Kaspersky: các hoạt động trên thị trường Darknet tại APEC đều liên quan đến rò rỉ dữ liệu

Theo dõi nguồn dữ liệu từ bên ngoài bằng dịch vụ Kaspersky Digital Footprint Intelligence, bao gồm Darknet, mang đến cái nhìn tổng quan về các giai đoạn hoạt động khác nhau của tội phạm mạng trong một chu kỳ tấn công. Kết quả của báo cáo giúp các tổ chức và quốc gia theo dõi những mối đe dọa từ bên ngoài và luôn được cập nhật về hoạt động tiềm ẩn của tội phạm mạng, bao gồm những chủ đề đang được bàn tán trên Darknet.

Hai loại dữ liệu chính được tìm thấy khi tiến hành phân tích dấu ấn số của tổ chức: hoạt động lừa đảo và dấu vết của tấn công mạng. Kaspersky cũng phát hiện nhiều dấu hiệu lừa đảo, tuy nhiên báo cáo này sẽ tập trung vào việc phát hiện tấn công.

Hoạt động của Darknet liên quan đến tác động của cuộc tấn công (quảng cáo về việc bán dữ liệu bị rò rỉ và dữ liệu bị xâm phạm) thống trị các số liệu thống kê vì chúng được lan truyền theo thời gian, nơi bọn tội phạm bán, bán lại và đóng gói lại rất nhiều dữ liệu bị rò rỉ trong quá khứ.

Số lượng quảng cáo trên Darknet năm 2021 về dấu hiệu tấn công mạng

Giai đoạn 1: Tạo nhu cầu mua quyền truy cập

Tội phạm mạng – những kẻ đưa ra lời mời để có được quyền truy cập nhận thấy rằng dư địa thị trường cho nội dung quảng cáo này rất lớn. Các tổ chức tại Úc, Ấn Độ, Trung Quốc và Pakistan là những mục tiêu chính. Các quốc gia này chiếm 84% danh mục quảng cáo trong giai đoạn chuẩn bị.

Ví dụ đơn đặt hàng mua quyền truy cập

Xét về quy mô cơ sở hạ tầng, kinh doanh và mức độ công nghiệp hóa, Trung Quốc ít thu hút sự chú ý hơn. Nguyên nhân có thể do rào cản ngôn ngữ và sự phức tạp với quyền truy cập vào mạng theo cấp độ tại quốc gia này.

Đơn đặt hàng mua các hoạt động trong tổ chức là yêu cầu mua dịch vụ thể hiện các hoạt động của tổ chức có thể gây ra rò rỉ dữ liệu và thông tin mật, dịch vụ thu thập thông tin nguồn (chẳng hạn như yêu cầu trích xuất dữ liệu PII). Những đơn đặt hàng này là loại khó phát hiện nhất đối với việc lập kế hoạch khắc phục.

Giai đoạn 2: Đặt hàng quyền truy cập – giai đoạn sẵn sàng để tấn công

Bằng chứng tìm được cho thấy kẻ tấn công đã có khả năng hoặc có quyền truy cập vào hệ thống hoặc dịch vụ của tổ chức, nhưng không có doanh nghiệp nào bị ảnh hưởng. Về quảng cáo trên Darknet, điều đồng nghĩa với việc tấn công đã được thực hiện, Úc, Ấn Độ, Trung Quốc và Philippines chiếm 75% quảng cáo bị Kaspersky phát hiện.

Ba loại hình quảng cáo chính:

• Giao dịch truy cập bước đầu: bán hàng theo đơn lẻ, hoặc bán sỉ đối với tổ chức phân loại theo ngành nghề, khu vực.
• Kinh doanh hoạt động: Đơn đặt hàng mua các hoạt động trong tổ chức là yêu cầu mua dịch vụ thể hiện các hoạt động của tổ chức có thể gây ra rò rỉ dữ liệu và thông tin mật, dịch vụ thu thập thông tin nguồn (chẳng hạn như yêu cầu trích xuất dữ liệu PII). Nguồn thông tin thường đến từ “nội gián” của tổ chức đó.
• Phát tán phần mềm độc hại: malware đánh cắp thông tin thu thập các thông tin xác thực, biến chúng thành dữ liệu có thể bán lại hoặc có thể truy cập bằng tên người dùng và mật khẩu của tài khoản.

Giai đoạn 3: Rò rỉ dữ liệu và buôn bán dữ liệu

Rò rỉ dữ liệu xuất hiện kéo theo việc bán thông tin hoặc quyền truy cập miễn phí vào thông tin đó. Một dấu hiệu cho thấy sự xâm phạm có thể là rò rỉ dữ liệu cũng như các đơn đặt hàng hoạt động nội bộ: bán hoặc truy cập miễn phí vào dữ liệu nội bộ, bao gồm nhưng không giới hạn ở cơ sở dữ liệu, tài liệu bí mật, PII, thẻ tín dụng, thông tin VIP, dữ liệu tài chính và nhiều hơn nữa.

Số lượng quảng cáo cho thấy tấn công đã được thực hiện

Bảo vệ công ty trước các mối đe dọa

Nhu cầu về dữ liệu cá nhân và doanh nghiệp trên thị trường chợ đen rất cao và không phải lúc nào nó cũng liên quan đến các cuộc tấn công có chủ đích. Những kẻ tấn công có thể giành quyền truy cập vào cơ sở hạ tầng của một công ty ngẫu nhiên để bán nó cho những kẻ tống tiền hoặc tội phạm mạng tiên tiến khác sau này.

Một cuộc tấn công như vậy có thể ảnh hưởng đến một công ty ở bất kỳ quy mô nào, lớn hay nhỏ, bởi vì quyền truy cập hệ thống của công ty thường được định giá tương ứng trên các diễn đàn ngầm, đặc biệt là so với thiệt hại tiềm ẩn đối với một doanh nghiệp.

Tội phạm mạng trên dark web thường cung cấp quyền truy cập từ xa qua RDP. Để bảo vệ cơ sở hạ tầng của công ty khỏi các cuộc tấn công thông qua các dịch vụ điều khiển và truy cập từ xa, hãy đảm bảo kết nối qua giao thức này được bảo mật bằng cách:

• Chỉ cấp quyền truy cập vào dịch vụ (ví dụ như RDP) qua VPN
• Sử dụng mật khẩu mạnh mẽ và Xác thực cấp độ mạng
• Sử dụng xác thực hai yếu tố cho tất cả các dịch vụ
• Theo dõi rò rỉ quyền truy cập dữ liệu. Dịch vụ giám sát dark web có sẵn tại Kaspersky Threat Intelligence (Thám báo mối đe dọa).