Theo thông tin từ bộ phận ứng cứu sự cố máy tính của Tổng công ty Truyền tải điện Quốc gia (EVNNPT), thời gian vừa qua, các tài khoản bị lộ lọt chủ yếu là từ các hồ sơ người dùng trình duyệt có nền tảng Chromium (các trình duyệt Opera, Chrome, Edge, Cốc Cốc đều sử dụng nền tảng Chromium).
EVNNPT đã ghi nhận các trường hợp tài khoản người dùng bị rao bán trên chợ đen, trong đó các tài khoản bị lộ lọt chủ yếu là từ các hồ sơ người dùng trình duyệt có nền tảng Chromium (các trình duyệt Opera, Chrome, Edge, Cốc Cốc đều sử dụng nền tảng Chromium

EVNNPT đã ghi nhận các trường hợp tài khoản người dùng bị rao bán trên chợ đen, trong đó các tài khoản bị lộ lọt chủ yếu là từ các hồ sơ người dùng trình duyệt có nền tảng Chromium (các trình duyệt Opera, Chrome, Edge, Cốc Cốc đều sử dụng nền tảng Chromium). Quá trình điều tra, phân tích cho thấy các mật khẩu này bị lộ lọt trong cùng khoảng thời gian từ giữa tháng 3 đến giữa tháng 4/2023 bởi mã độc Redline Stealer.

Mã độc Redline Stealer được phát hiện lần đầu từ tháng 3/2020 bởi các chuyên gia Proofpoint thông qua việc theo dõi một chiến dịch phát tán mã độc qua email.

Chiến dịch này sử dụng email để giả định danh của một dự án nghiên cứu bệnh tật gửi email với chủ đề “Please help us with Fighting corona-virus” và yêu cầu người nhận giúp tìm ra phương pháp cứu chữa virus corona. Trong email đính kèm link chứa mã độc.

Mã độc này đầu tiên được rao bán trên các diễn đàn ngầm. Nó được thiết kế để hoạt động lén lút và trốn tránh sự phát hiện của phần mềm bảo mật và mục đích chính là đánh cắp thông tin tài khoản, keylogger, trích xuất dữ liệu gửi về các máy chủ C&C được kiểm soát bởi kẻ tấn công.

Các chiến dịch về sau này, mã độc được phát tán thông qua các phần mềm game crack nhằm lợi dụng việc phần mềm phòng chống mã độc sẽ bỏ qua các file có kích thước lớn. Cho đến nay, RedLine Stealer là một trong những phần mềm độc hại đánh cắp thông tin nổi bật và được sử dụng rộng rãi nhất hiện nay.

Các báo cáo cũng cho thấy tổn thất đắt nhất trong bất kỳ cuộc tấn công mạng là mất thông tin. Số lượng cuộc tấn công nhằm vào các cá nhân cụ thể hoặc dữ liệu cá nhân đang tăng lên. Trước thực trạng nêu trên, EVNNPT khuyến cáo áp dụng những biện pháp để phòng tránh như sau:

-Luôn cập nhật phần mềm với các bản vá lỗi và cập nhật bảo mật mới nhất.

-Sử dụng phần mềm chống vi-rút hoặc phần mềm chống phần mềm độc hại có uy tín và cập nhật phần mềm đó.

-Kích hoạt bảo vệ tường lửa và sử dụng các hệ thống phát hiện/ngăn chặn xâm nhập.

-Luôn cảnh giác với email lừa đảo, tệp đính kèm đáng ngờ và tập thói quen duyệt web an toàn. Luôn thực hiện quy tắc C-K-C (cẩn trọng - kiểm tra - cảnh giác). Khi nhận được email có đính kèm tập tin, đường dẫn hoặc từ địa chỉ email lạ, người dùng cần thực hiện quy tắc C-K-C

-Triển khai mật khẩu mạnh, duy nhất và xác thực đa yếu tố (nếu có).

-Thường xuyên sao lưu dữ liệu quan trọng để giảm thiểu tác động của thiệt hại.

Nếu có dấu hiệu nghi ngờ, người dùng hãy cách ly hệ thống bị ảnh hưởng khỏi mạng và liên hệ với đội an toàn an ninh thông tin Tổng Công ty để kịp thời xử lý, để tránh làm phát tán virus, mã độc.

-Thực hiện quét kỹ lưỡng bằng phần mềm chống vi-rút hoặc phần mềm chống phần mềm độc hại được cập nhật.

- Xóa mọi phần mềm độc hại đã xác định và các thành phần liên quan mã độc.

- Thay đổi mật khẩu cho các tài khoản có khả năng bị xâm phạm.

- Cập nhật thường xuyên các thông tin cảnh báo, giám sát các hoạt động bất thường hoặc đáng ngờ trên mạng và các hệ thống thông tin.

Theo thống kê của Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), 6 tháng đầu năm 2023 số lượng tấn công an ninh mạng vào các hệ thống của Việt Nam là 5.100 vụ việc, giảm khoảng 12% so với năm 2022. Tuy nhiên các vụ tấn công có chủ đích APT vào các cơ sở trọng yếu lại tăng khoảng 9% so với cùng kỳ năm 2022. Nguyên nhân là các cơ sở trọng yếu luôn có nhiều dữ liệu quan trọng và ảnh hưởng lớn nên là đích nhắm ưa thích của hacker.

Các chiến dịch tấn công APT vào hệ thống mạng tại Việt Nam trong 6 tháng đầu năm tập trung vào 3 con đường tấn công chính: Tấn công người dùng thông qua email, nội dung email giả mạo có file đính kèm mã độc dạng file văn bản hoặc có đường link đăng nhập giả mạo để chiếm tài khoản người dùng; Tấn công thông qua lỗ hổng của phần mềm trên máy chủ, trong đó nhiều nhất là các hệ thống sử dụng phần mềm của Microsoft như Exchange, SharePoint; Tấn công thông qua các lỗ hổng của website, đặc biệt là lỗ hổng SQL Injection hoặc qua dò mật khẩu quản trị website, máy chủ.

Sau khi xâm nhập được một thành phần của hệ thống, có thể là máy của người dùng hoặc máy chủ có lỗ hổng, hacker sẽ thực hiện nằm vùng, thu thập các thông tin đăng nhập, từ đó tiếp tục mở rộng tấn công sang các máy khác nằm trong mạng.

Trên thực tế, các cuộc tấn công APT có thể kéo dài vài tuần, thậm chí vài tháng, tuy nhiên, nhiều cơ quan, tổ chức chưa có hệ thống giám sát an ninh mạng tập trung SOC, hoặc có nhưng không thu thập đủ log, không có chuyên gia chuyên trách nên đến khi phát hiện ra thì rất nhiều dữ liệu đã bị thất thoát, thậm chí hacker đủ thời gian để xoá dấu vết xâm nhập gây khó khăn cho quá trình điều tra, khắc phục sự cố.

Để phòng tránh tấn công APT, các cơ quan tổ chức cần rà soát lại tổng thể hệ thống, thu thập đầy đủ log hoạt động, cử người chuyên trách hoặc thuê ngoài dịch vụ giám sát an ninh mạng.

Theo Dương Quyên (Kinh tế & Đô thị)