Thế giới đã chứng kiến nhiều cuộc tấn công nguy hiểm trong năm 2021. Điển hình như các cuộc tấn công vào , JBS USA Holdings, Kaseya và Accenture - nạn nhân gần đây nhất của LockBit. Những cuộc tấn công này đặt ra sự cần thiết của việc phải đánh giá liên tục các lỗ hổng và ưu tiên khắc phục nhanh chóng.
Khi nghiên cứu của CSW về ransomware được mở rộng, công ty đã cập nhật báo cáo Quý I/2021 của mình với các dấu hiệu ransomware và các xu hướng mới, qua đó giúp các tổ chức chủ động tự bảo vệ trước các cuộc tấn công như vậy.
Trong bản cập nhật Quý II, báo cáo của CSW làm nổi bật một số vấn đề chính sau đây:
1. Các lỗ hổng mới
Trong Quý II/2021, nghiên cứu của CSW cho thấy 06 lỗ hổng liên quan đến 07 họ ransomware, trong số đó có Darkside, Conti, FiveHands, và Qlocker. Với bản cập nhật này, tổng số lỗ hổng về ransomware đã tăng lên 266. CSW cũng nhận thấy sự gia tăng 1,5% về số lượng lỗ hổng được khai thác tích cực đang có xu hướng hiện nay, qua đó nhắc lại rằng cách tiếp cận dựa trên rủi ro để khắc phục lỗ hổng là giải pháp nên hướng tới.
Một trong những báo cáo quan trọng cần chú ý trong quý II/2021 là việc khai thác các lỗ hổng , ngay trước khi các nhà cung cấp công bố phát hiện về lỗ hổng hoặc phát hành các bản vá.
Vào ngày 19/4/2021, hàng nghìn thiết bị QNAP đã bị tấn công bởi ransomware Qlocker, gây gián đoạn dịch vụ và mất dữ liệu cho người dùng. Qlocker đã khai thác CVE-2021-28799, một lỗ hổng QNAP zero-day được phát hiện vào ngày 22/4/2021, mà bản vá được phát hành vào ngày 01/5/2021. Trong khi đó, tin tặc đã thu được hơn 350.000 USD tiền chuộc, thậm chí trong thời điểm nhà cung cấp vẫn đang điều tra vụ việc. Cơ sở dữ liệu lỗ hổng bảo mật quốc gia (NVD) đã công bố thông tin chi tiết về lỗ hổng này 11 ngày sau khi bản vá được phát hành.
Mốc thời gian về lỗ hổng CVE-2021-28799
Cuộc tấn công ransomware FiveHands trên các thiết bị SonicWall Virtual Private Network (VPN) là một ví dụ khác cho thấy sự cần thiết của một phương pháp tiếp cận dựa trên rủi ro. Trong trường hợp này, SonicWall đã công bố thông tin chi tiết về CVE-2021-20016 vào ngày 23/01/2021 và bản vá dự kiến sau đó được phát hành vào ngày 03/02/2021. Tuy nhiên, tin tặc đã khai thác lỗ hổng này trước khi bản vá được cung cấp. NVD đã thêm lỗ hổng vào cơ sở dữ liệu của mình vào ngày 04/02/2021.
Mốc thời gian về lỗ hổng CVE-2021-20016
Cả hai lỗ hổng trên đã đặt ra các yêu cầu sau:
2. Phân tích lỗ hổng bảo mật
Hình thức khai thác
Nghiên cứu của CSW cũng tập trung vào hình thức khai thác được liên kết với các lỗ hổng liên quan đến ransomware. Ví dụ: Thực thi mã từ xa (RCE) và nâng cao đặc quyền (PE) là những lỗ hổng nguy hiểm nhất mà tin tặc khai thác.
Kể từ khi báo cáo ransomware được công bố vào tháng 02/2021, CSW đã phát hiện 43 lỗ hổng liên quan đến ransomware trong năm 2021 và 35% (15 lỗ hổng) được phân loại là các hình thức khai thác RCE/PE. Trong bản cập nhật hàng quý này, công ty nhận thấy rằng lỗ hổng thực thi mà từ xa CVE-2018-13374 để khai thác ứng dụng web có liên kết với Conti ransomware.
Nhìn chung, 40% (107 lỗ hổng) liên quan đến ransomware được phân loại là khai thác RCE/PE. Khuyến nghị của CSW đối với các tổ chức là nên ưu tiên các lỗ hổng này và vá chúng trước.
Các lỗ hổng có điểm CVSS thấp
Các nhóm bảo mật thường vá các lỗ hổng dựa trên điểm CVSS v3 hoặc phiên bản v2 và có xu hướng bỏ qua các lỗ hổng có điểm số thấp. Tuy nhiên điều này không khắc phục được hoàn toàn các cuộc tấn công ransomware, bởi vì 59% lỗ hổng liên quan đến ransomware là những lỗ hổng có điểm số thấp (trong báo cáo nghiên cứu ransomware thì điểm CVSS v2 dưới 8 được coi là thấp).
Trong bản cập nhật hàng quý của CSW, công ty này đã nhận thấy sự gia tăng 3,9% về các lỗ hổng có điểm số thấp liên quan đến ransomware. Trong khi các nhóm bảo mật có thể bỏ qua các lỗ hổng này, thì các nền tảng dựa trên rủi ro sẽ gắn flag các lỗ hổng như vậy là nguy cơ cao (mặc dù có điểm số thấp do NVD cung cấp). Tuy nhiên, nhiều tổ chức không sử dụng hoặc không biết về các công cụ này, để lại các lỗ hổng có điểm số thấp chưa được vá và nguy cơ tổ chức của họ dễ bị tấn công bằng ransomware là khá cao.
Các lỗ hổng được khai thác tích cực
Các lỗ hổng liên quan đến ransomware luôn được xác định là có nguy cơ cao và phải được ưu tiên khắc phục, CSW cũng xem xét các CVE hiện đang bị khai thác trong thực tế.
Hiện tại, 134 lỗ hổng đang được khai thác tích cực. Các nhóm bảo mật sẽ cần phải cập nhật các bản vá để khắc phục những lỗ hổng này sớm, vì những điểm yếu này đang ngày càng bị xâm phạm để khởi động các cuộc tấn công ransomware gây nguy hại đến các tổ chức.
3. Nhóm APT mới
CSW cho biết về sự gia tăng các cuộc tấn công APT kể từ đầu năm 2021. Từ cuộc tấn công của SolarWinds đến cuộc tấn công của DarkSide vào Colonial Pipeline, các nhóm APT đã nhắm mục tiêu vào các ngành nghề, lĩnh vực quan trọng và sử dụng ransomware để thực hiện các cuộc tấn công của mình.
Trong Quý II, CSW ghi nhận gia tăng 17% số lượng các nhóm APT sử dụng ransomware để tấn công vào các mục tiêu của họ, nâng tổng số nhóm APT liên kết với ransomware lên con số 40.
4. Loại hình Ransomware mới
Quý II, CSW cũng phát hiện tăng 4,2% các loại hình ransomware, với 06 kiểu ransomware mới. Công ty này cho biết Crypwall vẫn giữ vị trí là dòng ransomware lớn nhất trên thế giới, với 66 CVE trong thời gian đầu. Bên cạnh đó, công ty lưu ý rằng dòng Cerber đã vượt qua Locky với số lượng 65 CVE liên quan đến ransomware.
5. Danh mục CWE mới
Đáng chú ý, CSW đã phát hiện ra hai danh mục Common Weakness Enumeration (CWE) mới trong quá trình nghiên cứu của mình, bao gồm CWE-134 và CWE-732.
6. Các lỗ hổng cũ
Theo báo cáo của CSW, số lượng lỗ hổng bảo mật được phát hiện trước đây liên quan đến ransomware đã tăng lên, ví dụ như Conti ransomware khai thác lỗ hổng CVE-2018-13374 trong Quý II, nâng tổng số lỗ hổng cũ đã được phát hiện (công bố từ năm 2020 trở về trước) liên quan đến ransomware lên đến 255, chiếm 95% tổng số lỗ hổng ransomware.
7. Con đường phía trước
Các cuộc tấn công ransomware gần đây nhất đã gây ra nhiều hậu quả lớn, thậm chí những nhà lãnh đạo thế giới phải có những cuộc điện đàm chính trị và trao đổi về các cuộc tấn công này với những quốc gia có khởi nguồn ransomware đó.
Dựa trên nghiên cứu của CSW, các lỗ hổng ransomware đang gia tăng đều đặn mỗi quý và những kẻ tấn công đang tìm ra những phương thức khác nhau để xâm nhập và khai thác điểm yếu trong các sản phẩm và thiết bị phần mềm.
Một cách tiếp cận dựa trên rủi ro để phát hiện, ưu tiên và khắc phục những lỗ hổng này sẽ ngăn chặn tốt hơn từ những kẻ tấn công. Khuyến nghị của CSW là áp dụng quản lý lỗ hổng bảo mật liên tục để giúp các tổ chức giảm thiểu các mối đe dọa ransomware, ngay cả khi chúng đang có xu hướng phát triển.
Đinh Hồng Đạt
(Theo cisomag)
15:00 | 16/09/2021
11:00 | 13/09/2021
08:00 | 01/11/2021
10:00 | 12/11/2021
16:00 | 06/09/2021
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024