Theo Mandiant, sự gia tăng của các cuộc tấn công mã độc tống tiền, vốn được coi là ồn ào và tự lộ diện, là một lý do khiến thời gian phát hiện ngắn hơn được ghi nhận trong các cuộc tấn công trong năm 2020.
Dữ liệu cho thấy, các tổ chức đang ngày càng nhanh hơn trong việc tự phát hiện các cuộc xâm nhập, nhưng Mandiant cho rằng trong khi “tiếp tục phát triển và cải thiện khả năng phát hiện của tổ chức” là một yếu tố, thì yếu tố chính là sự gia tăng các cuộc tấn công mã độc tống tiền, tăng từ 14% năm 2019 lên 25% vào năm 2020.
Trong trường hợp tấn công bằng mã độc tống tiền, chúng thường được phát hiện nhanh chóng vì những kẻ tấn công thường tự hiện diện khi đòi tiền chuộc, sau khi đã mã hóa các tệp của nạn nhân và/hoặc đã đánh cắp dữ liệu của nạn nhân.
Trong các cuộc tấn công mã độc tống tiền do Mandiant điều tra, 78% có thời gian tồn tại từ 30 ngày trở xuống và chỉ 1% trong số các vụ này có thời gian tồn tại từ 700 ngày trở lên.
Dữ liệu này là một phần trong báo cáo M-Trends 2021 mới của Mandiant, dựa trên các cuộc điều tra do công ty thực hiện từ tháng 10/2019 đến tháng 9/2020 (khung thời gian này được gọi là năm 2020 trong báo cáo).
Theo Mandiant, 59% các vi phạm được điều tra trên toàn cầu trong giai đoạn này đã được phát hiện trong nội bộ. Trong khi đó, vào năm 2019, chỉ có 47% đã được phát hiện trong nội bộ.
“Thời gian tồn tại” là số ngày kẻ tấn công có mặt trong môi trường của mục tiêu trước khi chúng bị phát hiện - cũng giảm đáng kể vào năm 2020 so với năm trước, từ 56 ngày xuống còn 24 ngày. Xét riêng trong trường hợp các vụ vi phạm do bên ngoài phát hiện, thời gian tồn tại trung bình trong năm 2020 là 73 ngày, trong khi đối với những trường hợp tổ chức tự phát hiện, thời gian này chỉ là 12 ngày.
Điều thú vị là thời gian tồn tại trung bình trên toàn cầu chỉ là 5 ngày đối với mã độc tống tiền và 45 ngày đối với các vụ không phải mã độc tống tiền được Mandiant điều tra. Nhìn chung, thời gian tồn tại trung bình trên toàn cầu đã giảm liên tục trong thập kỷ qua, từ 416 ngày vào năm 2011 xuống còn 24 ngày vào năm 2020.
Tuy nhiên, báo cáo cũng cho thấy một số khác biệt đáng kể giữa các khu vực. Ví dụ, thời gian tồn tại ở châu Mỹ đã giảm từ 60 ngày vào năm 2019 xuống còn 17 ngày năm 2020, nhưng hơn 27% sự cố được điều tra ở khu vực này liên quan đến mã độc tống tiền.
“Số lượng lớn các cuộc điều tra liên quan đến mã độc tống tiền chắc chắn đã làm giảm thời gian tồn tại trung bình. Các sự cố mã độc tống tiền ở châu Mỹ có thời gian tồn tại trung bình chỉ 3 ngày và chiếm 41% các sự cố có thời gian tồn tại từ 14 ngày trở xuống”, Mandiant cho biết trong báo cáo của mình.
Ngược lại, thời gian tồn tại trung bình ở khu vực Châu Á - Thái Bình Dương tăng từ 54 ngày trong năm 2019 lên 76 ngày vào năm 2020, nhưng khu vực này cũng chứng kiến sự suy giảm các sự cố liên quan đến mã độc tống tiền. Khu vực Châu Âu, Trung Đông và Châu Phi cũng đã chứng kiến sự gia tăng tổng thể về thời gian lưu trú, từ 54 ngày vào năm 2019 lên 66 ngày vào năm 2020.
Về chiến thuật tấn công, Mandiant nhận thấy rằng những kẻ tấn công đã sử dụng 63% các kỹ thuật MITRE ATT&CK và 24% kỹ thuật phụ trong suốt khung thời gian được phân tích. Tuy nhiên, công ty cho biết, chỉ 37% các kỹ thuật được quan sát (23% của tất cả các kỹ thuật) được quan sát thấy trong hơn 5% các vụ xâm nhập mà họ đã điều tra.
Lưu ý rằng M-Trends là một trong số ít báo cáo mà SecurityWeek coi là bắt buộc cần phải biết, vì dữ liệu được tổng hợp từ các sự cố thực tế chứ không phải khảo sát mà các nhà cung cấp đưa ra với các câu hỏi được tạo ra để làm lệch kết quả để có lợi. Nói cách khác, đây là dữ liệu trong thế giới thực với các thông tin được phát hiện trong quá trình điều tra các sự cố của hàng trăm khách hàng, trong đó nhiều khách hàng là các tổ chức nổi tiếng.
Nguyễn Anh Tuấn (theo Security Week)
13:45 | 15/07/2015
13:00 | 12/02/2020
07:00 | 07/06/2021
15:00 | 31/05/2021
10:00 | 28/12/2020
13:00 | 11/06/2021
09:00 | 22/10/2021
17:00 | 29/10/2021
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024