547 tin đăng quảng cáo mua bán công cụ exploit đã được các chuyên gia của Kaspersky Digital Footprint Intelligence phát hiện từ tháng 1/2023 – 9/2024.
Những mẩu tin quảng cáo được đăng trên nhiều diễn đàn web đen và các kênh ẩn danh trên ứng dụng Telegram. Phân nửa trong số đó nhắm đến lỗ hổng zero-day và lỗ hổng one-day. Tuy nhiên, thị trường ngầm vốn tràn lan các hành vi lừa đảo, nên việc liệu các công cụ này được rao bán có thể thực sự sử dụng được không vẫn là vấn đề khó xác minh. Ngoài ra, Kaspersky cũng ghi nhận mức giá trung bình mua bán exploit cho các cuộc tấn công từ xa lên tới 100.000 USD.
Exploit là công cụ mà tội phạm mạng sử dụng để khai thác lỗ hổng phần mềm (như các phần mềm của Microsoft) nhằm thực hiện các hành vi bất hợp pháp, như truy cập trái phép hoặc đánh cắp dữ liệu.
Hơn một nửa (51%) các bài đăng trên web đen rao bán hoặc tìm mua exploit nhắm vào lỗ hổng zero-day hoặc lỗ hổng one-day.
Zero-day exploit nhắm vào các lỗ hổng chưa được nhà cung cấp phần mềm phát hiện và khắc phục, trong khi one-day exploit nhắm vào lỗ hổng đã được phát hiện và khắc phục, nhưng hệ thống chưa cài đặt bản cập nhật vá lỗi.
Bà Anna Pavlovskaya – Chuyên gia phân tích cấp cao tại Kaspersky Digital Footprint Intelligence, cho biết: “Exploit có thể nhắm đến bất kỳ chương trình, phần mềm nào, nhưng công cụ này được săn lùng nhiều nhất và có giá cao thường nhắm đến các phần mềm dành cho doanh nghiệp.
Tội phạm mạng có thể sử dụng exploit để đánh cắp thông tin doanh nghiệp hoặc theo dõi một tổ chức mà không bị phát hiện để đạt được mục đích.
Một số exploit được rao bán trên web đen có thể là “hàng giả” hoặc chưa hoàn chỉnh, và hoạt động không hiệu quả giống như quảng cáo. Hơn nữa, phần lớn giao dịch diễn ra dưới dạng giao dịch ngầm. Hai yếu tố kể trên khiến việc đánh giá quy mô thực sự của thị trường này trở nên vô cùng khó khăn”.
Cũng theo bà Anna Pavlovskaya: “Trong năm nay, hoạt động mua bán exploit đạt đỉnh vào tháng 5 với 50 giao dịch, cao hơn đáng kể so với mức trung bình 26 bài hàng tháng trước đó.
Biến động của thị trường exploit thường không thể đoán trước và rất khó liên kết với các sự kiện cụ thể.
Tháng 5 cũng chứng kiến giao dịch một exploit zero-day của Microsoft Outlook với giá gần 2 triệu USD, đây là một trong những giao dịch có giá trị cao nhất trong thời gian khảo sát.
Mặc dù có những biến động, nhìn chung thị trường exploit vẫn luôn tồn tại và mối đe dọa luôn hiện hữu. Vì vậy, việc thực hiện các biện pháp rà soát an ninh mạng là rất cần thiết, như thường xuyên cập nhật bản vá và giám sát tài sản kỹ thuật số trên web đen”.
Thị trường web đen cung cấp rất nhiều loại exploit khác nhau, trong đó hai loại phổ biến nhất là loại công cụ nhắm đến lỗ hổng cho phép tấn công từ xa (RCE – Remote Code Execution) và nhắm đến lỗ hổng nâng cấp quyền (LPE – Local Privilege Escalation).
Theo phân tích, hơn 20 tin quảng cáo, giá trung bình của exploit nhắm đến RCE rơi vào khoảng 100.000 USD, trong khi mã khai thác LPE thường có giá khoảng 60.000 USD. Exploit nhắm đến lỗ hổng RCE được đánh giá là nguy hiểm hơn vì kẻ tấn công có thể chiếm quyền điều khiển một phần hoặc toàn bộ hệ thống hay truy cập dữ liệu bảo mật.
Theo Kaspersky, một số biện pháp dưới đây có thể tỏ ra hiệu quả trong việc chủ động đối phó với các mối đe dọa liên quan đến lỗ hổng và exploit:
- Sử dụng Kaspersky Digital Footprint Intelligence để chủ động theo dõi thị trường web đen và sớm phát hiện những mối đe dọa nhắm vào hệ thống doanh nghiệp.
- Sử dụng các giải pháp từ dòng sản phẩm Kaspersky Next để bảo vệ doanh nghiệp khỏi các mối đe dọa. Với EDR và XDR, Kaspersky Next cung cấp khả năng bảo vệ theo thời gian thực, phát hiện, điều tra và phản ứng ngay lập tức. Giải pháp này phù hợp cho các tổ chức thuộc mọi quy mô và ngành nghề.
- Thường xuyên thực hiện đánh giá bảo mật để xác định và vá các lỗ hổng trước khi kẻ xấu lợi dụng để thực hiện các cuộc tấn công an ninh mạng.
LƯU TỈNH THỨC
