Tấn công bằng mã độc tống tiền vào hạ tầng công nghệ tăng mạnh

Theo nghiên cứu từ công ty an ninh mạng Dragos, các cuộc tấn công bằng mã độc tống tiền (ransomware) nhằm vào các tổ chức công nghiệp đã tăng 87% vào năm 2022 so với năm trước đó, với 3/4 phần mềm độc hại nhắm vào lĩnh vực sản xuất, theo kết quả mới được công bố.

Công ty an ninh mạng Dragos Inc cho biết trong một báo cáo rằng, các tin tặc đã nhắm mục tiêu vào các ngành khai thác mỏ ở Úc và New Zealand, đồng thời tiếp tục tập trung vào các công ty năng lượng tái tạo ở Mỹ và Liên minh châu Âu. Công ty xác định những kẻ tấn công cũng tăng cường hoặc tăng tốc các cuộc tấn công vào các lĩnh vực năng lượng, thực phẩm, nước, điện và khí đốt tự nhiên…

"Những cứ liệu cho thấy tội phạm mạng đang và sẽ tiếp tục theo đuổi tấn công ngành sản xuất, chứ không chỉ đơn thuần chỉ là điện, dầu và khí đốt", Rob Lee, Giám đốc điều hành của Dragos tuyên bố.

Tội phạm mạng ngày càng nhắm mục tiêu vào công nghệ vận hành (OT) và hệ thống điều khiển công nghiệp (ICS) quản lý các chức năng cốt lõi của nhà máy và các cơ sở công nghiệp khác. Trong số hơn 600 cuộc tấn công ở các khu vực mà công ty này theo dõi, Dragos cho biết có 35% nỗ lực ransomware chống lại hệ thống OT và ICS.

Tổng cộng, có 437 đơn vị sản xuất đã bị ransomware tấn công, bao gồm 42 vụ tấn công vào các công ty sản xuất sản phẩm kim loại, 37 vụ tấn công vào các doanh nghiệp ô tô và hơn 20 vụ tấn công vào các công ty nhựa, thiết bị công nghiệp, vật liệu xây dựng và điện tử hoặc chất bán dẫn.

Phần còn lại của danh sách bao gồm hàng loạt cuộc tấn công vào các công ty hoạt động trong lĩnh vực hàng không vũ trụ, nội thất, mỹ phẩm, hóa chất, quần áo, thiết bị y tế, giấy, v.v.

Các sự cố được Dragos liệt kê bao gồm các cuộc tấn công ransomware vào Subex, Kojima, AGCO, Foxconn, South Staffordshire Water, DESFA và một số cuộc tấn công vào các công ty khai thác mỏ và kim loại như Copper Mountain Mining.

Các nhà nghiên cứu viết: "Có nhiều lý do dẫn đến sự gia tăng hoạt động của ransomware ảnh hưởng đến các tổ chức công nghiệp, bao gồm do căng thẳng chính trị, sự ra đời của Lockbit Builder và sự phát triển liên tục của ransomware-as-a-service (RaaS)". Các sự kiện chính trị bao gồm xung đột ở Ukraine và rạn nứt ngoại giao giữa Iran và Albania". 

"Các dấu hiệu khác cho thấy đảng phái chính trị (có thể đã tác động đến các tổ chức công nghiệp), bao gồm việc nhóm Conti đã tuyên bố liên kết với Liên bang Nga trước khi nó tan rã vào tháng 5 năm 2022", họ viết.

Conti nhắm mục tiêu vào lĩnh vực ô tô trong khi nhiều biến thể của LockBit được sử dụng để tấn công nhiều ngành công nghiệp bao gồm điện, sản xuất, xây dựng, vận tải, công nghệ, dịch vụ tiêu dùng, bán lẻ và hậu cần.

Một phần lý do tại sao LockBit lại chiếm ưu thế như vậy là vì đây là nhóm RaaS (Ransomware-as-a-Service- một mô hình kinh doanh trong đó ransomware được cho thuê) hàng đầu, cung cấp phần mềm cho các nhà khai thác thực hiện các cuộc tấn công thực tế để đổi lấy một phần tiền chuộc.

Chiếm 28% tổng số cuộc tấn công vào năm ngoái, chương trình LockBit cung cấp cho người điều hành các công cụ đánh cắp dữ liệu, cơ chế chống phát hiện và khả năng vô hiệu hóa phần mềm Windows Defender.

Vụ hack máy chủ LockBit có chủ đích vào năm ngoái, liên quan đến việc rò rỉ trình tạo LockBit 3.0, có khả năng sẽ dẫn đến các cuộc tấn công công nghiệp tiếp theo.

"Dragos đánh giá với độ tin cậy vừa phải rằng, LockBit 3.0 sẽ tiếp tục nhắm mục tiêu vào các tổ chức công nghiệp và sẽ gây ra mối đe dọa đối với hoạt động công nghiệp vào năm 2023, cho dù thông qua chương trình LockBit gốc hay các phiên bản LockBit ransomware riêng", các chuyên gia viết trong báo cáo.

Công ty Dragos cũng đã tìm thấy một số nhóm ransomware mới xuất hiện vào quý 3 năm ngoái, bao gồm Sparta Blog, Bianlian, Donuts, Onyx và Yanluowang.

Trong khi đó, Chernovite, được Dragos gọi là "nhóm đe dọa nguy hiểm nhất cho đến nay", có khả năng là một nhóm hack cấp quốc gia đã phát triển Pipedream, một bộ công cụ ICS mô-đun được thiết kế để gây ra các tác động phá hoại đối với các công ty điện, chất lỏng và khí đốt tự nhiên ở Hoa Kỳ và Châu Âu.

Lee lưu ý rằng, một nhóm hack khác có tên là Bentonite dường như cũng tinh vi không kém. Bentonite là một nhóm "rất cơ hội" nhắm vào dầu khí hàng hải, chính phủ và ngành sản xuất, đồng thời đã sử dụng các lỗ hổng phổ biến như Log4J và VMWare Horizons được tìm thấy trong các thiết bị kết nối Internet.

Phân khúc kém và tư vấn đầy lỗi

Cùng với sự phát triển của một số nhóm ransomware là sự gia tăng mạnh về số lượng lỗ hổng, và sự cố kỹ thuật được tìm thấy bởi công ty bảo mật như Dragos.

Robert M. Lee, Giám đốc điều hành của Dragos, cho biết một trong những vấn đề mà các cơ sở sản xuất phải đối mặt là tất cả các nhà khai thác mạng hệ thống thường xuyên có rất ít, hoặc không thể nhìn thấy hệ thống của họ cũng như thông tin xác thực được chia sẻ giữa các mạng thông tin và hệ thống công nghệ vận hành.

Lee cho biết, những người ứng phó sự cố của Dragos đã phát hiện ra sự phân chia mạng kém, và một số vấn đề khác khiến nhiều công ty công nghiệp gặp khó khăn.

80% công ty mà Dragos khảo sát có khả năng giám sát liên kết hạn chế trong môi trường ICS của họ, trong khi hơn một nửa gặp sự cố với phân đoạn mạng, kết nối bên ngoài không được tiết lộ hoặc không được kiểm soát với môi trường OT của họ, hoặc thiếu quản lý người dùng CNTT và OT riêng biệt.

Lee đặc biệt nhấn mạnh một sự thật khiến anh ấy khó chịu về phần lớn báo cáo xung quanh các cuộc tấn công bằng mã độc tống tiền nhằm vào các công ty công nghiệp, đó là các công ty có ý tưởng chủ quan cho rằng các mạng CNTT và OT là riêng biệt. Trong nhiều tuyên bố công khai về các cuộc tấn công bằng mã độc tống tiền, các công ty thường nói rằng một cuộc tấn công bằng mã độc tống tiền chỉ ảnh hưởng đến hệ thống CNTT của họ, chứ không ảnh hưởng đến hệ thống OT hoặc ICS. Đó hoàn toàn là một sai lầm.

Dragos cũng ghi nhận sự gia tăng đáng kể về số lượng sai sót trong việc nhận diện lỗ hổng bảo mật. Dragos cũng phát hiện ra rằng, 83% lỗ hổng được chôn sâu trong mạng ICS và khoảng một nửa "có thể gây mất tầm nhìn và mất kiểm soát".

Trong năm nay, Dragos cho biết có khả năng ransomware sẽ tiếp tục phá vỡ các hoạt động công nghiệp, cả thông qua môi trường OT được quản lý kém cho phép ransomware lây lan. Điển hình là đã có một cuộc tấn công ransomware lớn vào một nhà cung cấp năng lượng trong năm nay, với Qulliq Energy Corporation của Canada đang xử lý một sự cố làm tê liệt vào tháng 1 đã làm sập hệ thống thanh toán của họ.

×