managed Detection and Response cho hệ thống điều khiển công nghiệp

Bên cạnh KICS, Kaspersky Managed Detection and Response (MDR) là một giải pháp dành cho các công ty công nghiệp nặng đang gặp khó khăn về nguồn nhân lực an ninh mạng. Dịch vụ này cho phép các doanh nghiệp tiếp cận với chuyên gia an ninh để giám sát, phân tích và ngăn chặn các mối đe dọa. Đây là giải pháp quan trọng giúp đối phó với các cuộc tấn công mạng tinh vi nhắm vào cơ sở hạ tầng thiết yếu.

Kaspersky Industrial CyberSecurity và Managed Detection and Response (MDR), 2 giải pháp cho công nghiệp nặng

Ông Andrey Strelkov, Trưởng bộ phận Sản phẩm An ninh mạng cho ngành Công nghiệp nặng tại Kaspersky, nhấn mạnh tầm quan trọng của việc bảo mật các thiết bị công nghệ thông tin và công nghệ vận hành. Các cải tiến mới của KICS và MDR sẽ giúp các doanh nghiệp công nghiệp nặng tăng cường bảo mật, tối ưu hóa quy trình và nâng cao trải nghiệm người dùng.

Giải pháp của Kaspersky cho thấy sự quan tâm đặc biệt đến việc bảo vệ cơ sở hạ tầng thiết yếu trong các công ty công nghiệp nặng, đặc biệt là trong bối cảnh các mối đe dọa mạng ngày càng gia tăng.

Mã độc tống tiền (ransomware) và phần mềm gián điệp (spyware) đang là hai mối đe doạ lớn bên cạnh những hiểm hoạ khác tấn công các hệ thống điều khiển công nghiệp (ICS), theo báo cáo quý II/2024 của Kaspersky.

Nguy cơ từ mã độc tống tiền và phần mềm gián điệp tăng cao trong hệ thống công nghiệp

Mặc dù tổng số cuộc tấn công mạng vào máy tính ICS có dấu hiệu giảm nhẹ, số lượng vụ tấn công bằng mã độc tống tiền lại tăng đáng kể, gây lo ngại cho các ngành công nghiệp quan trọng.

Mã độc tống tiền gia tăng đáng kể

Báo cáo cho thấy, trong quý 2 năm 2024, tỷ lệ máy tính ICS bị ảnh hưởng bởi ransomware đã tăng 1,2 lần so với quý trước, đạt mức cao nhất từ năm 2023. Các cuộc tấn công bằng mã độc này đặc biệt gia tăng trong tháng 5, gây rủi ro lớn cho các hoạt động công nghiệp toàn cầu.

Nguy cơ từ mã độc tống tiền và phần mềm gián điệp tăng cao trong hệ thống công nghiệp

 “Kết quả nghiên cứu của chúng tôi cho thấy, tổng số các cuộc tấn công vào máy tính điều khiển công nghiệp (OT computers) giảm nhẹ, nhưng sự gia tăng của mã độc tống tiền và spyware rất đáng lo ngại,” Ông Evgeny Goncharov, trưởng bộ phận Ứng phó khẩn cấp an ninh mạng dành cho hệ thống điều khiển công nghiệp Kaspersky (ICS CERT), cho biết.

“Những loại mã độc nguy hiểm không kém gì ransomware, có thể làm gián đoạn hoạt động quan trọng trong bất kỳ ngành công nghiệp nào, từ sản xuất, năng lượng, vận tải đến các ngành khác.

Trong khi đó, spyware thường được dùng để đánh cắp thông tin riêng tư của doanh nghiệp và bán lại trên các trang web đen cho các băng nhóm tội phạm sử dụng ransomware để tống tiền, nhóm hacker thực hiện các hoạt động tấn công mạng nhằm mục đích chính trị hoặc xã hội (hacktivists) hay các nhóm tội phạm hoạt động bài bản với mục tiêu tấn công cụ thể (APTs) để sử dụng cho các cuộc tấn công sau này.

Nếu cơ sở hạ tầng điều khiển công nghiệp dễ bị xâm nhập bởi phần mềm gián điệp, các hoạt động sản xuất kinh doanh sẽ đối mặt với nguy cơ bị gián đoạn nghiêm trọng hoặc gây ra thiệt hại nặng nề”, ông Evgeny cho hay.

Spyware tiếp tục là mối đe dọa nghiêm trọng

Bên cạnh mã độc tống tiền, spyware cũng được ghi nhận là một hiểm họa dai dẳng. Kaspersky phát hiện rằng tỷ lệ máy tính ICS bị ảnh hưởng bởi spyware đã tăng từ 3,90% lên 4,08% so với quý 1/2024. Spyware thường được dùng để đánh cắp dữ liệu, từ đó tạo điều kiện cho các cuộc tấn công khác, bao gồm mã độc tống tiền. Các phần mềm gián điệp như backdoor, keylogger và trojan đã trở thành công cụ phổ biến trong các cuộc tấn công mạng, đe dọa hoạt động của doanh nghiệp và cơ sở hạ tầng quan trọng.

Các kỹ thuật tấn công mới phức tạp hơn

Một xu hướng đáng lo ngại khác là sự gia tăng của các kỹ thuật tấn công mới, như mã độc fileless. Loại mã độc này không để lại dấu vết trên ổ cứng mà chạy trực tiếp trong bộ nhớ, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn. Kaspersky cảnh báo rằng các phương pháp này đang được tội phạm mạng sử dụng rộng rãi, đặc biệt là trong các cuộc tấn công vào hệ thống ICS.

Tình hình theo khu vực và ngành công nghiệp

Báo cáo cũng cung cấp thông tin chi tiết về tình hình an ninh mạng theo khu vực và ngành công nghiệp. Châu Phi là khu vực bị tấn công nhiều nhất, với 30% máy tính ICS bị ảnh hưởng. Trong khi đó, Bắc Âu có tỷ lệ thấp nhất, chỉ 11,3%. Đáng chú ý, ngành tự động hóa điều khiển và giám sát các hệ thống cơ điện tòa nhà là lĩnh vực có tỷ lệ máy tính ICS bị tấn công cao nhất, do các hệ thống thường sử dụng phần mềm cũ và không được cập nhật bảo mật kịp thời.

Khuyến nghị bảo vệ hệ thống ICS

Kaspersky đã đưa ra một số khuyến nghị để giúp doanh nghiệp bảo vệ hệ thống ICS khỏi các mối đe dọa:

  • Thường xuyên kiểm tra, giám sát và đánh giá bảo mật cho hệ thống công nghệ thông tin và hệ thống ICS.
  • Tổ chức các chương trình đào tạo chuyên biệt cho nhân viên liên quan đến an ninh công nghệ thông tin và ICS.
  • Cập nhật các thiết bị và hệ thống điều khiển công nghiệp để duy trì mức độ bảo mật cao.
  • Áp dụng các bản vá lỗi bảo mật nhanh chóng để ngăn ngừa các sự cố gián đoạn nghiêm trọng.
  • Sử dụng các giải pháp bảo mật như Kaspersky Industrial CyberSecurity (KICS) để bảo vệ toàn diện cho hệ thống điều khiển công nghiệp.
  • Cung cấp thông tin cập nhật về các mối đe dọa an ninh mạng cho đội ngũ phụ trách bảo mật.

Báo cáo quý II/2024 của Kaspersky nhấn mạnh tầm quan trọng của việc nâng cao bảo mật cho hệ thống công nghiệp trước các mối đe dọa ngày càng tinh vi từ mã độc tống tiền và spyware. Doanh nghiệp cần thực hiện các biện pháp phòng ngừa và tăng cường bảo vệ để đảm bảo hoạt động sản xuất kinh doanh không bị gián đoạn.

Trong nửa đầu năm 2024, số vụ tấn công mạng nhắm vào game thủ trẻ tăng 30% so với nửa cuối năm 2023. Theo báo cáo từ Kaspersky, hơn 132.000 người dùng đã trở thành mục tiêu của các tội phạm mạng, chủ yếu thông qua các trò chơi phổ biến dành cho trẻ em như Minecraft, Roblox và Among Us.

Dùng trò chơi phổ biến để tấn công mạng

Kaspersky đã phát hiện hơn 6,6 triệu vụ tấn công sử dụng các thương hiệu trò chơi dành cho trẻ em làm mồi nhử trong khoảng thời gian từ tháng 7 năm 2023 đến tháng 6 năm 2024. Minecraft là trò chơi bị lợi dụng nhiều nhất với hơn 3 triệu cuộc tấn công, phần lớn diễn ra thông qua việc ngụy trang phần mềm độc hại dưới dạng các phiên bản cheat hoặc mod trên các trang web của bên thứ ba.

Số vụ tấn công mạng nhắm vào game thủ trẻ tăng 30% trong nửa đầu năm 2024

Các chuyên gia Kaspersky nhận định tội phạm mạng đang ngày càng trở nên tinh vi hơn. Thay vì tấn công đại trà, chúng thường tập trung vào các xu hướng hoặc sự kiện nổi bật, kết hợp với trí tuệ nhân tạo (AI) để tự động hóa và cá nhân hóa các cuộc tấn công mạng nhắm vào game thủ trẻ nhằm lừa đảo. Công nghệ này giúp tạo ra các trang web giả mạo giống các nền tảng game, từ đó đánh lừa game thủ trẻ.

Các chiêu thức lừa đảo phổ biến

Một trong những chiêu trò phổ biến nhất khi tấn công mạng nhắm vào game thủ trẻ là hứa hẹn cung cấp “skin” độc quyền hoặc trang phục hiếm trong game để thu hút game thủ. Tội phạm mạng thường yêu cầu nạn nhân cung cấp tên đăng nhập và mật khẩu để truy cập vào tài khoản cá nhân. Một trường hợp cụ thể liên quan đến trò chơi Valorant, nơi hình ảnh của YouTuber nổi tiếng Mr. Beast được sử dụng làm mồi nhử để lừa người chơi.

Ngoài ra, các cuộc tấn công mạng nhắm vào game thủ trẻ còn lợi dụng tiền ảo trong game hoặc các thương hiệu nổi tiếng như Pokémon GO. Game thủ trẻ thường bị dụ dỗ tham gia vào các khảo sát hoặc đăng nhập vào trang web giả mạo để nhận thưởng, nhưng thực tế là bị dẫn dụ vào các chiêu trò lừa đảo phức tạp hơn như tải phần mềm độc hại hoặc tham gia các giao dịch không hợp pháp.

Cảnh báo từ chuyên gia bảo mật

Ông Vasily M. Kolesnikov, chuyên gia bảo mật tại Kaspersky, nhấn mạnh rằng việc giáo dục trẻ em về an toàn mạng và sử dụng các giải pháp bảo mật đáng tin cậy là rất quan trọng trong bối cảnh số vụ tấn công mạng nhắm vào game thủ trẻ đang gia tăng. Ông kêu gọi phụ huynh và người dùng trẻ tuổi cần nhận thức rõ ràng về các rủi ro tiềm ẩn khi tham gia các hoạt động trực tuyến.

Bảo vệ an toàn cho trẻ em trước thực trạng tấn công mạng nhắm vào game thủ trẻ

Kaspersky đề xuất một số biện pháp để bảo vệ trẻ em khi tham gia hoạt động trực tuyến, bao gồm:

  • Thảo luận với trẻ về các rủi ro tiềm ẩn và đặt ra quy tắc an toàn khi truy cập internet.
  • Sử dụng các mật khẩu mạnh và thay đổi định kỳ.
  • Cài đặt các giải pháp bảo mật tin cậy trên thiết bị, đặc biệt là các công cụ có khả năng bảo vệ khi sử dụng các dịch vụ chơi game trực tuyến như Steam.

Báo cáo đầy đủ về tình hình tấn công mạng nhắm vào game thủ trẻ đã được đăng tải trên trang web KDaily.

Từ ngày 4 đến 7 tháng 8 năm 2024, Tuần lễ An ninh mạng Châu Á – Thái Bình Dương 2024 đã được tổ chức tại Sri Lanka bởi Kaspersky, công ty cung cấp giải pháp an ninh mạng toàn cầu. Sự kiện đã tập trung vào các diễn biến mới trong lĩnh vực an ninh mạng, với sự chú ý đặc biệt đến các mối đe dọa mới nổi liên quan đến trí tuệ nhân tạo (AI).

Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024: Cảnh báo về các mối đe dọa từ trí tuệ nhân tạo

Tuần lễ An ninh mạng Châu Á – Thái Bình Dương 2024 nêu diễn biến và mối đe dọa hiện tại

Tại hội nghị, các chuyên gia đã chỉ ra rằng mã độc tống tiền (ransomware) tiếp tục là một trong những mối đe dọa hàng đầu. Sự kết hợp giữa mã độc tống tiền và AI có thể làm tăng mức độ tinh vi và phức tạp của các cuộc tấn công mạng. Kaspersky đã cung cấp cái nhìn sâu sắc về cách AI được sử dụng để nâng cao hiệu quả của các cuộc tấn công kỹ thuật xã hội, tạo ra các email giả mạo và nội dung lừa đảo tinh vi hơn.

Ông Igor Kuznetsov, Giám đốc Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky, nhấn mạnh rằng ransomware đang trở thành hình thức tấn công phổ biến nhất trên toàn cầu, thường được điều hành theo mô hình doanh nghiệp (RaaS). Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng bảo mật trong các ứng dụng công cộng và sử dụng thông tin đăng nhập bị đánh cắp. Một mối đe dọa đáng lo ngại khác là các cuộc tấn công nhắm vào chuỗi cung ứng, nơi nhiều cuộc tấn công chỉ được phát hiện sau khi đã thành công.

Vai trò của trí tuệ nhân tạo trong các cuộc tấn công

Hội nghị đã chỉ ra rằng trí tuệ nhân tạo không chỉ giúp tăng cường khả năng tấn công mà còn mở ra những loại tấn công mới. AI có khả năng tạo ra mật khẩu mạnh, phát triển mã độc và thực hiện các cuộc tấn công mật khẩu. Các cuộc tấn công đối kháng (adversarial attacks), trong đó kẻ tấn công thực hiện các thay đổi nhỏ trong tệp để đánh lừa hệ thống AI, là một ví dụ về cách AI có thể bị lợi dụng.

Ông Alexey Antonov, Trưởng nhóm Khoa học Dữ liệu tại Kaspersky, cho biết AI được sử dụng để phát hiện các cuộc tấn công độc hại, với việc Kaspersky phát hiện khoảng 411.000 mẫu mã độc mới mỗi ngày trong năm 2024, tăng so với 403.000 mẫu mỗi ngày trong năm 2023.

Thách thức và giải pháp

Một vấn đề nghiêm trọng được nêu bật tại hội nghị là mối đe dọa từ các cuộc tấn công chuỗi cung ứng đối với cơ sở hạ tầng quan trọng. Sự cố cập nhật phần mềm lỗi của Crowdstrike đã gây ra thiệt hại tài chính lớn trên toàn thế giới. Ông Vitaly Kamluk, Chuyên gia an ninh mạng của Kaspersky, cảnh báo rằng các cuộc tấn công vào các mô hình học máy có thể dẫn đến việc tiêm nhiễm các định kiến vào mô hình hoặc đưa ra kết quả sai lệch.

Để đối phó với các cuộc tấn công ngày càng tinh vi, các tổ chức được khuyến khích xây dựng và triển khai các chiến lược giảm thiểu rủi ro, bao gồm kế hoạch phục hồi sau thảm họa mạng và đào tạo nhân sự về các phương thức tấn công phổ biến. Hợp tác với các đối tác an ninh mạng đáng tin cậy và cập nhật thông tin về các mối đe dọa mới cũng là những bước quan trọng trong việc đảm bảo hệ thống phòng thủ hiệu quả.

Tuần lễ An ninh mạng Châu Á – Thái Bình Dương 2024 đã làm rõ những thách thức mà các tổ chức phải đối mặt trong bối cảnh AI ngày càng đóng vai trò quan trọng trong các cuộc tấn công mạng. Các biện pháp bảo mật cần được điều chỉnh và cải tiến để bảo vệ các cơ sở hạ tầng kỹ thuật số khỏi các mối đe dọa mới nổi.

Chiến dịch Operation Triangulation nhắm vào hệ điều hành iOS, cùng với ransomware và những lỗ hổng khác tạo nên bức tranh về các mối đe doạ an ninh mạng năm 2024.

Kaspersky tổ chức sự kiện APAC Cybersecurity Weekend 2024 tại Sri Lanka vào tuần trước. Tại sự kiện này, chuyên gia hãng bảo mật đưa ra một bức tranh các mối đe doạ an ninh mạng năm 2024.

Năm 2024 đang chứng kiến sự gia tăng đáng kể của các mối đe dọa an ninh mạng, phần lớn nhờ vào sự phát triển của trí tuệ nhân tạo (AI). Điều này đã làm tăng mức độ tinh vi của các cuộc tấn công mạng, trong đó ransomware đã phát triển thành một dịch vụ kinh doanh cho tội phạm mạng. Một trong những mối đe dọa nổi bật nhất trong năm là Chiến dịch Operation Triangulation, nhắm vào hệ điều hành iOS, thông qua việc khai thác các lỗ hổng phần cứng trong CPU của Apple để cài đặt phần mềm độc hại.

Bức tranh toàn cảnh về các mối đe dọa an ninh mạng

Theo báo cáo Incident Response Analyst Report 2023 của Kaspersky, 75% các cuộc tấn công mạng tận dụng lỗ hổng trong Microsoft Office, và 42,3% nhắm đến các ứng dụng miễn phí có sẵn trên Internet. Các cuộc tấn công thường bắt đầu bằng việc sử dụng thông tin đăng nhập bị đánh cắp hoặc mua trái phép. Đáng chú ý, số lượng các cuộc tấn công trong quý 1 năm 2023 đã giảm 36% so với cùng kỳ năm trước.

Các tổ chức chính phủ là mục tiêu hàng đầu của các cuộc tấn công mạng (27,9%), tiếp theo là các doanh nghiệp trong ngành sản xuất (17%) và các tổ chức tài chính (12,2%). Châu Á và khu vực CIS bị ảnh hưởng nặng nề nhất, chiếm 47,3% số sự cố mạng toàn cầu.

Chiến dịch Operation Triangulation

Chiến dịch Operation Triangulation là một cuộc tấn công mạng đặc biệt nguy hiểm, nhắm vào các thiết bị iOS bằng cách khai thác các lỗ hổng phần cứng trong CPU của Apple. Bằng cách này, tin tặc có thể cài đặt phần mềm độc hại mà không cần sự can thiệp của người dùng, cho phép chúng kiểm soát hoàn toàn thiết bị mục tiêu. Phương thức tấn công này bao gồm việc gửi tin nhắn không cần tương tác thông qua iMessage, từ đó phần mềm độc hại được cài đặt một cách kín đáo.

Apple đã nhanh chóng phát hành các bản vá để khắc phục các lỗ hổng này. Tuy nhiên, để tăng cường bảo mật, người dùng được khuyến cáo nên cập nhật hệ điều hành thường xuyên, khởi động lại thiết bị định kỳ, và nếu có thể, tắt tính năng iMessage để giảm thiểu nguy cơ bị tấn công.

Cuộc tấn công trong chiến dịch Operation Triangulation là minh chứng cho mức độ tinh vi của các mối đe dọa an ninh mạng hiện đại, đặc biệt khi chúng khai thác các yếu điểm phần cứng và cơ chế hoạt động của hệ điều hành, vượt qua được nhiều lớp bảo mật thông thường.

Ransomware theo mô hình dịch vụ (RaaS)

RaaS (Ransomware-as-a-Service) là một xu hướng đáng lo ngại, nơi tội phạm mạng hoạt động như một doanh nghiệp, cung cấp dịch vụ mã hóa dữ liệu để đòi tiền chuộc. Các nhóm tội phạm này thường bao gồm nhiều thành phần chuyên biệt như người bán quyền truy cập, nhà phân tích và những kẻ đàm phán. Mô hình kinh doanh này giúp các cuộc tấn công trở nên tinh vi hơn, khó phát hiện và khó phòng thủ hơn.

Hệ thống container hóa: Rủi ro và biện pháp phòng tránh

Các hệ thống container hóa, đặc biệt là những hệ thống sử dụng phần mềm nguồn mở, đang trở thành mục tiêu của các cuộc tấn công chuỗi cung ứng. Để giảm thiểu rủi ro, cần có các chính sách bảo mật nghiêm ngặt, bao gồm kiểm soát chặt chẽ các hình ảnh và quản lý kho hình ảnh để tránh các cài đặt lỗi thời.

Các biện pháp bảo vệ doanh nghiệp trước tấn công mạng

Các chuyên gia khuyến nghị các tổ chức xây dựng một hệ thống bảo mật toàn diện, kết hợp giữa chiến lược bảo mật hiệu quả, đào tạo nhân viên về an ninh mạng, và sử dụng các giải pháp công nghệ bảo mật phù hợp. Các biện pháp cụ thể bao gồm:

  • Cập nhật thường xuyên hệ điều hành, phần mềm và giải pháp bảo mật.
  • Cung cấp cho đội ngũ bảo mật quyền truy cập vào các cổng thông tin về mối đe dọa mạng.
  • Triển khai các giải pháp phát hiện và phản ứng với các sự cố an ninh mạng.

Bằng cách áp dụng các biện pháp này, các tổ chức có thể giảm thiểu rủi ro và bảo vệ an toàn dữ liệu của mình trước các mối đe dọa an ninh mạng ngày càng gia tăng trong năm 2024.

Doanh nghiệp vừa và nhỏ (SMBs) đang bị lợi dụng khe hở trong các phần mềm văn phòng lẫn kỹ thuật lừa đảo phishing, theo Kaspersky.

Các doanh nghiệp vừa và nhỏ hứng chịu số vụ lây nhiễm trong quý I năm 2024 tăng 5% so với cùng kỳ năm ngoái.

Cụ thể, số lượng người dùng phải đối mặt với phần mềm độc hại đã lên đến 2.402 vụ, với 4.110 file phát tán dưới dạng các phần mềm liên quan đến SMBs, đánh dấu mức tăng 8% so với cùng kỳ năm ngoái.

Trojan vẫn là hình thức tấn công phổ biến nhất đối với các doanh nghiệp này. Mặc dù không có khả năng tự sao chép như virus, Trojan có thể bắt chước phần mềm chính thống, khiến chúng trở nên nguy hiểm và khó phát hiện. Trong giai đoạn từ tháng 1 đến tháng 4 năm 2024, Kaspersky đã ghi nhận tổng cộng 100.465 lượt tấn công bằng Trojan, tăng 7% so với cùng kỳ năm 2023.

Trong các vấn đề được phát hiện, nổi lên việc tội phạm nhắm vào các phần mềm văn phòng và tấn công phishing.

Cụ thể, các phần mềm văn phòng của Microsoft như Excel, Word, và PowerPoint đang là mục tiêu bị tấn công nhiều nhất. Microsoft Excel đứng đầu danh sách các phần mềm bị tấn công nhiều nhất trong năm 2024, theo sau là Microsoft Word và các phần mềm như PowerPoint và Salesforce. Theo Kaspersky, việc sử dụng rộng rãi Microsoft Excel trong văn phòng tạo ra một môi trường lý tưởng cho tội phạm mạng ẩn nấp và thay đổi dữ liệu độc hại trong các bộ dữ liệu lớn, sau đó nhân rộng mã độc ra toàn bộ doanh nghiệp.

Ngoài ra, lừa đảo (phishing) cũng tiếp tục là một mối đe dọa nghiêm trọng đối với các doanh nghiệp SMBs. Nhân sự liên tục nhận được những đường liên kết trông quen thuộc và những trang web mô phỏng những dịch vụ phổ biến, cổng doanh nghiệp và các nền tảng ngân hàng trực tuyến. Một khi đăng nhập vào các dịch vụ này, họ vô tình tiết lộ tên đăng nhập và mật khẩu cho tội phạm mạng hoặc kích hoạt cuộc tấn công mạng được thiết lập sẵn trên hệ thống.

Theo ông Vasily Kolesnikov, chuyên gia an ninh mạng tại Kaspersky, yếu tố con người tiếp tục là lỗ hổng đáng kể đối với các doanh nghiệp SMBs, một phần là do nhận thức về an ninh mạng thấp. Các doanh nghiệp SMBs thường tin rằng họ không phải là đối tượng của các cuộc tấn công mạng, nhưng thực tế, tin tặc rất giỏi trong việc tìm ra các lỗ hổng một khi chúng xâm nhập vào hệ thống máy tính.

Để tăng cường bảo mật và bảo vệ hệ thống công nghệ thông tin của doanh nghiệp trước các mối đe dọa mạng, Kaspersky khuyến nghị dùng giải pháp bảo mật dành cho doanh nghiệp, đồng thời đào tạo cơ bản về an ninh mạng cho nhân viên, tiến hành các cuộc tấn công lừa đảo mô phỏng để đảm bảo nhân viên biết cách phân biệt các email lừa đảo, thiết lập chính sách truy cập vào tài sản của công ty, thường xuyên sao lưu các dữ liệu cần thiết để đảm bảo thông tin của công ty được an toàn trong trường hợp khẩn cấp.

Tất nhiên cần hiểu rằng doanh nghiệp SMBs không dễ để triển khai các biện pháp bảo mật bài bản. Theo dữ liệu của Liên hợp quốc, cứ 10 việc làm ở các nền kinh tế mới nổi thì có 7 việc làm thuộc lĩnh vực SMBs, trong khi khả năng tiếp cận tài chính gặp nhiều thách thức, khiến các doanh nghiệp này gặp khó khăn hơn trong việc tự vệ trước các cuộc tấn công.

Kaspersky cho rằng lệnh cấm của Mỹ liên quan đến địa chính trị và dựa trên mối quan ngại “lý thuyết”.

Bộ Thương mại Mỹ có quyết định cấm sử dụng phần mềm diệt virus Kaspersky trên toàn lãnh thổ. Đáp lại lệnh cấm này, Kaspersky nói rằng “quyết định của Bộ Thương mại Hoa Kỳ xuất phát từ tình hình địa chính trị hiện tại và những mối quan ngại dựa trên mặt lý thuyết, thay vì đánh giá toàn diện các sản phẩm và dịch vụ của Kaspersky”.

Công ty đồng thời khẳng định lệnh cấm sẽ không ảnh hưởng đến việc kinh doanh của công ty.

Một sản phẩm diệt virus của Kapersky.

Phản ứng của Kaspersky đưa ra sau khi Bộ Thương mại Mỹ công bố kế hoạch cấm Kaspersky bán phần mềm diệt virus tại Mỹ. Ngày 21/6, Bộ trưởng Thương mại Gina Raimondo được Reuters dẫn lời nói rằng Nga “có khả năng và dự định khai thác các công ty Nga như Kaspersky để thu thập, vũ khí hóa thông tin cá nhân người Mỹ.

Trước đó, vào năm 2020, Kaspersky di chuyển địa điểm xử lý và lưu trữ một số dữ liệu sang Thuỵ Sĩ. Đây là dữ liệu liên quan đến các mối đe dọa bảo mật nhắm vào khách hàng và người dùng tại các khu vực châu Âu, Hoa Kỳ, Canada, và một số quốc gia khu vực châu Á Thái Bình Dương. Việc này nằm trong nỗ lực minh bạch hoá cách công ty dùng dữ liệu. Phản ứng này diễn ra sau khi Mỹ ban hành sắc lệnh cấm các phần mềm Kaspersky Lab hoạt động trên mạng dân sự và quân sự tại Mỹ, được ký vào tháng 12/2017 bởi Tổng thống Mỹ thời đó là Donald Trump.

Gần một nửa mật khẩu trong nghiên cứu của Kaspersky bị bẻ khoá trong 1 phút, chỉ có 2/10 người đặt mật khẩu mạnh.

Các chuyên gia của Kaspersky thu thập 193 triệu mật khẩu được rao bán trên darknet và tiến hành thử nghiệm bẻ khoá bằng cách dự đoán mật khẩu, nói theo ngôn ngữ chuyên môn là hình thức tấn công dự đoán thông minh (smart guessing attacks) và brute force.

mật khẩu

Kết quả, 45% trên tổng 87 triệu mật khẩu có thể bị bẻ khóa thành công trong vòng một phút. Những mật khẩu khó hơn sẽ mất tới một năm mới bẻ khoá thành công bằng phương pháp nói trên, và chỉ có 23% (tức 44 triệu) mật khẩu đáp ứng tiêu chí này.

Cụ thể, nghiên cứu tháng 6/2024 của Kaspersky chỉ ra tốc độ bẻ khoá 193 triệu mật khẩu như sau:

  • 45% (87 triệu) trong vòng chưa đầy 1 phút.
  • 14% (27 triệu) – Từ 1 phút đến 1 tiếng.
  • 8% (15 triệu) – Từ 1 tiếng đến 1 ngày.
  • 6% (12 triệu) – Từ 1 ngày đến 1 tháng.
  • 4% (8 triệu) – Từ 1 tháng đến 1 năm.

Bên cạnh đó, đa phần các mật khẩu (57%) đều chứa một từ dễ dàng tìm thấy trong từ điển, điều này làm giảm đáng kể độ mạnh của mật khẩu. Trong số các chuỗi từ vựng phổ biến nhất, Kaspersky phân thành một số nhóm mật khẩu:

  • Tên: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
  • Từ phổ biến: “forever”, “love”, “google”, “hacker”, “gamer”.
  • Mật khẩu tiêu chuẩn: “password”, “qwerty12345”, “admin”, “12345”, “team”.

Các mật khẩu mạnh của người dùng thường hội đủ các yếu tố sau:

  • Một từ không có trong từ điển
  • Bao gồm chữ thường và chữ in hoa
  • Có cả số và ký hiệu

Theo phương pháp trên, tôi có thể ví dụ một mật khẩu mạnh như sau: $fwfoftt4y90.

Theo Kaspersky, các kẻ tấn công không cần sở hữu kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu. Ví dụ, bộ xử lý máy tính xách tay chuyên dụng có thể tìm ra chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường bằng brute force chỉ trong 7 phút. Ngoài ra, card đồ họa tích hợp sẽ xử lý tác vụ tương tự trong 17 giây. Bên cạnh đó, các thuật toán đoán mật khẩu thông minh còn có xu hướng thay thế các ký tự (“e” thành “3”, “1” thành “!” hoặc “a” thành “@”) và các chuỗi phổ biến (“qwerty”, “12345”, “asdfg”).

Cách đặt mật khẩu mạnh

“Một cách vô thức, con người thường đặt mật khẩu rất đơn giản, thường là các từ trong từ điển bằng tiếng mẹ đẻ, như tên riêng và số…”, bà Yuliya Novikova, Trưởng phòng Digital Footprint Intelligence tại Kaspersky cho hay.

Bà Yuliya cho rằng ngay cả những tổ hợp mật khẩu mạnh cũng hiếm khi được đặt khác với xu hướng trên, vì vậy chúng hoàn toàn có thể bị thuật toán đoán được. Do đó, giải pháp đáng tin cậy nhất là tạo ra một mật khẩu hoàn toàn ngẫu nhiên bằng các trình quản lý mật khẩu hiện đại và đáng tin cậy.

Mọi người có thể áp dụng một số phương pháp sau để có mật khẩu mạnh hơn:

  • Nên dùng phần mềm quản lý mật khẩu để lưu trữ mật khẩu.
  • Sử dụng mật khẩu khác nhau cho các dịch vụ khác nhau.
  • Không nên sử dụng các thông tin cá nhân, như ngày sinh nhật, tên thành viên trong gia đình, thú cưng hoặc tên riêng để đặt mật khẩu. Đây thường là những lựa chọn đầu tiên kẻ tấn công sẽ thử khi bẻ khóa mật khẩu.

Xem thêm: Kaspersky cảnh báo về các hình thức tấn công giả mạo để vượt xác thực hai yếu tố

Kaspersky đã phát hiện ra các hình thức tấn công giả mạo (phishing) được tội phạm mạng sử dụng để vượt xác thực hai yếu tố (2FA).

Mặc dù 2FA được nhiều trang web áp dụng rộng rãi và các tổ chức bắt buộc thực hiện, những kẻ tấn công mạng đã thay đổi hình thức tấn công mạng tinh vi hơn, bằng cách kết hợp phishing với bot OTP tự động để đánh lừa người dùng và truy cập trái phép vào tài khoản của họ.

Xác thực hai yếu tố (2FA) đã trở thành tính năng bảo mật tiêu chuẩn trong an ninh mạng. Hình thức này yêu cầu người dùng xác minh danh tính của họ bằng một bước xác thực thứ hai, thường là mật khẩu dùng một lần (OTP) được gửi qua tin nhắn văn bản, email hoặc ứng dụng xác thực. Lớp bảo mật bổ sung này nhằm mục đích bảo vệ tài khoản của người dùng ngay cả khi mật khẩu của họ bị đánh cắp. Tuy nhiên, kẻ lừa đảo đã sử dụng các cách thức đầy tinh vi để lừa người dùng tiết lộ các OTP này, cho phép họ vượt qua các biện pháp bảo vệ 2FA.

Bot OTP là một công cụ tinh vi được kẻ lừa đảo sử dụng để ngăn chặn mã OTP thông qua hình thức tấn công phi kỹ thuật. Kẻ tấn công thường cố gắng lấy cắp thông tin đăng nhập của nạn nhân bằng các phương thức như phishing hoặc khai thác lỗ hổng dữ liệu để đánh cắp thông tin. Sau đó, chúng đăng nhập vào tài khoản của nạn nhân, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Kế đến, bot OTP sẽ tự động gọi đến nạn nhân, mạo danh là nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục nạn nhân tiết lộ mã OTP. Cuối cùng, kẻ tấn công nhận được mã OTP thông qua bot và sử dụng nó để truy cập trái phép vào tài khoản của nạn nhân.

Một trang web giả mạo được thiết kế tương tự như trang đăng nhập ngân hàng trực tuyến.

Kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn tin nhắn vì nạn nhân có xu hướng phản hồi nhanh hơn khi áp dụng hình thức này. Theo đó, bot OTP sẽ mô phỏng giọng điệu và sự khẩn trương của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và tính thuyết phục.

Kẻ lừa đảo điều khiển các bot OTP thông qua các bảng điều khiển trực tuyến đặc biệt hoặc các nền tảng nhắn tin như Telegram. Những bot này còn đi kèm với nhiều tính năng và gói đăng ký khác nhau tạo điều kiện cho những kẻ tấn công hành động. Kẻ tấn công có thể tùy chỉnh tính năng của bot để mạo danh các tổ chức, sử dụng đa ngôn ngữ và thậm chí chọn tông giọng nam hoặc nữ. Ngoài ra, các tùy chọn nâng cao còn bao gồm giả mạo số điện thoại (spoofing) với mục đích khiến cho số điện thoại người gọi hiển thị giống như từ một tổ chức hợp pháp nhằm đánh lừa nạn nhân một cách tinh vi.

Để sử dụng bot OTP, kẻ lừa đảo cần đánh cắp thông tin đăng nhập của nạn nhân trước. Chúng thường sử dụng các trang web phishing được thiết kế giống hệt với các trang đăng nhập hợp pháp của ngân hàng, dịch vụ email hoặc các tài khoản trực tuyến khác. Khi nạn nhân nhập tên đăng nhập và mật khẩu của họ, kẻ lừa đảo sẽ tự động thu thập thông tin này ngay lập tức (theo thời gian thực).

Nghiên cứu của Kaspersky cho thấy tác động đáng kể của các cuộc tấn công phishing và bot OTP. Trong khoảng thời gian từ ngày 1/3 đến ngày 31/5 năm 2024, các giải pháp bảo mật của Kaspersky đã ngăn chặn được 653.088 lượt truy cập vào các trang web được tạo ra bởi bộ công cụ phishing nhắm vào các ngân hàng. Dữ liệu đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bằng bot OTP. Cũng trong khoảng thời gian đó, Kaspersky đã phát hiện 4.721 trang web phishing do các bộ công cụ tạo ra nhằm mục đích vượt qua xác thực hai yếu tố theo thời gian thực.

Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky nhận định: “Tấn công phi kỹ thuật (social engineering) được xem là phương thức lừa đảo cực kỳ tinh vi, đặc biệt là với sự xuất hiện của bot OTP với khả năng mô phỏng một cách hợp pháp các cuộc gọi từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì sự thận trọng và tuân thủ các biện pháp bảo mật. Thông qua nghiên cứu và đổi mới liên tục, Kaspersky cung cấp các giải pháp bảo mật tiên tiến nhằm bảo vệ người dùng trong thời đại kỷ nguyên số bùng nổ.”

Mặc dù 2FA là biện pháp bảo mật quan trọng, nhưng nó không hoàn toàn giải pháp tối ưu. Để bảo vệ người dùng khỏi những trò lừa đảo tinh vi này, Kaspersky khuyến nghị:

  • Tránh nhấp vào các liên kết trong tin nhắn email đáng ngờ. Nếu người dùng cần đăng nhập tài khoản của mình vào một tổ chức bất kỳ, hãy nhập chính xác địa chỉ trang web đó hoặc sử dụng dấu trang đã lưu (bookmark).
  • Hãy đảm bảo địa chỉ website chính xác và không có lỗi đánh máy. Bạn có thể sử dụng công cụ Whois để kiểm tra thông tin đăng ký website. Nếu website mới được đăng ký gần đây, khả năng cao đây là trang web lừa đảo.
  • Không bao giờ cung cấp mã OTP qua điện thoại, bất kể người gọi có vẻ thuyết phục đến mức nào. Các ngân hàng và tổ chức uy tín khác không bao giờ yêu cầu người dùng đọc hoặc nhập mã OTP qua điện thoại để xác minh danh tính.
  • Để bảo vệ doanh nghiệp toàn diện trước các mối đe dọa an ninh mạng, các giải pháp thuộc dòng sản phẩm Kaspersky Next cung cấp khả năng bảo vệ theo thời gian thực, hiển thị mối đe dọa, điều tra và ứng phó các sự cố an ninh thông qua các tính năng EDR và XDR. Các giải pháp này phù hợp cho mọi quy mô và lĩnh vực hoạt động. Tùy theo nhu cầu và nguồn lực sẵn có, doanh nghiệp có thể lựa chọn gói sản phẩm phù hợp nhất, đồng thời dễ dàng nâng cấp lên các gói cao hơn khi yêu cầu bảo mật thay đổi.
  • Doanh nghiệp nền đầu tư các khóa học an ninh mạng bổ sung cho nhân viên để giúp họ cập nhật những kiến thức mới nhất về các mối đe dọa an ninh mạng. Chương trình đào tạo Kaspersky Expert với nội dung thực tiễn sẽ giúp các chuyên gia bảo mật thông tin (InfoSec) nâng cao kỹ năng cần thiết để bảo vệ công ty trước các cuộc tấn công tinh vi. Người dùng có thể lựa chọn hình thức học phù hợp, bao gồm các khóa học trực tuyến tự học hoặc các khóa học trực tiếp với giảng viên hướng dẫn.

Kaspersky ngăn chặn hơn 61 triệu cuộc tấn công bruteforce nhắm vào các doanh nghiệp trong năm 2023.

Công ty an ninh mạng toàn cầu Kaspersky đã ngăn chặn hơn 61 triệu cuộc tấn công Bruteforce nhắm vào các doanh nghiệp ở Đông Nam Á trong năm 2023.

Từ tháng 01 đến tháng 12 năm 2023, các sản phẩm B2B của Kaspersky, được cài đặt tại các công ty thuộc mọi quy mô trong khu vực Đông Nam Á, đã phát hiện và ngăn chặn được tổng cộng 61.374.948 cuộc tấn công Bruteforce.Generic.RDP.*.

Tấn công Bruteforce là hình thức đoán mật khẩu hoặc khóa mã hóa bằng cách thử tất cả các tổ hợp ký tự có thể theo một hệ thống cho đến khi tìm ra tổ hợp chính xác. Nếu thành công, kẻ tấn công có thể lấy cắp được thông tin đăng nhập của người dùng.

Remote Desktop Protocol (RDP) là giao thức độc quyền của Microsoft cung cấp một giao diện đồ họa để người dung kết nối với một máy tinh khác thông qua mạng lưới. Theo đó, RDP được sử dụng rộng rãi bởi cả quản trị viên hệ thống và người dùng thông thường để điều khiển máy chủ và các PC khác từ xa.

Tội phạm mạng sử dụng hình thức tấn công Bruteforce.Generic.RDP.* để tìm ra tên đăng nhập/mật khẩu hợp lệ bằng cách thử tất cả các tổ hợp ký tự có thể cho đến khi tìm ra mật khẩu chính xác để truy cập vào hệ thống.

Một cuộc tấn công Bruteforce.Generic.RDP.* thành công đồng nghĩa với việc kẻ tấn công đã tìm ra được tên đăng nhập/mật khẩu chính xác và giành quyền truy cập từ xa vào máy tính mục tiêu.

Việt Nam, Indonesia và Thái Lan là ba quốc gia ghi nhận số vụ tấn công RDP cao nhất trong khu vực Đông Nam Á vào năm ngoái. Trong khi đó, Singapore ghi nhận hơn 6 triệu trường hợp, Philippines gần 5 triệu và Malaysia có số đợt tấn công Bruteforce thấp nhất với gần 3 triệu.

Quốc giaNăm 2023
Indonesia11.703.925
Malaysia2.810.648
Philippines4.620.264
Singapore6.059.867
Thái Lan10.205.819
Việt Nam25.974.425
Tổng cộng61.374.948

Theo ông Adrian Hia – Giám đốc điều hành khu vực Châu Á Thái Bình Dương tại Kaspersky, chia sẻ: “Tấn công Bruteforce là mối đe dọa tiềm ẩn mà các doanh nghiệp không thể xem nhẹ. Việc sử dụng dịch vụ của bên thứ ba để trao đổi dữ liệu, nhân viên làm việc trên máy tính cá nhân, mạng Wi-Fi tiềm ẩn rủi ro, và các công cụ truy cập từ xa như RDP vẫn luôn là vấn đề đối với đội ngũ an ninh mạng doanh nghiệp.”

“Không thể phủ nhận rằng trí tuệ nhân tạo (AI) và các thuật toán có thể đánh cắp tài khoản đăng nhập, mật khẩu của doanh nghiệp nhanh hơn. Và một khi kẻ tấn công có được quyền truy cập từ xa vào máy tính doanh nghiệp, khả năng thiệt hại về tài chính và thậm chí là uy tín thương hiệu mà chúng gây ra là vô hạn. Do đó, các doanh nghiệp cần tăng cường bảo mật cho các thiết bị đầu cuối và mạng lưới của mình để phòng thủ trước các cuộc tấn công Bruteforce dựa trên AI,” ông Adrian Hia chia sẻ thêm.

Nếu người dùng sử dụng RDP trong công việc, hãy đảm bảo thực hiện tất cả các biện pháp phòng vệ sau:

Theo đó, các doanh nghiệp nên chủ động tiến xa hơn trong việc bảo vệ hệ thống phòng thủ an ninh mạng. Để giúp doanh nghiệp xây dựng hệ thống bảo mật an ninh mạng vững chắc, Kaspersky cung cấp giải pháp phần mềm tích hợp – Kaspersky Unified Monitoring and Analysis Platform (KUMA), bao gồm một bộ chức năng để giám sát và quản lý các sự cố bảo mật thông tin.

Là một giao diện điều khiển trung tâm để theo dõi và phân tích các sự cố bảo mật thông tin, KUMA có thể được sử dụng như một hệ thống quản lý nhật ký (log management) và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) toàn diện.

Để tìm hiểu thêm về giải pháp bảo mật Kaspersky Unified Monitoring and Analysis Platform (KUMA), vui lòng truy cập: https://support.kaspersky.com/help/KUMA/1.5/en-US/217694.htm.

Để cập nhật các báo cáo mối đe dọa mới nhất từ Kaspersky, hãy truy cập Securelist.com.