Hacker có thể chực chờ trong mạng máy tính tới 51 ngày trước khi hành động
Phòng MKT
Th 5 25/08/2022
Hacker thường chờ khoảng 51 ngày trong các tổ chức với quy mô khoảng 250 nhân viên, một báo cáo bảo mật vừa tiết lộ.
Công ty bảo mật mạng Sophos vừa công bố “Sổ tay những kẻ tấn công đang hoạt động 2022” (Active Adversary Playbook 2022) mô tả chi tiết hành vi của kẻ tấn công mà đội phản ứng nhanh Sophos đã ghi nhận trong năm 2021. Những phát hiện cho thấy, thời gian chờ (dwell time) đã tăng 36%, trong đó thời gian chờ trung bình của kẻ xâm nhập là 15 ngày trong năm 2021 so với 11 ngày trong năm 2020.
Báo cáo cũng tiết lộ tác động của lỗ hổng ProxyShell trong Microsoft Exchange mà Sophos tin rằng một số nhà môi giới truy cập ban đầu (Initial Access Brokers - IABs) đã lợi dụng để xâm nhập vào hệ thống mạng, sau đó bán quyền truy cập cho những kẻ tấn công.
Hacker có thể trực chờ trong hệ thống tới 50 ngày trước khi hành động. (Ảnh minh họa)
“Thế giới tội phạm mạng đã trở nên vô cùng đa dạng và chuyên biệt. Những nhà môi giới truy cập ban đầu đã phát triển một ngành tiểu thủ công nghiệp tội phạm mạng bằng cách xâm nhập mục tiêu, thực hiện trinh sát thăm dò hoặc cài đặt cửa hậu (backdoor), sau đó bán quyền truy cập bằng chìa khóa trao tay cho các băng nhóm mã độc tống tiền để thực hiện các vụ tấn công”, ông John Shier - cố vấn bảo mật cấp cao tại Sophos cho biết.
“Trong bối cảnh các mối đe dọa mạng chuyên biệt ngày càng bùng nổ, các tổ chức khó có thể bắt kịp các công cụ và phương thức không ngừng thay đổi được những kẻ tấn công sử dụng. Điều quan trọng là đội bảo mật phải nắm bắt được những việc cần làm ở mỗi giai đoạn tấn công để có thể phát hiện và vô hiệu hóa các cuộc xâm nhập nhanh nhất có thể”, ông chia sẻ thêm.
Nghiên cứu của Sophos còn cho thấy, thời gian chờ của kẻ xâm nhập kéo dài hơn trong các hệ thống của tổ chức có quy mô nhỏ. Kẻ tấn công thường chờ khoảng 51 ngày trong các tổ chức với quy mô khoảng 250 nhân viên, trong khi đó chúng thường dành khoảng 20 ngày trước khi tấn công tổ chức với quy mô từ 3.000 đến 5.000 nhân viên.
Theo ông John Shier, những kẻ tấn công xem các tổ chức lớn có giá trị hơn nên chúng sẽ có động lực để tấn công, đạt được mục đích và rút lui. Với các tổ chức nhỏ có ít giá trị hơn, những kẻ tấn công có thể ẩn nấp trong hệ thống với thời gian lâu hơn. Đôi lúc, những kẻ tấn công có ít kinh nghiệm và cần nhiều thời gian hơn để tìm ra những việc cần làm khi chúng ở trong hệ thống.
Ngoài ra, theo báo cáo, năm 2020, những kẻ tấn công đã sử dụng giao thức máy tính từ xa để tấn công từ bên ngoài trong 32% số vụ tấn công được phân tích, nhưng con số này giảm xuống còn 13% trong năm 2021. Mặc dù là thay đổi cho thấy các tổ chức đã cải thiện việc quản lý bề mặt tấn công bên ngoài, những kẻ tấn công vẫn lợi dụng các giao thức máy tính từ xa để tấn công lây lan trong hệ thống.
Những tổ hợp công cụ phổ biến được sử dụng trong các vụ tấn công cung cấp một tín hiệu cảnh báo về hoạt động của kẻ xâm nhập. Ví dụ, các điều tra sự cố phát hiện năm 2021 với PowerShell và các tập lệnh độc hại không phải PowerShell xuất hiện cùng nhau trong 64% vụ tấn công; PowerShell kết hợp với Cobalt Strike xuất hiện trong 56% vụ tấn công; và PowerShell và PsExec được tìm thấy trong 51% vụ tấn công.
Về mã độc tống tiền, 50% các sự cố mã độc tống tiền liên quan đến việc đánh cắp dữ liệu đã được xác nhận, khoảng cách trung bình giữa đánh cắp dữ liệu và phát tán mã độc tống tiền là 4,28 ngày. 73% các sự cố mà Sophos xử lý trong năm 2021 liên quan đến mã độc tống tiền, trong đó 50% các sự cố này liên quan đến việc đánh cắp dữ liệu.
Có khoảng 41 nhóm mã độc tống tiền khác nhau được phát hiện trong 144 vụ tấn công. Trong đó, khoảng 28 nhóm mới lần đầu tiên được báo cáo trong năm 2021, và 18 nhóm mã độc tống tiền trong các vụ tấn công năm 2020 đã biến mất khỏi danh sách năm 2021. Conti là nhóm tội phạm mã độc tống tiền hoạt động mạnh nhất trong năm 2021, chiếm 18% tổng sự cố. Mã độc tống tiền REvil chiếm 1 trong 10 sự cố.
Nguồn: www.24h.com.vn