Xu hướng tội phạm mạng như một dịch vụ

Thị trường tội phạm mạng như là một dịch vụ (Cybercrime as a Service - CCaaS) dường như đã chín muồi trong vài năm qua. Thị trường bắt đầu khi một vài tin tặc đơn lẻ bán các thông tin đăng nhập người dùng và lỗ hổng zero-days trong các phòng chatroom IRC hoặc các diễn đàn web tối (darknet) giờ đã phát triển thành các đối tượng chuyên nghiệp và mang tính thương mại.

Một loạt các dịch vụ tội phạm mạng sẵn sàng phục vụ cho bất kỳ ai có thể chi trả bằng tiền điện tử mà chúng yêu cầu: Từ những kẻ bán các thông tin mà chúng đánh cắp được từ các tài khoản bị xâm phạm đến các nhà cung cấp dịch vụ lưu trữ có cơ sở hạ tầng tin cậy và ẩn danh để tiến hành các hoạt động tấn công mạng.

Tội phạm mạng tương lai sẽ không cần sở hữu gì

Những kẻ khai thác tội phạm mạng nhạy bén nhận thấy rằng năm 2021 có thể xây dựng các công cụ tùy chỉnh (toolchains) (tập hợp của các công cụ dùng để biên dịch mã nguồn thành các file thực thi trên thiết bị mục tiêu), bên cạnh các dịch vụ nhỏ tách biệt (microservices) và những giải pháp có sẵn cũng như tính linh hoạt của các cuộc tấn công và tái sử dụng các xâm phạm cho những nỗ lực tội phạm (như khai thác tiền điện tử, đánh cắp thông tin ngân hàng, ransomware hoặc các dịch vụ tấn công DDoS). Tội phạm mạng có thể thuê, cho thuê mọi thứ cần thiết, từ cơ sở hạ tầng để tiếp cận các nạn nhân.

Khả năng phối, kết hợp các khả năng khác nhau và để triển khai các payload (phần dữ liệu được truyền đi) theo module cũng có nghĩa là mối đe dọa có thể phát triển và biến đổi liên tục trong suốt quá trình xâm phạm. Một hệ thống bị lây nhiễm sẽ được sử dụng để gửi thư rác, vào một ngày nào đó, có thể bị sửa đổi để phát tán phần mềm độc hại hoặc mã hóa các tệp tin.

Các khách hàng của các dịch vụ tội phạm mạng này có thể thuận tiện, nhanh chóng tiếp cận các cuộc tấn công, những khai thác và những công nghệ lẩn tránh mới với những sự “đổi mới” nhanh chóng trên toàn bộ hệ sinh thái của nạn nhân. Điều này mang đến cho những kẻ khai thác tội phạm mạng khả năng nhạy bén và thích ứng cao và các cơ quan công quyền phải rất khó khăn mới có thể bắt kịp.

Mức độ phức tạp của các dịch vụ tội phạm mạng cũng được cải tiến: Việc triển khai kiểu chìa khóa trao tay (turnkey) và dịch vụ cá nhân trở nên phổ biến và các “hợp đồng” cấp độ dịch vụ cho doanh nghiệp luôn sẵn sàng. Bất kỳ ai có tiền điện tử đều có thể mua và thuê mọi thứ cần thiết để khởi chạy các hoạt động mạng tinh vi, đủ hiệu quả để khai thác cơ sở hạ tầng quan trọng.

Tấn công evil twin (một kiểu tấn công man-in-the-middle trong đó điểm truy cập giả được sử dụng để theo dõi hoạt động người dùng) của SOAR, hay là tự động hóa tác nhân đe dọa đang kích hoạt các cuộc tấn công sẽ được tiến hành với số lượng lớn.

Việc sử dụng rộng rãi công cụ tấn công được thiết lập sẵn cũng phức tạp, với một số kẻ khai thác khác nhau thúc đẩy cung CCaaS khiến cho việc xác định ai là người đứng sau một chiến dịch tấn công trở nên khó khăn. Các tác nhân đe dọa cơ quan nhà nước bị nghi ngờ là sử dụng các dịch vụ này cho các chiến dịch tấn công.

Sự gia tăng các dịch vụ tội phạm mạng

Nhiều xu hướng trên thị trường tội phạm mạng và nền kinh tế “đen” ánh xạ trong thế giới thực và tội phạm mạng đang xác định và nhắm mục tiêu vào các nạn nhân.

Ví dụ, Mỹ đã có những phản ứng gay gắt sau vụ tấn công đường ống dẫn nhiên liệu Colonial Pipeline với một số cảnh báo mạnh mẽ tới các hoạt động tội phạm mạng rằng các nhà cung cấp CCaaS và bất kỳ quốc gia nào chứa chấp, mà một vụ tấn công ransomware có thể dẫn đến một phản ứng bạo động hoặc thậm chí gây ra chiến tranh.

Không lâu sau, băng nhóm tội phạm mạng bị tình nghi đứng sau vụ tấn công Colonial Pipeline lại nổi trở lại với một cái tên mới là BlackMatter và thông báo rằng chúng đang mua quyền truy nhập từ những người bán với các tiêu chí rất cụ thể. Tìm kiếm các công ty có doanh thu ít nhất 100 triệu USD mỗi năm và 500 - 15.000 máy chủ, băng nhóm này đòi mức giá 100.000 USD. Tuy nhiên, chúng cũng cung cấp một danh sách rõ ràng các mục tiêu mà chúng né tránh, bao gồm cơ sở hạ tầng quan trọng và bệnh viện.

Tuy nhiên, lý do tội phạm mạng không tấn công vào cơ sở hạ tầng trọng yếu và những mục tiêu quan trọng như các bệnh viện không phải vì lòng vị tha hay lương tâm xã hội mà vì chúng không muốn mình bị coi là kẻ thù của cả nhân loại và mất đi sự bảo vệ của các quốc gia đang bảo trợ phía sau.

Để bù lại, các băng nhóm tội phạm sẽ chuyển trọng tâm sang các mục tiêu thay thế. Nếu tổ chức của bạn không nằm trong danh sách là các bệnh viện, cơ sở hạ tầng trọng yếu, ngành dầu khí, công nghiệp quốc phòng, các công ty phi lợi nhuận và khu vực chính phủ thì có thể tổ chức bạn là mục tiêu ưu tiên mới.

Vụ rò rỉ tin tức gần đây bởi một “nhân viên” bất mãn với của băng đảng ransomware Conti đã đưa ra những hướng dẫn để trở thành hội viên nhằm nghiên cứu doanh thu của các mục tiêu tiềm năng.

Những ví dụ này mang lại cái nhìn sâu sắc về cách các hoạt động của tội phạm mạng hiện nay đang lên kế hoạch và vận hành như thế nào với mục tiêu tối đa hóa doanh thu trong khi giảm thiểu nguy cơ gây ra quá nhiều thiệt hại cũng như rủi ro.

Xu hướng tội phạm sử dụng cùng một công cụ và cơ sở hạ tầng

Mặc dù CCaaS đã phổ cập các khả năng tấn công mạng hiệu quả và cung cấp chúng cho nhiều đối tượng khai thác tội phạm mạng hơn. Tuy nhiên, có một điều đáng chú ý là ngày càng có nhiều tội phạm sử dụng cùng một công cụ và cơ sở hạ tầng.

Tội phạm mạng có thể được hưởng lợi từ chuỗi cung ứng chín muồi và chuyên nghiệp. Những chuỗi cung ứng đó đang bắt đầu được củng cố và tiêu chuẩn hóa. Sự đa dạng thông qua việc phối, kết hợp các microservice tội phạm mạng khác nhau cũng như khả năng tái sử dụng nhanh chóng cơ sở hạ tầng bị xâm phạm được củng cố bằng việc sử dụng lại một số khối lắp ghép được giới hạn.

Một kẻ khai thác CCaaS kém về bảo mật sử dụng những khối giống nhau đồng nghĩa là tất cả những kẻ khai thác khác sẽ gặp rủi ro một khi các nhà nghiên cứu về mối đe dọa chia sẻ các chi tiết về mối đe dọa này với cộng đồng. Ngay cả khi không có các dấu hiệu đã được nhận biết vẫn có thể phát hiện các cuộc tấn công tương tự, thay cho việc phải tập trung vào hành vi và các kỹ thuật tấn công.

Điều này cũng giống như những kẻ tấn công đang tiến hành săn lùng các mục tiêu như các nhà cung cấp dịch vụ được quản lý (Managed Service Providers), cho phép chúng tấn công nhiều nạn nhân cùng một lúc. Cơ quan thực thi pháp luật đang ngày càng tập trung vào những kẻ cung cấp CCaaS để quan sát, thu thập bằng chứng về toàn bộ cơ sở khách hàng tội phạm. Do vậy, nếu không được quản lý đúng cách, chuỗi cung ứng CCaaS sẽ trở thành một nguy cơ lớn đối với các tội phạm.

Tội phạm mạng hiện nay đã có sẵn các công cụ chất lượng chuyên nghiệp để sử dụng. Sự tích hợp và tương thích các tính năng sẵn có, truy nhập nhanh vào các kỹ thuật tấn công và khai thác mới cũng như khả năng tái sử dụng lại các hệ thống và cơ sở hạ tầng mà chúng xâm phạm được là những lợi thế mạnh mẽ mà đang được cho là hiện diện trong lĩnh vực bảo mật mạng.

Do vậy, với mối đe doạ và bảo mật zero-trust thì cần phải đảm bảo có các công cụ và quy trình tại chỗ để chống lại những kẻ tấn công ngày càng tinh vi này./.

Nguồn: ICT/helpnetsecurity.com