Báo cáo Phòng vệ số Microsoft 2022

Tội phạm mạng tiếp tục phát triển, do sự gia tăng đáng kể về cả số cuộc tấn công ngẫu nhiên lẫn tấn công nhắm mục tiêu. Theo quan sát của chúng tôi, các mối đe dọa đang ngày càng đa dạng trong bối cảnh kỹ thuật số, cùng với đó là sự phát triển về phương pháp tấn công qua mạng và hạ tầng tội phạm dùng để tăng cường cuộc chiến tranh tiếp xúc trong thời kỳ Nga xâm lược Ukraina.

Cuộc tấn công bằng mã độc tống tiền khiến mọi cá nhân đều gặp nhiều nguy hiểm bởi tội phạm lợi dụng hệ sinh thái tội phạm mạng đang lớn mạnh để nhắm mục tiêu vào các hạ tầng quan trọng, doanh nghiệp thuộc mọi quy mô cũng như chính quyền nhà nước và địa phương. Khi phạm vi của các cuộc tấn công bằng mã độc tống tiền trở nên táo bạo hơn thì tầm ảnh hưởng của chúng cũng mở rộng. Để có thể nỗ lực một cách bền vững và thành công chống lại mối đe dọa này, toàn thể chính phủ cần chung tay thực hiện một chiến lược với sự hợp tác chặt chẽ của khu vực tư.

Sau khi phân tích cam kết ứng phó và phục hồi, chúng tôi liên tục phát hiện ra các biện pháp kiểm soát danh tính yếu kém, hoạt động bảo mật thiếu hiệu quả và chiến lược bảo vệ dữ liệu không toàn vẹn giữa các tổ chức bị ảnh hưởng.

Năm nay chứng kiến ​​sự gia tăng đáng kể của hành vi lừa đảo bừa bãi qua mạng cũng như trộm cắp thông tin xác thực để lấy thông tin đi bán và dùng trong các cuộc tấn công có chủ đích như mã độc tống tiền, trích rút dữ liệu và tống tiền, cũng như xâm phạm email doanh nghiệp.

Tội phạm mạng dưới dạng dịch vụ (CaaS) là một mối đe dọa ngày càng phát triển đối với khách hàng trên toàn thế giới. Theo quan sát của Đơn vị Chống tội phạm số (DCU) của Microsoft, hệ sinh thái CaaS đang không ngừng phát triển, cùng với đó là sự gia tăng của các dịch vụ trực tuyến tạo điều kiện thuận lợi cho tội phạm mạng, trong đó có xâm phạm email doanh nghiệp (BEC) và mã độc tống tiền do con người điều khiển. Bên cung cấp CaaS có xu hướng đưa ra thông tin xác thực bị xâm phạm để bán. Chúng tôi phát hiện ra rằng nhiều dịch vụ và sản phẩm CaaS có tính năng nâng cao để tránh bị phát hiện.

Kẻ tấn công đang tìm những cách mới để triển khai kỹ thuật và lưu trữ hạ tầng hoạt động, như xâm phạm doanh nghiệp để lưu trữ các chiến dịch lừa đảo qua mạng, phần mềm xấu hoặc sử dụng năng lực điện toán để khai thác tiền ảo. Các thiết bị Vật dụng kết nối Internet (IoT) đang dần trở thành mục tiêu phổ biến của tội phạm mạng sử dụng các botnet tràn lan. Những bộ định tuyến chưa được vá và tiếp xúc trực tiếp với Internet có thể bị tác nhân đe dọa lợi dụng để truy nhập vào mạng, thực thi các cuộc tấn công độc hại và thậm chí củng cố cho hoạt động của chúng.

Chủ nghĩa tin tặc đã gia tăng trong năm qua, cùng với đó là việc các công dân tư nhân tiến hành tấn công qua mạng nhằm đẩy mạnh mục tiêu xã hội hoặc chính trị. Hàng nghìn người đã được huy động để tiến hành các cuộc tấn công trong cuộc chiến tranh Nga – Ukraina. Dù vẫn cần phải xem liệu xu hướng này có tiếp tục hay không nhưng ngành công nghệ phải cùng nhau xây dựng một cách ứng phó toàn diện trước mối đe dọa mới này.

Trong năm qua, đã có một bước chuyển dịch giữa các nhóm mối đe dọa trên mạng cấp quốc gia từ khai thác chuỗi cung ứng phần mềm sang khai thác chuỗi cung ứng dịch vụ CNTT, nhắm mục tiêu vào các giải pháp đám mây và nhà cung cấp dịch vụ được quản lý để tiếp cận khách hàng hạ nguồn thuộc các khu vực chính phủ, chính sách và hạ tầng quan trọng.

Khi các tổ chức tăng cường vị thế an ninh mạng, tác nhân nhà nước đã phản ứng bằng cách áp dụng các chiến thuật mới và độc đáo nhằm thực thi các cuộc tấn công và tránh bị phát hiện. Nhận dạng và khai thác các lỗ hổng ngày 0 là một chiến thuật quan trọng trong quá trình thực hiện nỗ lực này. Số lượng lỗ hổng ngày 0 được tiết lộ công khai trong năm qua tương đương với năm trước đó, tức là mức cao nhất được ghi nhận. Nhiều tổ chức cho rằng họ ít có khả năng trở thành nạn nhân của các cuộc tấn công khai thác lỗ hổng ngày 0 nếu công tác quản lý lỗ hổng bảo mật giữ vai trò quan trọng trong quá trình bảo mật mạng. Tuy nhiên, việc thương mại hóa hoạt động khai thác đang khiến điều đó diễn ra với tốc độ nhanh hơn rất nhiều. Hoạt động khai thác lỗ hổng ngày 0 thường được các tác nhân khác phát hiện và tái sử dụng trên phạm vi rộng trong một khoảng thời gian ngắn, gây nguy hiểm cho các hệ thống chưa được vá.

Chúng tôi đã phát hiện ra ​​​​một ngành công nghiệp đang ngày càng nổi, trong đó, tác nhân tấn công thuộc khu vực tư hoặc lính đánh thuê trên mạng phát triển và bán các công cụ, kỹ thuật và dịch vụ cho khách hàng – thường là chính phủ – để đột nhập vào mạng, máy tính, điện thoại và thiết bị kết nối Internet. Mặc dù là tài sản của tác nhân nhà nước, những thực thể này thường gây nguy hiểm cho người bất đồng chính kiến, người bảo vệ nhân quyền, nhà báo, người ủng hộ xã hội dân sự và các công dân tư nhân khác. Những tên lính đánh thuê trên mạng này cung cấp các chức năng tiên tiến “giám sát dưới dạng dịch vụ” mà nhiều quốc gia không thể tự phát triển.

Việc ứng phó với các mối đe dọa không ngừng gia tăng trong hệ sinh thái kỹ thuật số đang dần trở nên cấp bách. Động cơ địa chính trị của tác nhân đe dọa chứng minh rằng các quốc gia đã tăng cường sử dụng các hoạt động tấn công qua mạng để gây bất ổn cho chính phủ đồng thời tác động đến hoạt động thương mại toàn cầu. Khi những mối đe dọa này gia tăng và phát triển, điều quan trọng là phải xây dựng khả năng phục hồi mạng cho cơ cấu của tổ chức.

Như chúng ta thấy, phần lớn các cuộc tấn công qua mạng diễn ra thành công là bởi biện pháp bảo mật cơ bản không được tuân thủ. Các tiêu chuẩn tối thiểu mà mọi tổ chức nên áp dụng là: