Thông tin bị đánh cắp liên quan đến thông tin tài khoản đăng nhập vào các hệ thống quan trọng như email, hệ thống quản lý tập trung, hệ thống truy cập nội bộ hoặc liên quan đến thông tin mua bán của khách hàng - theo báo cáo của công ty An ninh mạng Viettel.

Báo cáo "Tình hình nguy cơ mất an toàn thông tin tại Việt Nam 6 tháng đầu năm 2024" do Công ty An ninh mạng Viettel VCS, thuộc Tập đoàn Viettel, công bố cuối tháng Tám đã phơi bày một bức tranh đa dạng về nguy cơ mất an toàn thông tin đang gia tăng.

Dữ liệu của báo cáo được lấy từ các doanh nghiệp, tổ chức là khách hàng của VCS, và một số thông tin khác từ nhà cung cấp dịch vụ Internet cùng tập đoàn là Viettel Telecom.

So với cùng kỳ năm 2023, tội phạm mạng đang hoạt động tích cực hơn. Dữ liệu cá nhân bị đánh cắp đã tăng 50%, số lượng website giả mạo các thương hiệu uy tín cũng tăng bốn lần, và các chiến dịch tấn công tống tiền của hacker nhằm vào các doanh nghiệp, tổ chức lớn cũng gây ra hàng trăm tỷ đồng thiệt hại.

Các chuyên gia nhận định rằng, những mối đe dọa trên không gian mạng sẽ “ngày càng phức tạp và gia tăng”.

Dưới đây là năm nguy cơ chính được đề cập trong Báo cáo:

1. Tấn công đòi tiền chuộc

Theo VCS, sáu tháng đầu năm có 56 tổ chức đã bước đầu bị tấn công ransomware, trong đó bị tấn công nhiều nhất là các tổ chức tài chính (20%), dịch vụ công (7%), công nghệ (7%), bán lẻ (5%) sản xuất (5%) v.v

Số lượng dữ liệu bị tấn công mã hóa lên đến 3 Terabyte với tổng thiệt hại ước tính hơn 10 triệu USD (~250 tỷ đồng).

Điển hình có thể kể đến vụ tấn công của nhóm Lockbit vào công ty chứng khoán VNDIRECThồi tháng Ba năm nay, gây gián đoạn dịch vụ trong một thời gian dài.

Lockbit là nhóm mã độc có số lượng nạn nhân hàng đầu trên toàn thế giới trong vòng 2 năm trở lại đây. Kể từ tháng 9 năm 2023, mã độc Lockbit và các đại lý phân phối của nó yêu cầu mức tiền chuộc tối thiểu là 3% doanh thu công ty hàng năm và chỉ được giảm xuống thấp nhất là mức 1,5%.
Nguồn: Báo cáo Viettel Threat Intelligence/VCS
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

Bên cạnh mô hình Ransomware-as-a Service (RaaS), tức các nhóm đầu tư thời gian và tiền bạc để phát triển mã độc rồi cho hacker khác mua hoặc thuê lại mã độc để đi tống tiền và được chia một phần tiền chuộc thu được, Lockbit còn sử dụng mô hình tống tiền kép - nghĩa là họ không chỉ đơn thuần mã hóa dữ liệu và đòi tiền chuộc để giải mã, mà còn thực hiện thêm một bước nữa là đánh cắp dữ liệu và đe dọa sẽ công khai các dữ liệu đã đánh cắp nếu nạn nhân không trả tiền trong thời gian yêu cầu.

Điều này tạo ra một áp lực rất lớn buộc nạn nhân phải trả tiền chuộc. Và ngay cả khi nạn nhân trả tiền chuộc và lấy lại được khóa giải mã, dữ liệu đã bị đánh cắp vẫn có nguy cơ bị công khai.

Báo cáo của VCS cho biết kẻ tấn công đang leo thang, chúng có thể đi sâu trong hệ thống và thực hiện mã hóa bằng các phương thức như: lợi dụng lỗ hổng trong các ứng dụng công khai (email, website v.v), đánh cắp tài khoản đăng nhập vào hệ thống, lợi dụng các chính sách phân vùng, sao lưu dữ liệu không đảm bảo, …

Theo đánh giá của VCS, với xu hướng công cụ AI ngày càng phát triển, các cuộc tấn công mã độc nhằm kiếm tiền sẽ trở nên phổ biến và phức tạp hơn rất nhiều. Sẽ có nhiều con đường hơn để tấn công nhằm vào người dùng, gồm các mã độc không để lại dấu vết lưu trữ trên ổ đĩa nên khó phát hiện hơn; các cuộc tấn công nhằm vào các nhà cung cấp dịch vụ hoặc phần mềm liên quan đến chuỗi cung ứng; và tấn công bằng các công cụ hợp pháp sẵn có trên hệ thống mục tiêu để thực hiện hành vi độc hại mà không cần tải xuống thêm công cụ hay mã độc nào khác.

2. Tấn công DDOS

Hệ thống của VCS cho biết, trong nửa đầu năm 2024, họ đã ghi nhận gần 495.000 cuộc tấn công từ chối dịch vụ phân tán (DDoS), tăng 16% so với tổng số cuộc tấn công trong sáu tháng đầu năm 2023.
Nguồn: Báo cáo Viettel Threat Intelligence/VCS
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

Đặc biệt trong quý 1 đã xuất hiện một loạt cuộc tấn công vào các khách hàng thuộc lĩnh vực tài chính, và quý 2 có thêm các cuộc tấn công nhắm tới các khách hàng thuộc khối giáo dục, diễn ra với tần suất dày đặc, ngay trong thời điểm tuyển sinh quan trọng.

Ngoài ra, trong quý 1 đã xuất hiện cuộc tấn công lớn nhắm vào các khách hàng thuộc về lĩnh vực dịch vụ giải trí điện tử, bao gồm cá nhân và doanh nghiệp. Các công ty, tập đoàn thuộc về các lĩnh vực như công nghệ thông tin và cơ quan chức năng vẫn là những đối tượng thường xuyên bị nhắm tới.

Nguồn: Báo cáo Viettel Threat Intelligence/VCS
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

VCS cho biết, nguyên nhân dẫn tới số lượng tấn công tăng cao hơn so với cùng kỳ năm 2023 là do sự thay đổi về hình thức tấn công.

Nếu như trước đây, các cuộc tấn công DDoS là các cuộc tấn công với cường độ rất lớn (lên tới hàng trăm Gbps), tấn công với tần suất không quá nhiều vào một IP thì giờ đây cuộc chơi về DDoS đã thay đổi. Hacker sử dụng chiến thuật “ném bom rải thảm”, tức tổ chức rất nhiều cuộc tấn công với cường độ trung bình và nhỏ (khoảng 1-5 Gbps) tới toàn bộ các IP trong dải IP của nạn nhân tại cùng một thời điểm.

Mục đích của kiểu tấn công này là để vượt qua các cơ chế bảo vệ tấn công theo ngưỡng (threshold based), đồng thời vẫn có khả năng gây nghẽn đường truyền bởi tổng dung lượng các cuộc tấn công nhỏ lẻ vào mỗi IP vẫn có thể lên tới hàng chục, hàng trăm Gbps.

3. Lỗ hổng bảo mật

Trong nửa đầu năm 2024, số lượng lỗ hổng ghi nhận mới trên thế giới đã tăng 42% so với cùng kỳ năm 2023, đạt hơn 17,600 lỗ hổng. Trong đó, số lượng lỗ hổng ở mức Cao và Nghiêm Trọng (theo điểm CVSS) chiếm hơn một nửa.

Qua quá trình đánh giá và phân tích, VCS nói rằng có 71 lỗ hổng có nguy cơ ảnh hưởng lớn tới các tổ chức, doanh nghiệp tại Việt Nam.

Nguồn: Báo cáo Viettel Threat Intelligence/VCS
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

Trong báo cáo của mình, công ty đã nêu rõ 10 lỗ hổng nghiêm trọng nhất (CVE-2024 21887 & CVE-2023 46805, CVE-2024 3400 ...) và năm lỗ hổng thường xuyên được khai thác nhất trong các cuộc tấn công thực tế (CVE-2022 39952, CVE-2022 26134, CVE-2021 44228 ...)

Đây đều là các lỗ hổng trên các sản phẩm phổ biến được sử dụng trong môi trường doanh nghiệp và là các lỗ hổng cho phép kẻ tấn công có thể thực thi mã từ xa sau khi khai thác mà không cần xác thực, kịch bản khai thác đơn giản. Các nhóm tấn công lợi dụng các lỗ hổng này nhằm mục đích làm bàn đạp ban đầu để truy cập hệ thống từ đó thực thi các hành vi độc hại tiếp theo.

Một số ngành dễ bị khai thác các lỗ hổng trên là ngân hàng, tài chính và năng lượng.

4. Lừa đảo, gian lận tài chính

Theo thống kê, trong sáu tháng đầu năm 2024 đã ghi nhận 2.364 tên miền lừa đảo nhằm vào người dùng, khách hàng của các tổ chức lớn tại Việt Nam, tăng 1,2 lần so với cùng kỳ năm 2023.

Ngoài ra, có khoảng 496 trang giả mạo, sử dụng trái phép thương hiệu của các tổ chức lớn tại Việt Nam, tăng bốn lần so với cùng kỳ năm 2023.

VCS cho biết, các nhóm tội phạm áp dụng công nghệ AI (sử dụng AI tạo kịch bản lừa đảo, sử dụng DeepFake/DeepVoice,…) trong các chiến dịch lừa đảo. Một số hình thức lừa đảo phổ biến được các nhóm tội phạm mạng sử dụng trong các chiến dịch tấn công bao gồm:

• Lừa đảo, giả mạo các dịch vụ liên quan đến thẻ tín dụng.

• Lừa đảo, giả mạo cơ quan chức năng để cài đặt ứng dụng Android độc hại trên các thiết bị di động.

• Lừa đảo hỗ trợ thu hồi vốn, thu hồi tiền bị treo.

Nguồn: Báo cáo Viettel Threat Intelligence/VCS
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

Tài chính - ngân hàng vẫn là nhóm đối tượng hàng đầu của các cuộc tấn công lừa đảo, giả mạo, chiếm tới 71% tổng số các cuộc tấn công. Theo sau là các cuộc tấn công lừa đảo liên quan đến cơ quan chức năng (13%), Bán lẻ và thương mại điện tử (10%), lĩnh vực khác (6%).

Dự báo trong nửa cuối năm 2024, các chiến dịch tấn công lừa đảo, giả mạo sử dụng thương hiệu các tổ chức lớn tại Việt Nam vẫn sẽ tiếp tục gia tăng. Đặc biệt là hình thức lừa đảo mạo danh cơ quan chức năng để cài đặt ứng dụng độc hại trên thiết bị di động.

Với việc Apple cho phép người dùng tại một số khu vực có thể tải ứng dụng bên ngoài App Store, có thể sẽ xuất hiện các ứng dụng giả mạo độc hại trên hệ điều hành IOS.

5. Lộ lọt, rò rỉ dữ liệu

Trong nửa đầu năm 2024, VCS ghi nhận số lượng thông tin tài khoản bị lộ lọt tăng 1,5 lần so với cùng kì năm 2023. Sự phát triển của các nhóm tấn công đánh cắp mã độc, cũng như mô hình Stealer-as-a-Service dẫn tới sự gia tăng mạnh mẽ số lượng tài khoản lộ lọt dữ liệu.

Có ba dạng lộ lọt dữ liệu thường gặp, bao gồm:

Thông tin cá nhân bị đánh cắp: Trong sáu tháng đầu năm, hơn 61.8 triệu tài khoản đăng nhập đã bị đánh cắp thông tin, tăng 50% so với cùng kỳ năm 2023. Đó là các bản ghi thông tin tài khoản đăng nhập vào các hệ thống quan trọng và nhạy cảm như hệ thống Email, hệ thống quản lý tập trung SSO hoặc hệ thống VPN dùng để truy cập nội bộ. Điều này dẫn tới nguy cơ hệ thống doanh nghiệp sẽ bị ảnh hưởng lớn nếu các thông tin này rơi vào tay kẻ xấu với mục đích phá hoại, đánh cắp thông tin.

Đáng chú ý, phần lớn bản ghi thông tin cá nhân bị đánh cắp từ các khu vực như mạng xã hội (2,5 triệu tài khoản) và chính phủ (2,1 triệu tài khoản). Các khu vực khác như tài chính, y tế, giáo dục, năng lượng cũng để lộ lọt hàng chục nghìn đến hàng trăm nghìn tài khoản.

s
Nguồn: Báo cáo Viettel Threat Intelligence/VCS

Dữ liệu nhạy cảm bị lộ, rao bán: Sáu tháng đầu năm ghi nhận sự bùng nổ của việc rao bán thông tin người dùng, dữ liệu hệ thống cùng nhiều dữ liệu nhạy cảm của các doanh nghiệp lớn tại Việt Nam. Đã có 46 vụ lộ lọt dữ liệu với khoảng 13 triệu bản ghi dữ liệu khách hàng; 12,3 GB mã nguồn; 16 B dữ liệu.

Trong đó, số vụ lộ nhiều nhất và số lượng bản ghi mất nhiều nhất thuộc về lĩnh vực bán lẻ (24 vụ, lộ 9,2 triệu bản ghi liên quan đến thông tin khách hàng và thông tin mua bán của khách hàng). Theo sau là ngành công nghệ (ba vụ) và vận tải (hai vụ), mỗi ngành để lộ khoản 1,4 - 1,5 triệu bản ghi liên quan đến mã nguồn hệ thống và dữ liệu khách hàng. Các ngành như giáo dục, tài chính cũng để lộ hàng trăm nghìn bản ghi liên quan đến thông tin cá nhân/eKYC và dữ liệu trích xuất từ hệ thống nội bộ.

Lộ lọt dữ liệu do vô tình tải lên các nền tảng công khai: Các nhà phát triển phần mềm thường chia sẻ mã nguồn của dự án lên các nền tảng công cộng như Github hoặc Postman để dễ dàng quản lý và kiểm thử. Tuy nhiên, trong mã nguồn dự án này có thể chứa các trường thông tin nhạy cảm được chỉ định cho biến chính, không thể thay đổi (hardcoded) như địa chỉ IP nội bộ, thông tin đăng nhập hoặc các mã bí mật. Điều này dẫn tới việc tin tặc có thể đọc hiểu mã nguồn nội bộ, từ đó thực hiện khai thác và tấn công khi phát hiện lỗ hổng (nếu có) hoặc lấy mã nguồn và xây dựng trang web lừa đảo.

Trong sáu tháng đầu năm, VCS đã phát hiện nhiều trường hợp lộ lọt dữ liệu, trong đó có bảy trường hợp mức độ cao liên quan tới các lĩnh vực ngân hàng và công nghệ.