Phương thức và mục tiêu của các cuộc tấn công vào dịch vụ tài chính đã thay đổi

Nhìn ra thế giới - Ngày đăng : 09:02, 08/12/2022

(thitruongtaichinhtiente.vn) - Báo cáo về các nguy cơ an ninh mạng đối với ngân hàng - Modern Bank Heists do VMWare thực hiện hàng năm từ kết quả khảo sát các giám đốc an ninh và các nhà lãnh đạo an ninh trên khắp thế giới, phiên bản 5.0 mới công bố vừa qua cho thấy, đã có những thay đổi về cả phương thức và mục tiêu của các cuộc tấn công và các ngân hàng cần chuẩn bị để đối phó với những điều đó.

Các cuộc tấn công phá hủy

Sự leo thang nguy hiểm nhất của những vụ cướp ngân hàng hiện đại là các cuộc tấn công phá hoại. Các cuộc tấn công phá hủy được thực hiện ngay từ đầu để phá hủy dữ liệu và phá hủy các mạng con. 63% các tổ chức tài chính đã trải qua sự gia tăng các cuộc tấn công phá hoại, tăng 17% so với năm ngoái. Cần lưu ý rằng tội phạm mạng trong lĩnh vực tài chính thường sẽ tận dụng các cuộc tấn công phá hoại như một sự leo thang để phá hủy bằng chứng như một phần của phản ứng chống lại các biện pháp điều tra. Các biến thể của phần mềm độc hại phá hoại tìm cách phá hủy, làm gián đoạn hoặc làm suy giảm hệ thống của nạn nhân bằng cách thực hiện các hành động như mã hóa tệp, xóa dữ liệu, phá hủy ổ cứng, chấm dứt kết nối hoặc thực thi mã độc. Theo MITER (tổ chức phi lợi nhuận quản lý các trung tâm nghiên cứu và phát triển do liên bang tài trợ hỗ trợ các cơ quan chính phủ Hoa Kỳ trong nhiều lĩnh vực như hàng không, quốc phòng, chăm sóc sức khỏe, an ninh nội địa và an ninh mạng, …), “Kẻ thù có thể phá hủy dữ liệu và tệp trên các hệ thống cụ thể hoặc với số lượng lớn trên mạng để làm gián đoạn tính khả dụng của hệ thống, dịch vụ và mạng tài nguyên. Việc phá hủy dữ liệu có khả năng khiến cho dữ liệu đã lưu trữ không thể phục hồi bằng các kỹ thuật điều tra bằng việc ghi đè lên các tệp hoặc dữ liệu trên các ổ đĩa cục bộ và từ xa”. Nó có thể có tính năng giống như sâu máy tính để lan truyền trên mạng bằng cách tận dụng các kỹ thuật bổ sung như Tài khoản hợp lệ, đổ (và giải mã) thông tin xác thực và Windows Admin Shares (Chia sẻ của Quản trị viên Windows). Các kỹ thuật phá hủy khiến cho những người bảo vệ khó khăn hơn trong việc phản ứng với sự cố đồng thời phải cố gắng tăng cường tìm kiếm mối đe dọa nhiều hơn.

Thao túng thị trường bằng công nghệ hiện đại

Mặc dù 71% tổ chức tài chính được khảo sát ghi nhận sự gia tăng gian lận chuyển khoản ngân hàng trong năm 2021, nhưng báo cáo của VMWare (Công ty phần mềm và điện toán đám mây của Mỹ) cho thấy rằng các băng nhóm tội phạm mạng đã nhận ra rằng tài sản quan trọng nhất của một tổ chức tài chính không phải là tài khoản ngân hàng hoặc khả năng tiếp cận vốn; mà thực ra đó là thông tin thị trường không công khai. Điều này bao gồm thông tin hoặc chiến lược của công ty có thể ảnh hưởng đến giá cổ phiếu của một công ty ngay khi được công khai, chẳng hạn như ước tính thu nhập, chào bán ra công chúng và các giao dịch quan trọng. Hai trong số ba (66%) tổ chức tài chính đã trải qua các cuộc tấn công nhắm vào các chiến lược thị trường. Mối đe dọa này phù hợp với hoạt động gián điệp kinh tế và có thể được sử dụng để số hóa giao dịch nội gián và “chạy trước” thị trường. “Chạy trước” là hoạt động bất hợp pháp trong việc mua chứng khoán dựa trên thông tin không công khai trước một giao dịch lớn dự kiến sẽ xảy ra. Trong số các nhà lãnh đạo tài chính được khảo sát, 25% cho biết dữ liệu thị trường là mục tiêu chính cho các cuộc tấn công của tội phạm mạng.

Ngoài việc nhắm vào các chiến lược thị trường, tội phạm mạng cũng đặt mục tiêu chiếm đoạt các tài khoản môi giới. Việc tiếp cận các tài khoản môi giới và thông tin tình báo mà chúng chứa đựng có thể cải thiện đáng kể độ chính xác của cá cược tài chính hoặc cho phép những kẻ xấu mua hoặc bán chứng khoán với giá tốt hơn.

63% các tổ chức tài chính đã trải qua sự gia tăng hoạt động chiếm đoạt tài khoản môi giới, tăng từ 41% vào năm ngoái. Theo chi tiết của Cơ quan quản lý ngành tài chính (FINRA), những kẻ xấu “có thể truy cập vào tài khoản môi giới của khách hàng bằng cách sử dụng thông tin hoặc hồ sơ khách hàng bị xâm phạm, chẳng hạn như thông tin đăng nhập của khách hàng”. Với việc các tổ chức đang nhanh chóng triển khai phân đoạn mạng, những kẻ tấn công đã xoay trục để tận dụng các thông tin xác thực hợp lệ để có được quyền truy cập đáng tin cậy và di chuyển tự do trong toàn bộ mạng.

Trong một lĩnh vực hoàn toàn phụ thuộc vào độ chính xác của đồng hồ, cần phải chú ý nhiều hơn đến việc đảm bảo tính toàn vẹn của thời gian. 67% các tổ chức tài chính đã quan sát thấy việc thao túng tem thời gian, một cuộc tấn công được gọi là Chronos, được đặt theo tên của vị thần thời gian trong thần thoại Hy Lạp. Đáng chú ý, 44% các cuộc tấn công Chronos được ghi nhận trong báo cáo của VMWare nhắm mục tiêu vào các vị thế thị trường. Thời gian là một yếu tố cơ bản trong tài chính, và các cuộc tấn công của Chronos đang phát triển mạnh mẽ. Bảo vệ sự toàn vẹn của thời gian là điều tối quan trọng trong năm 2022 và những năm tiếp theo.

Ransomware và sự trỗi dậy của “ngựa thành Troa” cung cấp khả năng truy cập từ xa (RAT)

Phần lớn công chúng đã hiểu rõ những điều cơ bản của một cuộc tấn công ransomware, sau các cuộc tấn công như cuộc tấn công vào Colonial Pipeline gây ra tình trạng thiếu khí đốt ở Bờ Đông Hoa Kỳ vào tháng 5/2021. Những kẻ tấn công có thể chọn một trong các bộ công cụ ransomware có sẵn từ những hệ sinh thái được tài trợ tốt, sử dụng nó để xâm nhập mạng, mã hóa các tệp nhạy cảm trong mạng và đưa ra thông báo yêu cầu nạn nhân gửi tiền mã hóa để đổi lấy khóa giải mã dữ liệu.

74% các nhà lãnh đạo an ninh của khu vực tài chính đã trải qua một hoặc nhiều cuộc tấn công bằng ransomware trong năm qua và 63% trong số những nạn nhân đó đã trả tiền chuộc. Conti là ransomware phổ biến nhất trong các chiến dịch tấn công này. Đơn vị Phân tích Mối đe dọa của VMware đã phát hiện ra họ ransomware Conti vào tháng 7/2020.

Chainalysis đã xác định các khoản thanh toán ransomware trị giá hơn 602 triệu đô la được thanh toán vào năm 2021, trong đó băng đảng ransomware Conti chiếm 180 triệu đô la — mặc dù tổng số thực cho năm 2021 có thể cao hơn nhiều. Trong khoảng thời gian sáu tháng vào năm ngoái, FinCEN cho biết họ đã xác định được khoảng 5,2 tỷ đô la trong các giao dịch Bitcoin gửi đi có khả năng gắn liền với các khoản thanh toán ransomware.

2022 là năm của RAT do mối quan hệ mật thiết của ransomware với các công cụ này. Điều khiển từ xa cho phép các tác nhân xấu tồn tại trong môi trường, thiết lập một máy chủ trung gian mà chúng có thể sử dụng để xoay trục và nhắm mục tiêu vào các hệ thống khác.

Một báo cáo gần đây của Đơn vị Phân tích Mối đe dọa thuộc VMware cho thấy, những kẻ tấn công đã trở nên linh hoạt như thế nào bằng cách vũ khí hóa RAT trong các môi trường dựa trên Linux. Một trong những phương pháp cấy ghép chính được những kẻ tấn công sử dụng là Cobalt Strike, một công cụ thử nghiệm thâm nhập thương mại cho đội đỏ, và biến thể gần đây của nó là Vermilion Strike dựa trên Linux. Do Cobalt Strike là một mối đe dọa phổ biến trên Windows, việc mở rộng sang hệ điều hành Linux thể hiện mong muốn sử dụng các công cụ sẵn có nhắm mục tiêu vào nhiều nền tảng nhất có thể của tin tặc.

Brian Baskin, Giám đốc nghiên cứu mối đe dọa tại VMware, cho biết: “Mối đe dọa bổ sung của các RAT như Cobalt Strike là chúng được phát triển bởi các doanh nghiệp đáng tin cậy để sử dụng hợp pháp. Chúng thường được bán cho các khách hàng đã được kiểm tra để sử dụng cho các tổ chức đội đỏ nhằm phát hiện ra các lỗ hổng để giảm thiểu. Tuy nhiên, như đã thấy với các dữ liệu rò rỉ của nhóm Conti, các nhóm tội phạm có thể hối lộ các doanh nghiệp để thay mặt họ mua giấy phép, cho phép các tác nhân đe dọa truy cập vào các công cụ tấn công hoàn thiện và mạnh mẽ. Các tác nhân đe dọa sau đó có thể tạo phần mềm độc hại của riêng mình, tương thích với Cobalt Strike, để xâm phạm các môi trường dựa trên Linux”.

Trong một phân tích quy mô lớn về các tác nhân đe dọa sử dụng RAT, Đơn vị Phân tích Mối đe dọa của VMware đã phát hiện ra hơn 14.000 máy chủ của nhóm Cobalt Strike đang hoạt động trên internet từ tháng 2/2020 đến tháng 11/2021. Tỷ lệ khách hàng sử dụng Cobalt Strike bị bẻ khóa và bị rò rỉ là 56%, có nghĩa là hơn một nửa số người dùng Cobalt Strike trong số những người được quan sát có thể đang sử dụng Cobalt Strike bất hợp pháp dùng cho mục đích tội phạm mạng. Việc các công cụ truy cập từ xa như Cobalt Strike và Vermilion Strike đã trở thành một công cụ hàng hóa cho tội phạm mạng gây ra mối đe dọa đáng kể cho các doanh nghiệp.

Baskin nói thêm: “Việc tăng cường sử dụng RAT để triển khai ransomware là một mối đe dọa lớn hơn, ngay cả đối với các tổ chức lớn có đội bảo mật của riêng họ. Trong khi một số tác nhân đe dọa dựa vào ransomware đơn giản và nhanh chóng được khởi chạy từ email, các mối đe dọa như vậy dễ dàng được xác định và ngăn chặn bằng các biện pháp kiểm soát bảo mật hiện đại. Một tác nhân tận dụng các RAT tinh vi để đánh giá môi trường theo cách thủ công, triển khai các trọng tải tùy chỉnh và nhắm mục tiêu vào các hệ thống cụ thể để tấn công, có thể ẩn mình dưới tầm quan sát của nhiều đội bảo mật có thẩm quyền cho đến khi quá muộn để ngăn chặn”.

Bẻ khóa các sàn giao dịch tiền mã hóa

Lợi ích đối với tội phạm mạng khi nhắm vào các sàn giao dịch tiền mã hóa là các cuộc tấn công thành công có thể ngay lập tức biến thành tiền mặt trên mạng. Tội phạm mạng nhận được phần thưởng ngay mà không cần phải thực hiện các trò gian lận rườm rà bằng cách sử dụng thông tin bị đánh cắp, chẳng hạn như dữ liệu cá nhân hoặc bằng cách tương tác với nạn nhân của ransomware. Trong thập kỷ qua, 2,6 tỷ USD đã bị đánh cắp từ các sàn giao dịch tiền mã hóa. Nó là phiên bản kỹ thuật số của một vụ cướp ngân hàng.

83% người được hỏi bày tỏ lo ngại về tính bảo mật của các sàn giao dịch tiền mã hóa. Trong khi nhiều sàn giao dịch tiền mã hóa dựa vào blockchain để tăng cường bảo mật, công nghệ này sẽ không ngăn tội phạm mạng đánh cắp tiền nếu chúng có quyền truy cập vào một ví nóng được kết nối với internet. Vào tháng 12/2021, tội phạm mạng đã đánh cắp 196 triệu đô la từ BitMart bằng cách truy cập vào các ví nóng trên sàn giao dịch tiền mã hóa. Tháng 3/2022, tội phạm mạng lại thực hiện thành công một cuộc tấn công kỹ thuật xã hội vào Axie Infinity và kiếm được số tiền mã hóa trị giá 620 triệu đô la - một trong những vụ hack tiền điện tử lớn nhất từng được ghi nhận. Trạng thái bảo mật của các sàn giao dịch tiền mã hóa cần được cải thiện để chống lại tội phạm mạng.

Ngoài việc nhắm mục tiêu vào các ví được lưu trữ trên các sàn giao dịch để kiếm tiền nhanh chóng, nhiều tội phạm mạng thích sử dụng các sàn giao dịch tiền mã hóa và tiền tệ kỹ thuật số để thanh toán ransomware vì bản chất phù du rõ ràng của chúng. Điều này đã được chứng minh bằng cuộc tấn công ransomware nhắm vào công ty JBS Hoa Kỳ dẫn đến khoản thanh toán 11 triệu đô la tiền chuộc bằng Bitcoin qua sàn giao dịch tiền mã hóa Gemini.

“Nhảy đảo”

Lĩnh vực tài chính là mục tiêu của các băng nhóm tội phạm mạng (và các quốc gia) đang phát triển về cả mức độ phức tạp và tổ chức. Những người bảo vệ phải thay đổi cách phản ứng của họ đối với các băng nhóm này và hiểu rõ tình hình. Đây không phải là những những vụ tấn công ngân hàng kiểu cũ, vì gian lận chuyển khoản ngân hàng đơn thuần không còn là mục tiêu cuối cùng. Chúng ta đã bước vào một kỷ nguyên mới của những âm mưu, trong đó việc tấn công vào quy trình chuyển đổi kỹ thuật số của một tổ chức tài chính thông qua hình thức “nhảy từ đảo này sang đảo khác” để tấn công các thành phần của nó đã trở thành mục tiêu cuối cùng.

60% các tổ chức tài chính đã trải qua sự gia tăng hiện tượng tin tặc “nhảy từ đảo này sang đảo khác”, tăng 58% so với năm ngoái. Theo quan sát của Đơn vị Phân tích Mối đe dọa của Vmware, các băng đảng tội phạm mạng đã nghiên cứu sự phụ thuộc lẫn nhau của các tổ chức tài chính, hiểu nhà cung cấp dịch vụ được quản lý (MSP) nào được sử dụng và cố vấn chung bên ngoài là ai.. Đổi lại, các tổ chức cung cấp dịch vụ này bị nhắm mục tiêu và bị tấn công để xâm nhập vào ngân hàng. 87% các tổ chức tài chính quan tâm đến tình trạng an ninh của các nhà cung cấp dịch vụ dùng chung của họ. Các nhà cung cấp dịch vụ dùng chung, khi bị xâm nhập, sẽ gây ra rủi ro hệ thống cho khu vực tài chính vì cơ sở hạ tầng của họ có thể bị nhiễm độc để tấn công hàng chục tổ chức tài chính cùng một lúc. Loại hình “nhảy đảo” này rất đáng quan tâm.

Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số 11 năm 2022

Nguyễn Anh Tuấn