Thị trường mua bán các công cụ khai thác bảo mật đang bùng nổ, có những mã có giá lên tới 2 triệu USD.
Theo báo cáo do công ty bảo mật Kaspersky công bố vào ngày 11 tháng 10, từ tháng 1 năm 2023 đến tháng 9 năm 2024, công ty đã ghi nhận 547 bài đăng quảng cáo mua bán công cụ khai thác, con số này có xu hướng tăng lên vào năm 2024.
Khai thác là các công cụ được sử dụng để khai thác các lỗ hổng phần mềm, thường được tội phạm mạng sử dụng để truy cập trái phép hoặc đánh cắp dữ liệu. Chúng được quảng cáo trên nhiều diễn đàn web đen và các kênh Telegram ẩn danh.
Kaspersky cho biết 51% bài đăng được ghi lại được thiết kế để khai thác lỗ hổng zero-day hoặc one-day. Lỗ hổng zero-day là lỗ hổng chưa được biết đến trước đó và chưa có bản vá, trong khi lỗ hổng một ngày là lỗ hổng đã được phát hiện và sửa chữa nhưng bản cập nhật vẫn chưa được cài đặt trên hệ thống.
Thống kê số lượng tin bài về bộ công cụ khai thác được mua bán. hình ảnh: Kaspersky
Theo các chuyên gia, có nhiều công cụ khai thác khác nhau, nhưng phổ biến nhất là những công cụ nhắm vào lỗ hổng cho phép tấn công từ xa (RCE – Remote Code Execution) và những công cụ nhắm vào lỗ hổng leo thang đặc quyền (LPE – Local Privilege Escalation). Theo báo cáo, giá trung bình của các công cụ nhắm mục tiêu RCE là khoảng 100.000 USD, trong khi giá trung bình của các lỗ hổng LPE là khoảng 60.000 USD. RCE được coi là nguy hiểm hơn vì kẻ tấn công có thể chiếm quyền kiểm soát một phần hoặc toàn bộ hệ thống hoặc truy cập dữ liệu bí mật.
Tháng 5 là khoảng thời gian bận rộn nhất của thị trường với hơn 50 giao dịch diễn ra, gấp đôi mức trung bình trước đó. Anna Pavlovskaya, nhà phân tích cấp cao tại Kaspersky Digital Footprint Intelligence, cho biết: “Diễn biến của thị trường là không thể đoán trước và khó gắn liền với các sự kiện cụ thể”.
Theo cô, công cụ này có thể nhắm mục tiêu vào bất kỳ chương trình hoặc phần mềm nào. Trong số đó, mã lỗ hổng zero-day của một phần mềm nổi tiếng có giá 2 triệu USD vào tháng 5, đây là giao dịch được ghi nhận cao nhất.
Tuy nhiên, các chuyên gia của Kaspersky cũng nhấn mạnh đến yếu tố hiệu quả. Khi các công cụ khai thác nói trên không được kiểm chứng, chúng có thể là các hacker “giả mạo” lừa đảo lẫn nhau, hoặc sản phẩm có thể chưa hoàn chỉnh hoặc không hoạt động.
Bà Pavlovskaya nói: “Hầu hết các giao dịch diễn ra ngầm, điều này cũng khiến việc đánh giá quy mô thực sự của thị trường trở nên vô cùng khó khăn. Tuy nhiên, các thị trường bóc lột vẫn tồn tại và các mối đe dọa luôn hiện hữu”.
hình ảnh: Kaspersky
Tại sự kiện Security Bootcamp 2024 diễn ra tại Hà Nội vào đầu tháng 10, chuyên gia an ninh mạng Trần Cung của Viettel cũng chia sẻ số liệu thống kê cho thấy khai thác lỗ hổng là kỹ thuật tấn công phổ biến nhất để chiếm quyền truy cập vào hệ thống. Trong 6 tháng đầu năm nay, các cuộc tấn công khai thác lỗ hổng hệ thống và ứng dụng công cộng chiếm 60,4%, gấp ba lần so với phương thức tấn công thứ hai là khai thác tài khoản hoặc phát tán mã độc qua USB. Theo ông, một số phần mềm ở Việt Nam có lỗ hổng phổ biến như Microsoft Exchange, Confluence, FortiNAC.
Pavlovskaya cho rằng để chống lại vấn đề này, cần tiến hành đánh giá bảo mật thường xuyên để xác định và vá các lỗ hổng trước khi kẻ xấu có thể khai thác. Ngoài ra, các đơn vị được yêu cầu xem xét an ninh mạng và giám sát các tài sản kỹ thuật số xuất hiện trên các diễn đàn tội phạm mạng.
Lữ Quế
