Tình hình an ninh mạng tháng 12 năm 2016

Một số trong những bài học quan trọng từ Intelligence mới nhất tháng 12, và bối cảnh mối đe dọa nói chung, bao gồm sự gia tăng về số lượng các cuộc tấn công web bị chặn bởi Symantec, sự trở lại của một mối đe dọa disk-wiping (xóa sạch đĩa không thể phục hồi) đặc biệt khó chịu, và làm thế nào Symantec đã đóng một vai trò quan trọng trong hai hoạt động thực thi pháp luật.

Tấn công Web

Tháng trước, số lượng các cuộc tấn công web bị chặn bởi Symantec mỗi ngày tăng lên 388,000, tăng so với 291.000 của tháng trước.

Hình 1. Số lượng các cuộc tấn công web bị chặn tăng trong tháng 12 lên đến 388.000 lượt mỗi ngày.
Hình 1. Số lượng các cuộc tấn công web bị chặn tăng trong tháng 12 lên đến 388.000 lượt mỗi ngày.

Không có thay đổi trong bộ khai thác trên top ba bảng xếp hạng cho tháng 12. RIG giữ vị trí số 1 cho tháng thứ tư liên tiếp với 34,8 phần trăm của tất cả các hoạt động của bộ khai thác. Hoạt động của Fiesta tăng nhẹ lên 4,2%, giữ nguyên bộ khai thác ở vị trí thứ 2. Và mặc dù Magnitude cũng tăng cường hoạt động của nó so với tháng trước (lên 2,6-3,2%) nó vẫn đứng thứ 3 sau khi bị loại khỏi vị trí thứ 2 của Fiesta trong tháng 11.

Tuy nhiên, một khai thác kit mới đến trong bối cảnh trong tháng 12. Được mệnh danh là Stegano sữ dụng steganography – một phương pháp giấu những nội dung bên trong dữ liệu khác, bộ khai thác mới này che giấu mã tấn công của nó trong từng điểm ảnh quảng cáo độc hại được lưu trữ trên các trang web tin tức nổi tiếng.

Mã độc

Số lượng các biến thể phần mềm độc hại mới nhìn thấy vào tháng này giảm xuống còn 19,5 triệu (giảm từ 71.200.000 trong tháng 11). Đây là mức thấp nhất từng thấy kể từ tháng 7 năm ngoái. Sự sụt giảm có thể là kết quả của một sự suy giảm trong hoạt động xung quanh gia đình Kotver (Trojan.Kotver) của các mối đe dọa, mà thấy hoạt động đáng kể từ tháng 8 đến tháng 11 năm ngoái.

Symantec tiếp tục đóng một vai trò quan trọng trong cuộc chiến chống tội phạm mạng vào tháng trước, giúp ảnh hưởng nghiêm trọng đến hoạt động của mạng lưới phần mềm độc hại của nhà cung cấp hosting Avalanche, có trách nhiệm cho một loạt các thư rác, lừa đảo, và các hoạt động phần mềm độc hại. Các hoạt động gỡ bỏ cơ sở hạ tầng quốc tế bị phá bỏ được sử dụng bởi ít nhất 17 gia đình bao gồm cả phần mềm độc hại Trojan Zeus (Trojan.Zbot), và gia đình ransomware như Trojan.Ransomlock.PTrojan.Bebloh.

Tháng trước cũng thấy 2 người Rumani được biết đến như là băng đảng Bayrob bị phạt do bị cáo buộc điều hành một hoạt động gian lận lâu dài kiếm được hàng triệu đô la. Symantec hỗ trợ FBI vào cuộc điều tra kéo dài dẫn đến việc bắt giữ những người này. Symantec đã theo dõi hoạt động của băng đảng của Bayrob kể từ năm 2007 khi bắt đầu sử dụng phần mềm độc hại (Trojan.Bayrob) để lây nhiễm các máy tính và hiển thị các trang đấu giá trực tuyến giả mạo để đánh lừa người dùng nghĩ rằng họ đang tiến hành mua hàng hợp pháp.

Việc sử dụng các script PowerShell độc hại ngày càng tăng, theo một nghiên cứu được tiến hành bởi Symantec trong tháng 12. Trong suốt 6 tháng, các nghiên cứu của chúng tôi cho thấy rằng 95,4% của các script PowerShell gửi tới Symantec là độc hại. Những kẻ tấn công đang sử dụng sự linh hoạt của framework tải về các payloads của họ, đi ngang qua một hệ thống mạng bảo mật kém, và thực hiện các trinh sát. Mối đe dọa phổ biến có sử dụng kỹ thuật này bao gồm W97M.Downloader, Trojan.Kotver, và JS.Downloader.

Chúng tôi cũng chứng kiến sự trở lại của các phần mềm độc hại disk-wiping khét tiếng được biết đến như Shamoon (W32.Disttrack) trong tháng 12. Các phần mềm độc hại đã nổi tiếng vào năm 2012 khi nó được sử dụng trong các cuộc tấn công chống lại các công ty năng lượng của Saudi. Tháng trước, Shamoon lại nổi lên trong một làn sóng các cuộc tấn công chống lại các mục tiêu mới ở Ả Rập Saudi.

Spam

Tỷ lệ thư rác toàn cầu giảm nhẹ trong tháng 12 đến 54,2%, giảm 0,1 điểm% từ tháng 11. Các tổ chức với 1,001-1,500 nhân viên có tỷ lệ thư rác cao nhất trong ngày và khu vực xây dựng là ngành công nghiệp có tốc độ spam cao nhất tăng 2,1 điểm%, lên 63,3%.

Hình 2. Tỷ lệ thư rác toàn cầu giảm nhẹ trong tháng 12 với 54,2%
Hình 2. Tỷ lệ thư rác toàn cầu giảm nhẹ trong tháng 12 với 54,2%

Báo cáo xuất hiện trong tháng 12 của một phiên bản cải tiến của kỹ thuật hailstorm spam cũ được sử dụng để lây lan Dridex (Trojan.Cridex) và Locky (Ransom.Locky). Điều này chứng tỏ các vấn đề spam email cho thấy không có dấu hiệu dần biến mất. Kỹ thuật này sử dụng nhiều địa chỉ IP để gửi ra với khối lượng lớn thư rác trong một thời gian ngắn và có nguồn gốc từ snowshoe spam.

Phishing

Phishing vẫn là một mối đe dọa lớn cho các tổ chức, như đánh dấu tháng trước khi  LA County Chief Executive Office đã ban hành một thông báo công khai tiết lộ rằng 756.000 dân California sẽ nhận được thư thông báo vi phạm vì 108 nhân viên LA County bị dính email lừa đảo trước đó trong năm nay.

Tỷ lệ lừa đảo giảm trong tháng trước, xuống đến 3,357 email. Đặc biệt, các lĩnh vực Mining đã thấy giảm đáng kể trong hoạt động lừa đảo trong tháng 12, giảm đến 972 email trong tháng 11 là 5423 email. Các tổ chức doanh nghiệp có 1-250 nhân viên có tỷ lệ lừa đảo cao nhất cho tháng 12 với 3,575 emali trong cuộc tấn công lừa đảo.

Thiết bị di động

Trong tháng này các nhà nghiên cứu phát hiện ra ít nhất 28 các mẫu điện thoại Android có chi phí thấp có chứa phần mềm độc hại được xây dựng bên trong phần mềm để tải phần mềm quảng cáo và các ứng dụng có khả năng không mong muốn khác. Các phần mềm downloader (Android.Malapp) đã được tìm thấy trong các phần mềm của các mẫu điện thoại được sản xuất bởi một số thương hiệu. Trong một số trường hợp, các phần mềm cũng có thể thực hiện cuộc gọi điện thoại, hiển thị quảng cáo, và mở các liên kết trong trình duyệt của điện thoại.

Tháng 12 trở thành tháng thứ 6 liên tiếp, trong đó có gia đình phần mềm độc hại Android mới được phát hiện. Tuy nhiên, các số lượng biến thể mỗi gia đình tăng lên một lần nữa đến 59.

*Trê n đây là thông tin tình hình an ninh mạng trong tháng 12 vừa qua*

symantec