Khi các tác nhân đe dọa liên tục điều chỉnh TTP của họ trong bối cảnh đe dọa ngày nay, bạn cũng phải như vậy
Đầu năm nay, các nhà nghiên cứu mối đe dọa tại Cybersixgill đã công bố báo cáo thường niên, Tình trạng tội phạm mạng ngầm. Nghiên cứu bắt nguồn từ quá trình phân tích các mục thông tin tình báo được Cybersixgill thu thập trong suốt năm 2022, được thu thập từ trang web sâu, tối và rõ ràng. Báo cáo xem xét sự phát triển liên tục của các chiến thuật, công cụ và thủ tục (TTP) của các tác nhân đe dọa trong Thời đại Kỹ thuật số – và cách các tổ chức có thể thích ứng để giảm thiểu rủi ro và duy trì khả năng phục hồi kinh doanh.
Bài viết này tóm tắt một số phát hiện của báo cáo, bao gồm các xu hướng gian lận thẻ tín dụng, quan sát về tiền điện tử, sự phát triển của AI và cách chúng hạ thấp rào cản xâm nhập của tội phạm mạng và sự gia tăng của các hoạt động “dưới dạng dịch vụ” của tội phạm mạng. Bên dưới, tôi cũng thảo luận về sự cần thiết của một phương pháp bảo mật mới, kết hợp quản lý bề mặt tấn công (ASM) và thông tin tình báo về mối đe dọa mạng (CTI) để chống lại các phương pháp luôn thay đổi của các tác nhân đe dọa. Báo cáo đầy đủ của Cybersixgill có tại đây.
1 — Gian lận thẻ tín dụng (hầu hết) đang giảm
Gian lận thẻ tín dụng là một mối đe dọa phổ biến và thường xuyên được sử dụng bởi tội phạm mạng ngầm trong nhiều năm. Nhưng một số phát triển gần đây đang làm chậm làn sóng và giảm đáng kể các sự cố gian lận thẻ tín dụng. Gần đây hơn, chúng tôi đã chứng kiến sự sụt giảm đáng kể về số lượng thẻ tín dụng bị xâm nhập để bán trên các thị trường ngầm bất hợp pháp. Ví dụ: vào năm 2019, thị trường dark web đã liệt kê khoảng 140 triệu thẻ bị xâm nhập để bán. Con số này giảm xuống còn khoảng 102 triệu vào năm 2020 và lại giảm mạnh thêm 60% xuống còn gần 42 triệu thẻ vào năm 2021. Cuối cùng, vào năm 2022, tổng số này lại giảm xuống chỉ còn 9 triệu thẻ. Sự sụt giảm đáng kể trong gian lận thẻ tín dụng chủ yếu là do:
Các cải tiến trong xác thực và ngăn chặn gian lận – Các ngân hàng và tổ chức tài chính đang sử dụng các phương pháp xác thực nâng cao và “không cần mật khẩu” khiến thẻ khó bị xâm phạm hơn, chẳng hạn như xác thực sinh trắc học (ví dụ: nhận dạng vân tay và khuôn mặt), cũng như mã PIN, chip EMV, và xác thực đa yếu tố (MFA) . Khi một giao dịch được gắn cờ là đáng ngờ, tổ chức phát hành có thể yêu cầu các loại xác minh bổ sung, chẳng hạn như đặt câu hỏi bảo mật hoặc gửi xác minh qua SMS, khiến những kẻ lừa đảo khó sử dụng thẻ bị đánh cắp hơn. Cải thiện bảo mật thương mại điện tử – Kể từ năm 2021, các trang web thương mại điện tử đã sử dụng các biện pháp bảo mật mạnh mẽ hơn, chẳng hạn như xác thực hai yếu tố (2FA), hệ thống xác minh địa chỉ và hệ thống thanh toán an toàn tuân thủ PCI DSS, khiến mối đe dọa tội phạm mạng khó khăn hơn diễn viên để đánh cắp dữ liệu thẻ tín dụng từ người tiêu dùng.
2 — Tiền điện tử: một công cụ và một mục tiêu
Một đặc điểm nổi bật của tiền điện tử là nó được phân cấp, cho phép người dùng ẩn danh và riêng tư. Do đó, không có gì ngạc nhiên khi tiền điện tử là phương thức thanh toán được lựa chọn cho tội phạm mạng để mua hàng hóa và dịch vụ bất hợp pháp, rửa tiền thu được từ các cuộc tấn công mạng và nhận thanh toán ransomware. Vì tiền điện tử đã được áp dụng rộng rãi hơn cho các mục đích hợp pháp, nên nó cũng trở thành mục tiêu của các tác nhân đe dọa, mang đến những cơ hội mới cho việc “đánh cắp tiền điện tử”, tiếp quản ví kỹ thuật số, khai thác tiền điện tử và bòn rút tài sản kỹ thuật số từ các sàn giao dịch tiền điện tử.
Ngay cả với hậu quả từ sự cố tiền điện tử năm 2022, giá trị của tiền điện tử đối với tội phạm mạng chỉ tăng lên. Như đã tiết lộ trong báo cáo của chúng tôi, chúng tôi đã chứng kiến sự gia tăng 79% trong các cuộc tấn công chiếm đoạt tài khoản tiền điện tử vào năm 2022. (Cuối cùng, tội phạm mạng sử dụng tiền điện tử để chuyển tiền chứ không phải để kiếm tiền. Trong khi các giao dịch ngầm được thực hiện bằng tiền điện tử, giá cả được liệt kê theo giá trị đồng đô la .) Tuy nhiên, các tác nhân đe dọa cuối cùng có thể từ bỏ tiền điện tử nếu các nhà đầu tư tiếp tục rút tiền do sự biến động của thị trường, vì ít người dùng tiền điện tử hơn giúp cơ quan thực thi pháp luật dễ dàng theo dõi các giao dịch bất hợp pháp và các nhà lập pháp thực thi quy định chặt chẽ hơn. Chúng tôi đang tiếp tục theo dõi không gian này để xem nó phát triển như thế nào.
3 — Dân chủ hóa AI
Trong vòng chưa đầy một năm kể từ lần đầu tiên nó xuất hiện, tội phạm mạng tiếp tục thể hiện sự nhiệt tình đối với ChatGPT – cũng như các công cụ AI mới được phát hành khác – và hứa hẹn của nó như một hệ số nhân lực đối với tội phạm mạng. Với khả năng mô phỏng ngôn ngữ con người cho kỹ thuật xã hội và thậm chí tự động hóa quá trình phát triển mã phần mềm độc hại, với lời nhắc và hướng dẫn phù hợp, các tác nhân đe dọa có thể hợp lý hóa toàn bộ chuỗi tấn công. ChatGPT cho phép tội phạm mạng mới làm quen và kém tinh vi thực hiện các hành vi nguy hiểm nhanh hơn, tương đối dễ dàng. Như đã thảo luận trong báo cáo của chúng tôi, công nghệ AI đang giúp tội phạm mạng dễ tiếp cận hơn và hạ thấp rào cản xâm nhập bằng cách cho phép các tác nhân đe dọa nhanh chóng viết mã độc hại và thực hiện các hoạt động chuẩn bị “tiền chuộc” khác.
4 — Thương mại hóa tội phạm mạng với các ưu đãi dưới dạng dịch vụ
Mô hình kinh doanh dưới dạng dịch vụ đang gia tăng nhờ khả năng giúp tội phạm mạng thương mại hóa chuyên môn và quy mô hoạt động của chúng. Bằng cách mua các dịch vụ, cơ sở hạ tầng hoặc công cụ tinh vi của tin tặc, các tác nhân đe dọa có thể thuê ngoài nền tảng cần thiết để khởi động một cuộc tấn công mạng với nỗ lực tối thiểu. Đặc biệt đáng lo ngại là sự gia tăng liên tục của Ransomware-as-a-Service (RaaS). Mô hình kinh doanh RaaS hoạt động giống như một doanh nghiệp hiện đại, theo đó các nhà phát triển và điều hành ransomware cho thuê công nghệ và cơ sở hạ tầng ransomware của họ cho một mạng lưới các ‘chi nhánh' có kỹ năng kém hơn để phân phối để đổi lấy một phần lợi nhuận tống tiền, từ đó mở rộng quy mô hoạt động của họ. Việc cung cấp dưới dạng dịch vụ này giúp cho hoạt động kinh doanh tống tiền có thể tiếp cận và mang lại lợi nhuận cho nhóm tội phạm mạng lớn hơn – thúc đẩy sự gia tăng nhanh chóng các cuộc tấn công bằng mã độc tống tiền hàng năm.
ASM và CTI: Vũ khí mạng mạnh mẽ chống lại tội phạm mạng ngầm
Mọi tài sản được kết nối trong bề mặt tấn công rộng lớn của tổ chức đều tạo ra cho tội phạm mạng một điểm xâm nhập tiềm năng để tấn công. Ngày nay, việc bảo vệ bề mặt tấn công của tổ chức đang mở rộng chỉ bằng thông tin tình báo về mối đe dọa mạng để đánh giá mức độ phơi nhiễm là một nhiệm vụ gần như bất khả thi. Bề mặt tấn công hiện đại ngày càng ở bên ngoài, mở rộng ra ngoài chu vi mạng đã biết để bao gồm một hệ sinh thái rộng lớn gồm các tài sản không xác định từ tài nguyên dựa trên đám mây, IP được kết nối, ứng dụng SaaS và chuỗi cung ứng của bên thứ ba. Do đó, hầu hết các tổ chức đều gặp phải những điểm mù lớn trong môi trường CNTT hoàn toàn tiếp xúc với kẻ tấn công, trong khi phải vật lộn với số lượng quá lớn dữ liệu tình báo về mối đe dọa mạng. Để bảo vệ hiệu quả trước các mối đe dọa trên mạng, các nhóm bảo mật cần có khả năng hiển thị đầy đủ về bề mặt tấn công độc đáo của họ và thông tin chi tiết theo thời gian thực về mức độ nguy hiểm của họ.
Được nhúng với giải pháp Trí tuệ Đe dọa Mạng (CTI) bản địa và dẫn đầu thị trường của chúng tôi, giải pháp Quản lý Bề mặt Tấn công (ASM) của Cybersixgill giúp loại bỏ các điểm mù về khả năng hiển thị bằng cách tự động phát hiện những điều không thể nhìn thấy. Với giải pháp kết hợp này, chúng tôi liên tục khám phá, lập bản đồ, xác định phạm vi và phân loại các tài sản mạng không xác định có thể khiến tổ chức của bạn gặp rủi ro, giám sát kho tài sản hoàn chỉnh của bạn trong thời gian thực trên web sâu, tối và rõ ràng. Việc tích hợp ASM tinh chỉnh thông tin tình báo về mối đe dọa hàng đầu thị trường của chúng tôi để tập trung vào bề mặt tấn công cụ thể của từng tổ chức, đưa ra những cảnh báo sớm nhất có thể về các mối đe dọa mới nổi nhắm vào doanh nghiệp của họ. Với khả năng hiển thị đầy đủ về mức độ tiếp xúc với mối đe dọa của tổ chức, các nhóm bảo mật có thể tự tin ưu tiên các nỗ lực và nguồn lực của họ ở những nơi cần thiết nhất, giúp tăng tốc đáng kể Thời gian trung bình để khắc phục (MTTR).
Với bối cảnh mối đe dọa ngày càng mở rộng của Thời đại kỹ thuật số, khả năng xác định các rủi ro ưu tiên cao nhất mà tổ chức của họ phải đối mặt và tập trung nỗ lực của họ theo đó mang lại lợi ích to lớn cho các nhóm bảo mật bị hạn chế về tài nguyên.
Để biết thêm thông tin, vui lòng tải xuống Tình trạng tội phạm mạng ngầm.
Để lên lịch trình demo, hãy truy cập https://cybersixgill.com/book-a-demo.
Lưu ý: Bài viết này được viết và đóng góp một cách chuyên nghiệp bởi Delilah Schwartz, Nhà chiến lược bảo mật tại Cybersixgill.
