Thị trường mua bán công cụ khai thác lỗ hổng bảo mật diễn ra nhộn nhịp, trong đó có mã được rao ở mức hai triệu USD.
Theo báo cáo công bố ngày 11/10 của hãng bảo mật Kaspersky, trong thời gian từ tháng 1/2023 đến tháng 9/2024, hãng ghi nhận 547 tin đăng quảng cáo mua hoặc bán công cụ exploit, trong đó số lượng có xu hướng đi lên trong năm 2024.
Exploit chỉ các công cụ được sử dụng để khai thác lỗ hổng phần mềm, thường được tội phạm mạng mua bán để thực hiện hành vi bất hợp pháp như truy cập trái phép hoặc đánh cắp dữ liệu. Chúng được rao trên nhiều diễn đàn web đen và các kênh ẩn danh của Telegram.
Kaspersky cho biết 51% số bài đăng được ghi nhận nhắm đến việc khai thác các lỗ hổng zero-day hoặc one-day. Zero-day là lỗ hổng chưa được biết đến trước đó và chưa có bản vá, còn one-day là lỗ hổng đã được phát hiện và khắc phục, nhưng hệ thống chưa cài đặt bản cập nhật.
Thống kê số lượng tin mua bán công cụ khai thác lỗ hổng. Ảnh: Kaspersky
Theo các chuyên gia, có nhiều công cụ exploit khác nhau, nhưng phổ biến nhất là công cụ nhắm đến lỗ hổng cho phép tấn công từ xa (RCE - Remote Code Execution) và nhắm đến lỗ hổng nâng cấp quyền (LPE - Local Privilege Escalation). Trong báo cáo, giá trung bình của công cụ nhắm đến RCE khoảng 100.000 USD, trong khi mã khai thác LPE khoảng 60.000 USD. RCE được đánh giá nguy hiểm hơn vì kẻ tấn công có thể chiếm quyền điều khiển một phần hoặc toàn bộ hệ thống, hay truy cập dữ liệu bảo mật.
Tháng 5 là giai đoạn thị trường nhộn nhịp nhất, với hơn 50 giao dịch xuất hiện, gấp đôi mức trung bình trước đó. "Biến động của thị trường không thể đoán trước và rất khó liên kết với các sự kiện cụ thể", Anna Pavlovskaya, chuyên gia phân tích cấp cao tại Kaspersky Digital Footprint Intelligence, cho biết.
Theo bà, công cụ có thể nhắm đến bất kỳ chương trình, phần mềm nào, trong đó một mã khai thác zero-day của một phần mềm nổi tiếng đã được rao giá hai triệu USD trong tháng 5 và là giao dịch giá trị cao nhất được ghi nhận.
Tuy nhiên, chuyên gia của Kaspersky cũng nhấn mạnh yếu tố hiệu quả, khi các công cụ exploit nói trên chưa được xác minh, có thể là "hàng giả" để hacker lừa đảo lẫn nhau, hoặc sản phẩm chưa hoàn chỉnh và không hoạt động như quảng cáo.
"Phần lớn giao dịch diễn ra dưới dạng ngầm cũng khiến việc đánh giá quy mô thực sự của thị trường trở nên vô cùng khó khăn. Tuy nhiên, thị trường exploit vẫn luôn tồn tại và mối đe dọa luôn hiện hữu", bà Pavlovskaya nói.
Ảnh: Kaspersky
Tại sự kiện Security Bootcamp 2024 đầu tháng 10 ở Hà Nội, chuyên gia Trần Cung của Viettel Cyber Security cũng chia sẻ thống kê cho thấy khai thác lỗ hổng là kỹ thuật phổ biến nhất trong tấn công giành quyền truy cập vào hệ thống. Trong 6 tháng đầu năm tại Việt Nam, các cuộc tấn công thông qua khai thác lỗ hổng trên ứng dụng và hệ thống công khai chiếm 60,4%, cao gấp ba lần phương thức thứ hai là dùng tài khoản hay phát tán mã độc qua USB. Theo ông, các lỗ hổng phổ biến ở Việt Nam tồn tại trên một số phần mềm như Microsoft Exchange, Confluence, FortiNAC.
Để đối phó, bà Pavlovskaya cho biết cần thường xuyên thực hiện việc đánh giá bảo mật để xác định và vá lỗ hổng trước khi kẻ xấu lợi dụng. Ngoài ra, các đơn vị cần rà soát an ninh mạng, giám sát các tài sản kỹ thuật số có xuất hiện trên các diễn đàn tội phạm mạng.
Lưu Quý
Đăng thảo luận