Việc sử dụng các tài khoản hợp lệ là một vectơ xâm nhập ban đầu phổ biến được sử dụng trong các cuộc tấn công mạng. Có một số phương pháp mà các tác nhân đe dọa có thể thu được các tài khoản hợp lệ này, bao gồm các cuộc tấn công dò mật khẩu (password spraying), tấn công vét cạn (brute force), lừa đảo (phishing) và việc sử dụng các tài khoản bị xâm phạm bởi infostealer đang được chia sẻ hoặc bán trong các nguồn tội phạm mạng. Trong số các tác nhân được biết là sử dụng các tài khoản hợp lệ làm vectơ xâm nhập ban đầu có các nhóm ransomware, bao gồm Play, Akira và Rhysida.

Phương pháp và Phạm vi của các nhóm Ransomeware

KELA đã xem xét các nạn nhân của ba nhóm ransomware trên được tuyên bố trên blog của họ từ ngày 1 tháng 10 năm 2023 đến ngày 1 tháng 10 năm 2024. KELA đã so sánh những nạn nhân này với hồ dữ liệu tài khoản bị xâm phạm của mình để xác định các trường hợp mà những nạn nhân này đã có tài khoản bị xâm phạm thông qua phần mềm độc hại đánh cắp thông tin (infostealing) được đăng trên các nguồn tội phạm mạng trong khoảng thời gian từ 5 đến 95 ngày trước khi họ bị nhóm ransomware tuyên bố là nạn nhân.

KELA đặc biệt tìm kiếm các tài khoản bị xâm phạm liên quan đến mạng riêng ảo (VPN), máy tính để bàn từ xa, giám sát và quản lý từ xa (RMM) và Active Directory, vì đây là một trong những loại tài khoản mà các nhóm ransomware có thể sử dụng khi giành quyền truy cập ban đầu.

KELA đã xác định các tài khoản bị xâm phạm liên quan đến một số nạn nhân của các nhóm này đã được đăng từ 5 đến 95 ngày trước khi cuộc tấn công được công bố trên blog của các nhóm. Mặc dù không thể khẳng định rằng các cuộc tấn công này xảy ra do việc sử dụng các tài khoản được xác định này, hoặc thậm chí bất kỳ tài khoản nào bị xâm phạm bởi infostealer, nhưng các nhóm này được biết là sử dụng các tài khoản hợp lệ, cùng với các phương pháp khác, để giành quyền truy cập ban đầu. Một trong những phương tiện mà họ có thể thu được các tài khoản hợp lệ là thông qua các tài khoản bị xâm phạm bởi infostealer, có sẵn để bán trong thế giới ngầm tội phạm mạng, như những tài khoản được mô tả dưới đây.

Ransomware: Play

Nhóm ransomware Play (còn được gọi là Playcrypt) đã hoạt động ít nhất từ tháng 6 năm 2022. Nhóm ransomware Play được cho là hoạt động như một tổ chức khép kín, không có chương trình liên kết. Trong số các vectơ xâm nhập ban đầu được nhóm này sử dụng là thông qua việc lạm dụng các tài khoản hợp lệ, bao gồm cả tài khoản VPN. Quyền truy cập vào các tài khoản này có thể đạt được thông qua các tài khoản đã được sử dụng lại trên các nền tảng khác nhau, đã bị lộ trước đó hoặc thu được thông qua các phương tiện bất hợp pháp. Các tác nhân ransomware Play đã được quan sát thấy sử dụng các dịch vụ hướng ra bên ngoài như Giao thức Máy tính Từ xa (RDP) và VPN để truy cập ban đầu. 

KELA đã xác định một số nạn nhân của Play đã được tuyên bố từ ngày 1 tháng 10 năm 2023 đến ngày 1 tháng 10 năm 2024, có các tài khoản bị xâm phạm được chia sẻ từ 5 đến 95 ngày trước khi cuộc tấn công được tuyên bố.

Ví dụ, một nhà sản xuất thép Canada đã bị Play tuyên bố vào ngày 30 tháng 4 năm 2024 sau khi công ty phát hiện hoạt động bất thường vào ngày 17 tháng 4 năm 2024. KELA đã xác định một tài khoản VPN bị xâm phạm, liên kết với công ty nạn nhân, đã được đăng vào ngày 30 tháng 3 năm 2024 như một phần của một bot được chia sẻ trên kênh Telegram. KELA lưu ý rằng trang đăng nhập cho VPN có thể truy cập công khai. Ngoài tài khoản VPN, KELA đã xác định các dịch vụ khác liên quan đến công ty cũng được bao gồm trong cùng một bot. Các dịch vụ này chủ yếu liên quan đến những gì có thể là một máy chủ phát triển.

Hơn nữa, KELA đã xác định một tài khoản VPN cho một công ty xây dựng có trụ sở tại Hoa Kỳ đã được tuyên bố là nạn nhân của Play vào ngày 27 tháng 3 năm 2024. Tài khoản bị xâm phạm đã được bao gồm như một phần của một bot được chia sẻ trên kênh Telegram vào tháng 1 năm 2024 và lại được chia sẻ vào tháng 2 năm 2024 trên Telegram như một phần của tệp ULP.

Kết luận và Khuyến nghị đối phó với Ransomware

Infostealer đã trở thành một công cụ phổ biến trong hệ sinh thái tội phạm mạng, cho phép hành vi trộm cắp thông tin đăng nhập doanh nghiệp trên diện rộng. Nghiên cứu này của KELA đã đi sâu vào hai khía cạnh quan trọng của vấn đề này: hồ sơ của nhân viên bị nhiễm infostealer và việc khai thác các tài khoản bị xâm phạm bởi các nhóm ransomware.

Phân tích 300 nạn nhân của infostealer đã làm nổi bật một số xu hướng. Các vai trò quản lý dự án nổi lên là những vai trò bị ảnh hưởng thường xuyên nhất (28%), tiếp theo là tư vấn và phát triển phần mềm. Về mặt địa lý, Brazil ghi nhận tỷ lệ nạn nhân cao nhất. Lĩnh vực công nghệ là lĩnh vực bị nhắm mục tiêu nhiều nhất. Máy tính cá nhân, đặc biệt là máy không dùng chung (35,7%), là loại máy bị nhiễm phổ biến nhất. Ngoài ra, thông tin đăng nhập từ công việc hiện tại bị xâm phạm thường xuyên hơn thông tin đăng nhập từ các vai trò trước đây. Những phát hiện này nhấn mạnh các lỗ hổng đa dạng mà các chiến dịch infostealer khai thác, củng cố nhu cầu nâng cao nhận thức về an ninh mạng, bảo mật thiết bị và quản lý truy cập trên các ngành.

Nghiên cứu sâu hơn về các nhóm ransomware như Play, Akira và Rhysida đã tiết lộ một mối liên hệ đáng lo ngại với các vụ xâm phạm do infostealer gây ra này. KELA đã xác định một số tài khoản bị xâm phạm liên quan đến một số nạn nhân của các nhóm ransomware này đã được chia sẻ từ 5 đến 95 ngày trước khi cuộc tấn công được tuyên bố. Mặc dù không thể khẳng định chắc chắn rằng các cuộc tấn công này xảy ra trực tiếp do các tài khoản được xác định này, nhưng các nhóm này được biết là sử dụng các tài khoản hợp lệ, cùng với các phương pháp khác, để giành quyền truy cập ban đầu.

Các tài khoản bị xâm phạm bởi infostealer, có sẵn để bán trong thế giới ngầm tội phạm mạng, đại diện cho một con đường quan trọng để các tác nhân ransomware thu được các thông tin đăng nhập hợp lệ này. Mối liên hệ này giữa các vụ nhiễm infostealer và các cuộc tấn công ransomware tiềm ẩn nhấn mạnh mức độ nghiêm trọng của việc xâm phạm thông tin đăng nhập và các rủi ro lan rộng mà nó gây ra cho các tổ chức.

Để giải quyết những mối đe dọa ngày càng tăng này, KELA khuyến nghị:

1. Giám sát Phòng thủ Chủ động: Liên tục giám sát việc lộ lọt thông tin đăng nhập để xác định các thông tin đăng nhập nhạy cảm liên quan đến công việc ở giai đoạn sớm nhất của vụ xâm phạm. Phát hiện sớm cho phép các tổ chức ngăn chặn các mối đe dọa bảo mật tiềm ẩn bằng cách nhanh chóng thay đổi mật khẩu, thu hồi quyền truy cập vào các tài khoản bị xâm phạm và thực hiện các biện pháp bảo vệ khác. Việc tận dụng một nền tảng quản lý rủi ro an ninh mạng có thể giúp các tổ chức giám sát hiệu quả các thông tin đăng nhập bị lộ và giải quyết các lỗ hổng trước khi chúng leo thang thành các vụ vi phạm bảo mật nghiêm trọng. Điều này áp dụng cho tất cả nhân viên và đặc biệt là những người có vai trò rủi ro cao như quản lý dự án và phát triển phần mềm.
2. Đảm bảo Quản lý Truy cập Chủ động và Thu hồi Quyền: Các tổ chức phải chủ động quản lý các cấp độ truy cập và các đặc quyền được ủy quyền cho nhân viên trong thời gian họ làm việc, điều chỉnh chúng khi trách nhiệm thay đổi. Đặc biệt chú trọng đến việc nhanh chóng thu hồi quyền truy cập đối với nhân viên cũ để ngăn chặn việc sử dụng trái phép các thông tin đăng nhập còn sót lại. Việc kiểm tra thường xuyên các quyền và đặc quyền truy cập có thể tăng cường bảo mật và giảm thiểu rủi ro liên quan đến các quyền lỗi thời hoặc không phù hợp. Điều này rất quan trọng đối với tất cả nhân viên, đặc biệt là trong các lĩnh vực có tỷ lệ luân chuyển nhân viên cao hoặc những người xử lý dữ liệu nhạy cảm, và cũng bao gồm các tài khoản demo hoặc thử nghiệm.
3. Triển khai các Giải pháp Antivirus Mạnh mẽ: Triển khai phần mềm antivirus toàn diện với khả năng quét theo thời gian thực và phân tích hành vi để giảm thiểu rủi ro trở thành nạn nhân của các mối đe dọa mạng. Các biện pháp bảo vệ antivirus cung cấp một lớp phòng thủ thiết yếu chống lại các cơ chế độc hại, chẳng hạn như các chiến dịch lừa đảo, tải xuống độc hại và các cuộc tấn công drive-by. Việc cập nhật thường xuyên và các tính năng nâng cao giúp tăng cường hiệu quả của các giải pháp này, cung cấp sự bảo vệ quan trọng chống lại các mối đe dọa mạng đang phát triển. Điều này đặc biệt quan trọng trên các thiết bị cá nhân nơi nhân viên có thể xử lý dữ liệu công ty.
4. Đầu tư vào Đào tạo và Nâng cao Nhận thức cho Nhân viên: Ưu tiên các chương trình đào tạo giúp nâng cao hiểu biết của nhân viên về các mối đe dọa mạng và các rủi ro liên quan. Điều này đặc biệt quan trọng đối với các tổ chức nơi nhân viên truy cập các môi trường nhạy cảm liên quan đến công việc từ máy tính cá nhân. Các buổi đào tạo nên thực tế nhất có thể, tập trung vào các yếu tố nhận dạng duy nhất của tổ chức, các loại tài sản cụ thể và các kịch bản phù hợp. Cách tiếp cận này trao quyền cho nhân viên độc lập nhận biết và ứng phó với các mối đe dọa tiềm ẩn đồng thời nuôi dưỡng văn hóa nhận thức về an ninh mạng. Cần có đào tạo cụ thể về bảo mật thông tin đăng nhập, các phương pháp hay nhất về xác thực đa yếu tố (MFA) và nhận biết các nỗ lực lừa đảo.
5. Triển khai và Thực thi Xác thực Đa yếu tố (MFA): Thực thi MFA trên tất cả các tài khoản, đặc biệt là những tài khoản có quyền truy cập vào dữ liệu nhạy cảm hoặc các hệ thống quan trọng, chẳng hạn như VPN, dịch vụ máy tính để bàn từ xa và tài khoản quản trị. MFA giảm đáng kể rủi ro truy cập trái phép, ngay cả khi thông tin đăng nhập bị đánh cắp hoặc xâm phạm. Thường xuyên xem xét và cập nhật cấu hình MFA để đảm bảo chúng vẫn hiệu quả chống lại các mối đe dọa đang phát triển.
6. Thường xuyên Kiểm tra và Xem xét Nhật ký Truy cập: Triển khai một hệ thống để thường xuyên kiểm tra và xem xét nhật ký truy cập để phát hiện các hoạt động đáng ngờ. Điều này có thể giúp xác định sớm các nỗ lực truy cập trái phép hoặc các tài khoản bị xâm phạm, cho phép hành động nhanh chóng để giảm thiểu thiệt hại tiềm ẩn. Tự động hóa phân tích nhật ký và phát hiện bất thường ở những nơi có thể để cải thiện hiệu quả và hiệu suất.
7. Kế hoạch Ứng phó Sự cố: Phát triển và duy trì một kế hoạch ứng phó sự cố toàn diện, đặc biệt giải quyết các vấn đề về xâm phạm thông tin đăng nhập và các cuộc tấn công ransomware tiềm ẩn. Thường xuyên kiểm tra và cập nhật kế hoạch để đảm bảo nó vẫn hiệu quả và phù hợp với các mối đe dọa hiện tại.

Đọc toàn bộ báo cáo tại đây.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!

Thông tin hãng cung cấp giải pháp