Malware, từ thường xuyên trong các tiêu đề đi kèm với các từ như vi phạm dữ liệu, vụ tấn công mạng và dữ liệu trực tuyến, trực tuyến, phần mềm độc hại, là một từ đã nhanh chóng trở nên phổ biến trong thế giới kỹ thuật số của chúng ta.
Các loại phần mềm độc hại khác nhau là nguyên nhân của các hệ thống CNTT kinh doanh ở khắp mọi nơi và xuất hiện dưới nhiều hình thức – và nhiều phần mềm hiện có đang liên tục phát triển thành các mối đe dọa mới để tránh bị phát hiện.
Malware là gì?
Nếu bạn tập hợp một nhóm các chuyên gia infosec và hỏi họ malware là gì, thì bạn có thể nhận được nhiều câu trả lời. Đối với một số người, thuật ngữ này đề cập đến sâu hoặc trojan. Đối với những người khác, nó có thể là phần mềm quảng cáo, phần mềm gián điệp hoặc thậm chí là vi-rút máy tính. Nói một cách tổng quát, phần mềm độc hại là bất kỳ loại phần mềm, chương trình hoặc tệp độc hại nào có hại về bản chất.
Đó là một định nghĩa khá chung chung cho một cái gì đó rất phức tạp và toàn diện. Xét cho cùng, mặc dù một số loại phần mềm độc hại có bản chất tĩnh, một số loại khác liên tục thay đổi – chẳng hạn như phần mềm độc hại đa hình hoặc phần mềm độc hại biến chất . Đó là một phân loại dường như bao gồm tất cả.
Ngay cả Microsoft cũng có xu hướng khá chung chung trong định nghĩa về phần mềm độc hại của họ : Phần mềm Malware là tên bao quát cho các ứng dụng và mã khác, tức là phần mềm, mà Microsoft phân loại chi tiết hơn là phần mềm độc hại hoặc phần mềm không mong muốn . Chúng ta hãy nhìn sâu hơn một chút về ý nghĩa của chúng.
Khi nói đến nó, Microsoft gộp hầu hết các loại phần mềm độc hại thành 13 loại:
- Backdoors
- Downloaders
- Droppers
- Exploits
- Hacktools
- Macro viruses
- Obfuscators
- Password stealers
- Ransomware
- Rogue security software
- Trojans
- Trojan clickers
- Worms
Mặt khác, phần mềm không mong muốn đề cập đến những phần mềm:
- Không cho phép người dùng chọn xem họ có hoạt động không,
- Không cho phép người dùng kiểm soát xem họ có hoạt động không,
- Đừng cho phép người dùng cài đặt hoặc gỡ bỏ chúng; và / hoặc
- Chứa quảng cáo và quảng cáo.
Bất kể bạn định nghĩa nó như thế nào. Bất kể nó được phân phối hay tuyên truyền như thế nào – cho dù đó là thông qua các tiện ích mở rộng trình duyệt độc hại, email spam độc hại, lừa đảo URL, trình tải xuống hoặc trình tải xuống – phần mềm độc hại mới (và cũ đang phát triển) là những mối đe dọa nghiêm trọng đối với người tiêu dùng và doanh nghiệp, bất kể quy mô, ngành công nghiệp của họ hoặc vị trí địa chất.
Chúng ta hãy xem một vài mối đe dọa phần mềm độc hại mới nhất trong năm 2018 và 2019:
Phát triển và phần mềm độc hại mới: 3 loại phần mềm độc hại đang tăng trưởng
Có rất nhiều biến thể của phần mềm độc hại mới và hiện có đang cắt xén mỗi ngày – mà chúng ta sẽ thảo luận nhiều hơn ở phần sau của bài viết. Một số mối đe dọa phần mềm độc hại mới nhất đặt ra mối đe dọa đối với dữ liệu của doanh nghiệp và thông tin cá nhân của khách hàng. Các phần mềm khác, chẳng hạn như phần mềm độc hại Triton (khai thác các lỗ hổng tồn tại trong các hệ thống và bộ điều khiển công cụ an toàn công nghiệp) và ransomware WannaCry (một loại sâu tiếp tục gây họa cho các tổ chức chăm sóc sức khỏe bằng cách nhắm vào các lỗ hổng của Windows), gây nguy hiểm đến tính mạng của hàng ngàn người hoặc có khả năng hàng triệu người.
Tuy nhiên, như bạn có thể tưởng tượng, hầu như không thể viết một bài viết đủ toàn diện để bao gồm tất cả chúng. (Không ai có thời gian cho việc đó!) Như vậy, những gì chúng ta sẽ làm là chọn ba trong số những gia đình hàng đầu từ dữ liệu phần mềm độc hại mới nhất và thảo luận về những gì họ làm, những gì họ làm và tại sao họ là những mối đe dọa to lớn đối với các tổ chức xung quanh thế giới.
Phần mềm độc hại mới # 1: Sự phát triển của Emotet
Emotet, bắt đầu vào năm 2014 với tư cách là một Trojan ngân hàng đang hoạt động, tiếp tục phát triển và mở rộng thị phần với tư cách là nhà phân phối các phần mềm độc hại khác như IcedID và TrickBot. Trong báo cáo Top 10 Malware tháng 1 năm 2019 , Trung tâm An ninh Internet (CIS) mô tả Emotet là một kẻ lừa đảo mô-đun tải xuống hoặc tiêm trojan ngân hàng và nằm trong danh sách 10 phần mềm độc hại hàng đầu của CIS.
Phần mềm độc hại này được sử dụng để đánh cắp dữ liệu và thông tin đăng nhập của người dùng, cung cấp tải trọng độc hại và lây lan sang các máy tính được kết nối khác qua mạng của họ trong vòng vài phút. Nó cũng lan rộng ra ngoài các mạng bằng vũ lực, email độc hại và thậm chí cả URL độc hại. Theo Dự án Spamhaus :
Các phòng thí nghiệm phần mềm độc hại của Spam Spamhaus đã theo dõi khoảng 47.000 máy bị nhiễm Emotet phát ra khoảng 6.000 URL khác nhau đến các trang web bị xâm nhập đóng vai trò là vectơ lây nhiễm. Điều này làm cho Emotet trở thành phần mềm độc hại được phân phối tích cực nhất vào lúc này, chiếm gần 45% tổng số URL được sử dụng cho mục đích này.
Theo Báo cáo Đe dọa An ninh Internet (ISTR) năm 2019 của Symantec , phần mềm độc hại tự lan truyền này chiếm 16% số trojan tài chính trong năm 2018, tăng từ 4% của năm trước. Hơn nữa, Emily Emotet cũng đang được sử dụng để truyền bá Qakbot, đứng ở vị trí thứ 7 trong danh sách trojan tài chính, chiếm 1,8 phần trăm các phát hiện.
Theo Emotet, Emotet, giống như Kovter, Dridex và NanoCore, sử dụng vectơ malspam (thư rác độc hại) làm vectơ lây nhiễm chính của nó , theo CIS, thông qua nó được biết là sử dụng nhiều vectơ tấn công.
Phần mềm độc hại mới # 2: Sự xuất hiện của speakUp
Một trojan backdoor được phân phối bằng cách khai thác máy chủ Linux, là một mối đe dọa mới đã xuất hiện trong năm nay. Theo nghiên cứu từ Check Point , điều khiến cho RumUp trở thành mối đe dọa lớn là nó có khả năng cung cấp bất kỳ trọng tải nào và thực hiện nó trên các máy bị xâm nhập và trốn tránh sự phát hiện của tất cả các phần mềm chống vi-rút hiện nay.
Và tất nhiên Linux được sử dụng độc quyền bởi các máy chủ doanh nghiệp, điều này đặt ra một mối đe dọa đáng kể và có thể mở rộng cho các doanh nghiệp.
Cho đến nay, speakUp đã nhắm mục tiêu các máy chủ trên toàn thế giới, bao gồm các máy chủ lưu trữ Dịch vụ web Amazon (AWS). Tuy nhiên, cho đến nay, phần mềm độc hại mới này dường như chủ yếu là các máy lây nhiễm ở Đông Á và Mỹ Latinh . Mặc dù đây là tin tốt cho các công ty ở Mỹ và Canada, nhưng đây chỉ có thể là vấn đề thời gian trước khi RumUp có điều gì đó để nói về tác động của nó đối với các máy chủ Bắc Mỹ.
Phần mềm độc hại mới # 3: Sự xâm nhập của Agent Smith’s
Loại phần mềm độc hại Android này khai thác lỗ hổng hệ điều hành Android (HĐH) trong thiết bị di động để cài đặt các bản sao độc hại hoặc độc hại của các ứng dụng di động đã cài đặt như WhatsApp, Flipkart và một số ứng dụng khác. Phần mềm độc hại mới nhất được sử dụng để không chỉ hiển thị quảng cáo giả mà còn để theo dõi người dùng của thiết bị và đánh cắp thông tin ngân hàng của họ.
PC Mag báo cáo rằng, cho đến nay, phần mềm độc hại mới cho Android này đã lây nhiễm 25 triệu thiết bị . Trong khi một số nạn nhân của phần mềm độc hại ở Hoa Kỳ (ước tính 300.000 thiết bị) và Vương quốc Anh (137.000 thiết bị) , phần mềm độc hại chủ yếu xuất hiện để nhắm mục tiêu người dùng di động ở Ấn Độ và các quốc gia xung quanh.
Trend Micro xác định Agent Smith là AndroidOS_InfectionAds.HRXA . Công ty cũng liên kết nó với AndroidOS_HiddenAds.HRXA và AndroidOS_Janus.ISO vì các lỗ hổng mà nó khai thác trong HĐH Android.
Tần suất phát hiện phần mềm độc hại: nhìn vào các con số
Tỷ lệ xuất hiện các biến thể phần mềm độc hại mới thường không tăng đều đặn. Các con số rất khác nhau từ nguồn này sang nguồn khác. Vì mục đích của bài viết này, chúng tôi sẽ xem xét các con số được trình bày bởi Symantec.
Ví dụ, ISTR 2019 của Symantec tuyên bố rằng có:
- 357.019.453 biến thể mới được phát hiện vào năm 2016 (tăng 0,5% so với năm trước);
- 669.947.865 biến thể mới được phát hiện vào năm 2017 (tăng 87,7% so với năm 2016); và
- 246.002.762 biến thể mới được phát hiện vào năm 2018 (giảm 63,3% so với năm 2017).
Tuy nhiên, tỷ lệ các nhóm sử dụng phần mềm độc hại đang gia tăng. Báo cáo ISTR 2019 chỉ ra rằng số lượng nhóm sử dụng phần mềm độc hại phá hoại đã tăng 25% trong năm 2018. Ngoài ra, báo cáo cho thấy rằng trong khi tổng số ca nhiễm ransomware đã cho thấy sự sụt giảm đều đặn (20% theo năm), các phát hiện doanh nghiệp thực tế tăng 12% trong năm 2018.
Suy nghĩ cuối cùng
Với hàng trăm ngàn biến thể phần mềm độc hại mới được phát hành mỗi năm – và đó chỉ là những biến thể mà chúng ta biết – không có gì ngạc nhiên khi phần mềm độc hại tiếp tục được xem là một trong những mối đe dọa hàng đầu đối với các tổ chức. Phần mềm độc hại là mối đe dọa đối với các công ty, chính phủ và người tiêu dùng. Nó nhắm mục tiêu mạng, máy chủ, IoT và thiết bị di động như nhau, và trong một số trường hợp có thể tự truyền cho nạn nhân mới.
Điều tốt nhất mà bất kỳ tổ chức nào cũng có thể làm để bảo vệ chính mình là sử dụng các biện pháp bảo mật mạng đáng tin cậy, thúc đẩy đào tạo nâng cao nhận thức người dùng, sử dụng HTTPS cho tên miền trang web của bạn và thực hiện các biện pháp bảo mật email và thực tiễn tốt nhất.
Bạn đang làm gì để bảo vệ tổ chức của mình khỏi phần mềm độc hại mới nhất?