Trong một năm đầy biến động chứng kiến sự ra đi của Nữ hoàng Elizabeth II, ba lần thay đổi thủ tướng Vương quốc Anh và cuộc xung đột Nga-Ukraine..., nhưng có điều đáng tiếc không thay đổi là tội phạm mạng gia tăng các cuộc tấn công.

Một số xu hướng chiếm ưu thế: Ransomware (mã độc tống tiền) vẫn phổ biến, được thúc đẩy bởi doanh thu tuyệt đối dành cho các băng đảng và tội phạm tham gia vào thị trường béo bở này. Nhóm hacker Lapsus$ đã đặc biệt tích cực hoạt động vào năm 2022, bị cáo buộc vi phạm những công ty như Microsoft, Uber và Nvidia.

Làm đứt gẫy chuỗi cung ứng vẫn là một phương thức tấn công phổ biến của tội phạm mạng, với vụ vi phạm dữ liệu diễn ra đầu năm vào Okta (một công ty cung cấp ứng dụng xác thực của Mỹ), cho thấy thiệt hại có thể gây ra cho danh tiếng của một công ty nếu họ không hành động nhanh chóng trong việc tiết lộ sự cố.

Tội phạm mạng cũng đã bắt đầu mở rộng tầm nhìn của chúng để tập trung vào các loại tiền kỹ thuật số, với các sàn giao dịch tiền điện tử, các nền tảng ứng dụng và ví cá nhân ngày càng được nhắm mục tiêu trong suốt cả năm.

Dưới đây là tổng hợp những câu chuyện ‘kinh dị’ về an ninh đáng sợ nhất năm 2022.

Lỗ hổng Log4Shell tàn phá suốt năm 2022

Lỗ hổng Log4Shell tiếp tục tàn phá các doanh nghiệp một năm sau lần đầu tiên gây chấn động ngành bảo mật. Được phát hiện vào tháng 12/2021, lỗ hổng thực thi mã từ xa zero-day (RCE) trong trình ghi nhật ký Java Log4j có tác động rất lớn do số lượng ứng dụng và dịch vụ khổng lồ mà nó cung cấp: Log4j được hàng triệu máy tính thuộc nhiều tổ chức sử dụng và là nền tảng cho nhiều dịch vụ internet và các ứng dụng, bao gồm Twitter, Microsoft và Amazon.

Với xếp hạng quan trọng 10/10, lỗ hổng Log4Shell – có ký hiệu Cơ sở dữ liệu dễ bị tổn thương quốc gia của NIST là CVE-2021-44228 – tương đối dễ khai thác vì nó không yêu cầu quyền truy cập đặc quyền để sử dụng trong các cuộc tấn công. Do đó, không có gì ngạc nhiên khi chỉ 24 giờ sau khi nó được tiết lộ, các nhà nghiên cứu tại công ty bảo mật Checkpoint đã ghi nhận gần 200.000 nỗ lực khai thác lỗ hổng. Một tuần sau khi Log4Shell được công khai, bọn tội phạm mạng và các tác nhân độc hại khác đã sử dụng lỗ hổng này như một phần của hơn 1,2 triệu cuộc tấn công trên toàn cầu.

Sự cố Log4Shell vẫn tồn tại cho đến năm 2022. 

Vào tháng 11, công ty bảo mật Tenable đã phát hiện ra rằng mặc dù đã vá và giảm thiểu sự cố nhưng vẫn có tới 72% công ty dễ bị tấn công bởi Log4Shell.

Vụ hack lớn trên Uber được tuyên bố bởi nhóm Lapsus$ khét tiếng

Uber nhận thấy mình bị cuốn vào một trong những vụ vi phạm an ninh lớn nhất trong năm khi những đối thủ cạnh tranh độc hại có thể truy cập vào hệ thống sau khi lừa một nhân viên cung cấp thông tin chi tiết về cách truy cập như vpn, tin nhắn.

Tin tức về vụ vi phạm lần đầu tiên được báo New York Times đưa tin vào tháng 9, với việc chính kẻ tấn công đã thông báo cho cơ quan đăng tải về vụ việc. Ngay sau đó, công ty đã chỉ tay vào nhóm hack Lapsus$, nhóm đã nhắm mục tiêu vào các công ty công nghệ khác bao gồm Microsoft và Nvidia, là những kẻ khởi xướng cuộc tấn công.

Uber cho biết đối thủ đã giành được quyền truy cập vào tài khoản của nhà thầu bằng cách spam lời nhắc xác thực đa yếu tố. Uber nghi ngờ thiết bị từ phía đối tác đã bị nhiễm phần mềm độc hại, cho phép kẻ tấn công đánh cắp thông tin đăng nhập và bán chúng trực tuyến.

Theo Uber, dữ liệu của khách hàng không bị xâm phạm, nhưng công ty đã nhanh chóng bắt tay vào tuyển dụng để củng cố hệ thống phòng thủ an ninh của mình.

Ransomware tiếp tục tấn công các tổ chức trên toàn cầu

Ransomware tiếp tục tàn phá các tổ chức trên khắp thế giới vào năm 2022, trong đó nổi bật là hai cuộc tấn công.

Đầu tiên là cú tấn công kép ảnh hưởng đến Costa Rica, quốc gia đã hứng chịu hàng loạt cuộc tấn công trong năm. Vào tháng 4, Costa Rica đã bị tấn công mạng nhắm vào cơ sở hạ tầng dân sự quan trọng.

Tháng tiếp theo, ngay khi vừa đứng vững trở lại, họ tiếp tục bị tấn công bởi một cuộc tấn công bằng mã độc tống tiền mới, lần này nhắm vào Quỹ An sinh Xã hội Costa Rica (CCSS), cơ quan điều hành hoạt động chăm sóc sức khỏe cộng đồng của quốc gia này. Hơn 30.000 cuộc hẹn y tế đã phải dời lại sau khi nhóm ransomware Hive – được cho là có một số liên kết với những kẻ tấn công ban đầu – đã đánh sập các hệ thống CNTT trên khắp các bệnh viện và phòng khám của đất nước

Nhìn chung, các cuộc tấn công đã gây thiệt hại cho các tổ chức hoạt động ở Costa Rica hàng trăm triệu USD.

Sự cố ransomware lớn thứ hai trong năm diễn ra vào tháng 10, khi công ty bảo hiểm y tế Medibank của Úc bị tấn công bởi một nhóm ransomware có liên quan đến nhóm tội phạm REvil nói tiếng Nga. Khi công ty từ chối trả tiền chuộc, băng nhóm này đã công bố hồ sơ y tế nhạy cảm bao gồm tên khách hàng, số hộ chiếu, ngày sinh và thông tin yêu cầu bồi thường. Những kẻ tấn công thậm chí còn tách dữ liệu khách hàng bị đánh cắp thành danh sách “nghịch ngợm” và “tốt”, tùy thuộc vào việc chẩn đoán có liên quan đến các yếu tố như nghiện ma túy hay lạm dụng rượu hay không.

Các vụ trộm bitcoin tấn công các sàn giao dịch tiền điện tử, nền tảng và ví cá nhân

Những kẻ tấn công mạng sẽ luôn theo dõi tiền và tiền điện tử cũng không ngoại lệ. Hơn nữa, các giao dịch tiền điện tử là giao dịch nặc danh không liên quan đến danh tính của mọi người, khiến chúng trở thành một món hàng tiềm năng hấp dẫn đối với bọn tội phạm.

Vào tháng 10, có thông tin cho rằng các nhà đầu tư đã mất hơn 3 tỷ USD (2,46 tỷ bảng Anh) cho những kẻ tấn công trong 125 vụ hack vào năm 2022 cho đến nay. Theo công ty phân tích chuỗi khối Chainalysis, điều này có thể sẽ vượt qua năm 2021 để trở thành năm kỷ lục về số vụ hack lớn nhất.

Trong số các sự cố lớn vào năm 2022, đầu năm chứng kiến sàn giao dịch tiền điện tử Crypto.com do Matt Damon hậu thuẫn bị tấn công, ảnh hưởng đến 483 người dùng. Trang web thừa nhận những kẻ tấn công đã có thể kiếm được 35 triệu đô la tiền rút trái phép Bitcoin và Ether do vụ trộm.

Sau đó vào tháng 2, những kẻ tấn công đã đánh cắp 320 triệu USD từ giao thức Wormhole – cầu nối liên kết các chuỗi khối tiền điện tử Ethereum và Solana. Tháng sau, Mạng Ronin đã mất hơn 620 triệu USD sau khi kẻ tấn công đã chiếm được mã khóa riêng và giả mạo nơi rút tiền của khách hàng. Sau đó vào tháng 4, Beanstalk Farms – một mạng lưới cân bằng cung và cầu tiền điện tử – đã bị tấn công và 182 triệu USD tiền kỹ thuật số bị đánh cắp.

Vào tháng 8, những kẻ tấn công đã vi phạm Nomad, một chương trình cho phép người dùng trao đổi mã thông báo từ chuỗi khối này sang chuỗi khối khác, đánh cắp khoảng 190 triệu USD Bitcoin.

Cuộc xung đột Nga-Ukraine làm dấy lên lo ngại tấn công mạng

Các chuyên gia an ninh mạng bắt đầu cảnh báo về nguy cơ xảy ra các cuộc tấn công mạng lan rộng bắt nguồn từ Nga ngay sau xảy ra cuộc xung đột ở Ukraine vào tháng 2/2022. Người ta lo ngại rằng tin tặc Nga sẽ cố gắng xâm phạm cơ sở hạ tầng quan trọng như lưới điện và những cuộc tấn công này cũng có thể nhắm vào Ukraine cùng các đồng minh, trong đó có Anh và Mỹ.

Vào tháng 3, Tổng thống Hoa Kỳ Joe Biden đã cảnh báo các doanh nghiệp trong các lĩnh vực quan trọng cần phải cảnh giác trong bối cảnh mối đe dọa mạng ngày càng tăng của Nga. Trung tâm An ninh mạng Quốc gia (NCSC) cũng cảnh báo rằng phần mềm độc hại HermeticWiper đang được sử dụng để chống lại các tổ chức Ukraine và cho biết phần mềm độc hại này có thể ảnh hưởng đến các quốc gia khác.

Nhưng nói chung, các cuộc tấn công có phạm vi hạn chế và đơn giản, ít nhất một phần do Hoa Kỳ và châu Âu đã cung cấp kiến thức chuyên môn quan trọng về không gian mạng cho Ukraine và các quốc gia Đông Âu khác trước chiến tranh.

Điều đó không có nghĩa là không có tác động xấu và một số cuộc tấn công đã gây ra sự gián đoạn trong những ngày đầu của cuộc xung đột, đặc biệt là đối với các dịch vụ thông tin liên lạc...

Vào tháng 3, công ty viễn thông cố định lớn nhất của Ukraine, Ukrtelecom đã bị tấn công mạng nghiêm trọng khiến các dịch vụ của công ty trên toàn quốc ngừng hoạt động.

ProxyNotShell lỗ hổng Microsoft Exchange gây tai họa cho quản trị viên

Năm 2021, các lỗ hổng ProxyShell và ProxyLogon trong Microsoft Exchange đã thống trị các tiêu đề tìm kiếm khai thác, một phần vì chúng rất dễ khai thác. Một năm sau, một cặp lỗ hổng mới ảnh hưởng đến Exchange Server đã xuất hiện, được gọi chung là ProxyNotShell.

Được phát hiện vào tháng 9 bởi các nhà nghiên cứu bảo mật tại công ty GTSC có trụ sở tại Việt Nam, lỗi zero-day này đã nhận được một số bản sửa lỗi trước khi Microsoft phát hành bản vá vào tháng 11. GTSC cho biết trong báo cáo của mình rằng họ đã nhận thấy việc khai thác tự nhiên cả hai lỗ hổng trong ít nhất một tháng trước khi công bố phát hiện của mình và Microsoft sau đó đã xác nhận các lỗ hổng này đang được sử dụng trong các cuộc tấn công.

Hai lỗ hổng có số hiệu là CVE-2022-41040 và CVE-2022-41082, các lỗ hổng đã bị khai thác lần lượt được sử dụng để nâng cao đặc quyền thông qua giả mạo yêu cầu phía máy chủ (SSRF) để có quyền truy cập vào trình dòng lệnh PowerShell của Microsoft Exchange, sau đó thực hiện một thực thi mã từ xa trên một máy chủ dễ bị tấn công.

Cả hai sự cố đều ảnh hưởng đến các phiên bản Microsoft Exchange 2013, 2016 và 2019 và được đánh giá là có mức độ nghiêm trọng cao với điểm là 8,8/10.

Vụ hack Okta làm nổi bật khía cạnh PR của phản ứng sự cố

Khi công ty cung cấp ứng dụng xác thực Okta bị xâm phạm vào tháng 1/2022, hàng trăm khách hàng của họ đã bị ảnh hưởng. Tuy nhiên, công ty cung cấp phần mềm “đăng nhập một lần” và quản lý thông tin đăng nhập cho hơn 100 triệu khách hàng, chỉ thừa nhận rằng họ đã bị tấn công thông qua nhà cung cấp dịch vụ hỗ trợ khách hàng bên thứ ba hai tháng sau đó (tức là vào tháng Ba). Việc thừa nhận được đưa ra sau khi nhóm Lapsus$ tuyên bố rằng họ đã vi phạm dữ liệu của công ty, đăng ảnh chụp màn hình.

Trong một lần, Giám đốc an ninh của Okta David Bradbury cho biết, tin tặc đã truy cập vào máy tính của một kỹ sư hỗ trợ khách hàng làm việc cho Sykes - một phần của Tập đoàn Sitel, trong khoảng thời gian 5 ngày. 

Okta sau đó đã thừa nhận rằng họ đã “phạm sai lầm” khi trì hoãn tiết lộ vi phạm. 

Cùng với việc nhấn mạnh tầm quan trọng của an ninh chuỗi cung ứng, vi phạm Okta cho thấy sự cần thiết phải minh bạch và rõ ràng trong trường hợp xảy ra sự cố. Trong thời đại các cuộc tấn công mạng ngày càng gia tăng, khách hàng hiểu rằng có thể xảy ra vi phạm, nhưng họ cũng mong đợi phản hồi nhanh chóng và rõ ràng.