Tội phạm mạng lợi dụng đại dịch và vắc-xin để tấn công ngân hàng, sàn giao dịch tiền điện tử tại Đông Nam Á
Điểm chung của COVID, Mã code, và Tiền mặt là gì? Chính là Tội phạm mạng.
Chia sẻ tại một buổi hội nghị trực tuyến, công ty an ninh mạng toàn cầu Kaspersky đã chỉ ra những mối đe dọa mạng mới nhất mà ngành dịch vụ tài chính và ngân hàng cần đề phòng, vì đại dịch vẫn còn tiếp tục ở Đông Nam Á.
Chuyên gia an ninh mạng của Kaspersky đã lưu ý những xu hướng tấn công an ninh mạng nổi bật năm 2020 và dự báo tiếp tục diễn ra vào năm 2021, bao gồm việc lợi dụng chủ đề COVID-19, khai thác những nghiên cứu liên quan đến đại dịch, cũng như lừa đảo và đưa thông tin sai lệch về vi-rút và vắc-xin.
Ông Park, Nhà nghiên cứu bảo mật cấp cao thuộc Nhóm nghiên cứu và phân tích toàn cầu (GReAT) tại Kaspersky cho biết: “Tội phạm mạng sẽ tiếp tục sử dụng những chủ đề liên quan đến đại dịch để đánh lừa người dùng. Ngay cả khi vắc-xin đã được phân phối đến nhiều quốc gia thì vẫn chưa thể chắc chắn tình hình này không tiếp diễn. Các quốc gia vẫn tiếp tục thực hiện giãn cách, duy trì hình thức học tập và làm việc trực tuyến, cũng như đẩy mạnh thanh toán số. Điều này đồng nghĩa với việc cơ sở hạ tầng Công nghệ Thông tin ngày càng mở rộng, dễ để lộ những lỗ hổng, tạo điều kiện để các mối đe dọa nhắm vào trên diện rộng, không chỉ hệ điều hành Windows và các thiết bị kết nối internet mà còn thực hiện tấn công đa nền tảng và chuỗi cung ứng.”
Tính đến năm 2020, chỉ riêng tại Đông Nam Á đã có hơn 80.000 kết nối miền và trang web độc hại liên quan đến chủ đề COVID. Malaysia là quốc gia có số lượng cao nhất, tiếp theo là Việt Nam, Philippines và Indonesia.
Xu hướng này được dự đoán sẽ tiếp tục cho đến năm 2021, khi khu vực này vẫn trong “cuộc chiến” chống lại đại dịch và triển khai tiêm vắc-xin theo những giai đoạn khác nhau.
Các nhóm tội phạm mạng nhắm vào ngân hàng, sàn giao dịch tiền điện tử ở Đông Nam Á
Ngân hàng vẫn là mục tiêu hấp dẫn của tội phạm mạng. Dữ liệu từ GreAT của Kaspersky cho thấy ngân hàng và tài chính là những lĩnh vực được nhắm mục tiêu nhiều thứ hai và thứ ba toàn cầu vào năm 2020.
Bối cảnh tấn công có chủ đích năm 2020 theo Nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky
Một trong những chiến dịch tấn công ngân hàng đáng chú ý tại Đông Nam Á liên quan đến mã độc JsOutProx. Mặc dù mã độc này không quá phức tạp, nhưng các chuyên gia của Kaspersky lưu ý rằng JsOutProx vẫn tiếp tục cố gắng xâm nhập vào các ngân hàng trong khu vực.
Tội phạm mạng đứng sau phần mềm độc hại theo mô-đun này khai thác tên tệp gắn với những doanh nghiệp liên quan đến ngân hàng và sử dụng những tệp script bị xáo trộn – một chiến thuật chống xâm nhập. Thủ pháp tấn công phi kỹ thuật này đặc biệt sử dụng để tấn công nhân viên ngân hàng khi kết nối vào hệ thống mạng của tổ chức.
Ông Park chia sẻ: “Một khi xâm nhập, JSOutProx có thể tải nhiều plugin hơn để thực hiện những hành vi độc hại nhắm vào nạn nhân như truy cập từ xa, xuất dữ liệu, tiếp quản máy chủ chỉ huy và kiểm soát (C2),…”
Mục tiêu hấp dẫn khác của tội phạm mạng là lĩnh vực kinh doanh tiền điện tử mới nổi tại Đông Nam Á. Khi giá trị của tiền điện tử tăng vọt, nhiều nhóm tin tặc cũng đang tiến hành những cuộc tấn công mạng nhắm vào lĩnh vực này.
Nhà nghiên cứu của Kaspersky gần đây đã xác định rằng một trong những sàn giao dịch tiền điện tử trong khu vực đã bị tấn công. Kết quả của cuộc điều tra xác nhận Lazarus là nhóm tin tặc đứng sau vụ tấn công được phát hiện ở Singapore này.
Một chiến dịch tấn công khác liên quan đến tiền điện tử là chiến dịch SnatchCrypto, được thực hiện bởi nhóm hacker APT BlueNoroff. Băng nhóm này thuộc Lazarus, chuyên tấn công ngân hàng. BlueNoroff cũng được cho là có liên quan đến vụ trộm Ngân hàng Trung ương Bangladesh trị giá 81 triệu USD.
Kaspersky đã theo dõi hoạt động của SnatchCrypto từ cuối năm 2019 và phát hiện ra kẻ đứng sau chiến dịch này đang tiếp tục hoạt động với chiến lược tương tự.
Về những yếu tố quyết định đến sự gia tăng của những mối đe dọa mạng trong lĩnh vực này, ông Yeo Siang Tiong, Tổng giám đốc Kaspersky khu vực Đông Nam Á cho biết: “Tiền điện tử đang dần được đón nhận ở Đông Nam Á, do đó, rất dễ hiểu khi tội phạm mạng để mắt đến lĩnh vực này. Sự tăng trưởng của tiền điện tử là một phần của quá trình chuyển đổi số trong khu vực, bên cạnh việc tăng cường phát triển thương mại điện tử và thanh toán số.”
“Khi mọi người tiếp tục lưu giữ tiền trực tuyến, chúng tôi cũng đã phát hiện những vụ vi phạm dữ liệu lớn và các cuộc tấn công ransomware diễn ra vào năm ngoái. Đây là sự cảnh báo đối với các tổ chức tài chính và nhà cung cấp dịch vụ thanh toán. Các nhà cung cấp dịch vụ tài chính và ngân hàng cần sớm nhận ra giá trị của việc phòng thủ chủ động dựa trên thông tin tình báo mối đe dọa an ninh mạng để đối phó với những cuộc tấn công tốn kém này.”, ông Yeo chia sẻ.
Một nhóm tội phạm mạng khác được đề cập trong hội nghị là Kimsuky. Kaspersky lần đầu tiên báo cáo về Kimsuky vào năm 2013. Kể từ đó, Kimsuky đã phát triển về mặt chiến thuật, kỹ thuật và đối tượng. Ban đầu, nhóm nhắm mục tiêu vào các nhóm nghiên cứu chính sách (think tank) ở Hàn Quốc, đặc biệt là cho hoạt động gián điệp mạng. Tuy nhiên, kết quả đo từ xa gần đây của chúng tôi cho thấy nhóm hacker đa năng và nhanh nhẹn này hiện có động lực tài chính rất mạnh mẽ.
Ông Park giải thích: “Chúng tôi đã theo dõi hoạt động mạnh mẽ của Kimsuky ở Hàn Quốc. Nghiên cứu của chúng tôi cho thấy nhóm này sử dụng hai kỹ thuật tấn công – tấn công giả mạo và tấn công chuỗi cung ứng. Dù bằng phương thức nào, chúng cũng nhắm mục tiêu vào các nhà đầu tư tiền điện tử để lấy dữ liệu và quyền truy cập từ xa. Với động lực tài chính mạnh mẽ, rất có thể các cuộc tấn công của Kimsuky có thể vượt ra ngoài lãnh thổ Hàn Quốc, đặc biệt là hướng đến các khu vực lân cận như Đông Nam Á.”
Để cải thiện khả năng phòng thủ không gian mạng của các ngân hàng và tổ chức tài chính, chuyên gia tại Kaspersky đề xuất:
• Tích hợp Tình báo Mối đe dọa an ninh mạng vào SIEM và các biện pháp kiểm soát bảo mật của tổ chức để có dữ liệu về mối đe dọa mới nhất và liên quan nhất.
• Thường xuyên tổ chức những buổi đào tạo bảo mật được cá nhân hóa cho nhân viên như Kaspersky Adaptive Online Training (KAOT) – công cụ sử dụng phương pháp tiếp cận dựa trên nhận thức, khả năng và nhu cầu của mỗi người học.
• Sử dụng phần mềm giám sát lưu lượng – như Kaspersky Anti Targeted Attack Platform (KATA)
• Cài đặt các bản cập nhật và bản vá mới nhất cho tất cả phần mềm đang sử dụng
• Không cài đặt những chương trình từ các nguồn không xác định
• Thực hiện đánh giá bảo mật thường xuyên đối với cơ sở hạ tầng Công nghệ Thông tin của tổ chức
• Để phát hiện, điều tra và khắc phục sự cố kịp thời cho thiết bị điểm cuối, hãy sử dụng các giải pháp EDR như Kaspersky Endpoint Detection and Response, có thể phát hiện cả phần mềm độc hại tấn công ngân hàng chưa xác định.