Hơn 61 triệu tài khoản, bản ghi thông tin cá nhân bị lộ lọt trong nửa đầu năm 2024

Đầu năm 2024 chứng kiến sự bùng nổ rao bán thông tin người dùng, dữ liệu hệ thống cùng nhiều dữ liệu nhạy cảm của doanh nghiệp lớn tại Việt Nam. Số lượng các vụ rao bán, chia sẻ dữ liệu nhạy cảm tăng vọt vào tháng 5 và 6...

Ảnh minh họa

Kể từ tháng 9/2023, mã độc Lockbit và Affiliate yêu cầu mức tiền chuộc tối thiểu là 3% doanh thu công ty hàng năm và chỉ được giảm xuống thấp nhất là mức 1,5%. Bên cạnh mô hình RaaS, Lockbit sử dụng mô hình tống tiền kép, mã hóa tống tiền và đồng thời dọa sẽ công khai các dữ liệu đã đánh cắp, nếu nạn nhân không trả tiền trong khoảng thời gian yêu cầu thì dữ liệu sẽ bị đẩy lên trang web công khai của nhóm mã độc.

Nghiên cứu chỉ rõ, các vụ tấn công ransomware có dấu hiệu tăng mạnh về số lượng và mức độ ảnh hưởng khi các công ty, tổ chức lớn trở thành mục tiêu bị nhắm đến nhiều nhất. Tin tặc thường tận dụng nhiều phương thức để phát tán ransomware bao gồm email lừa đảo, tạo ra các trang web giả mạo và sử dụng các lỗ hổng bảo mật để xâm nhập vào hệ thống mục tiêu. Mục tiêu chính của Ransomware là các máy chủ dễ bị tấn công, nơi có nhiều dữ liệu quan trọng và cơ hội lớn để đòi tiền chuộc.

Hệ thống ghi nhận nhiều nguy cơ tấn công ransomware mã hóa dữ liệu và hạ tầng ảo hóa của các tổ chức, doanh nghiệp tại Việt Nam. Kẻ tấn công leo thang, nằm sâu trong hệ thống và thực hiện mã hóa qua các phương thức: lợi dụng lỗ hổng của các ứng dụng công khai trong tổ chức (email, website…); tài khoản đăng nhập các hệ thống quan trọng của các tổ chức bị đánh cắp…

Trong hai quý đầu năm, có nhiều cảnh báo về các loại mã độc Stealer (đánh cắp thông tin) khác nhau nhắm mục tiêu vào khu vực Đông Nam Á và Việt Nam.

Thống kê trong 6 tháng đầu năm đã ghi nhận 2.364 tên miền lừa đảo nhắm vào người dùng, khách hàng của các tổ chức lớn tại Việt Nam. Số lượng tên miền lừa đảo tăng 1,2 lần so với cùng kỳ năm 2023. Sự gia tăng về số lượng qua hàng năm cho thấy đây vẫn đang là xu hướng chính của các nhóm tội phạm công nghệ cao tại Việt Nam. Ngoài ra, Viettel Threat Intelligence cũng đã phát hiện và cảnh báo 496 trang giả mạo, sử dụng trái phép thương hiệu của các tổ chức lớn tại Việt Nam, tăng gấp 4 lần so với cùng kỳ năm 2023.

Về mặt hình thức, trong nửa đầu năm 2024, các nhóm tội phạm áp dụng công nghệ AI (sử dụng AI tạo kịch bản lừa đảo, sử dụng DeepFake/DeepVoice, …) trong các chiến dịch lừa đảo. Một số hình thức lừa đảo phổ biến được các nhóm tội phạm mạng sử dụng trong các chiến dịch tấn công như: Lừa đảo, giả mạo các dịch vụ liên quan đến thẻ tín dụng; Lừa đảo, giả mạo cơ quan chức năng để cài đặt ứng dụng Android độc hại trên các thiết bị di động; Lừa đảo hỗ trợ thu hồi vốn, thu hồi tiền bị treo.

Trong số các ngành, ngành tài chính ngân hàng vẫn là nhóm đứng đầu về các cuộc tấn công lừa đảo, giả mạo, chiếm tới 71% tổng số các cuộc tấn công.

TÀI KHOẢN BỊ LỘ LỌT TĂNG 1,5 LẦN SO VỚI CÙNG KỲ NĂM 2023

Trong nửa đầu năm 2024, số lượng lỗ hổng ghi nhận trên thế giới đã tăng 42% so với cùng kỳ năm 2023. Qua giám sát và xử lý sự cố, số lượng lỗ hổng phát hiện trong 6 tháng đầu năm 2024 tăng mạnh từ 12.410 của năm 2023 lên 17.648 lỗ hổng.

Trong đó, tổng số lượng lỗ hổng mức cao và nghiêm trọng chiếm tỷ lệ 51% trên tổng số lỗ hổng được công bố trên không gian mạng. Viettel Threat Intelligence ghi nhận có 71 lỗ hổng trong 6 tháng đầu năm 2024 có nguy cơ ảnh hưởng lớn tới các tổ chức, doanh nghiệp tại Việt Nam.

Ngoài ra, hệ thống Viettel Anti-DDoS của VCS đã ghi nhận tổng số cuộc tấn công từ chối dịch vụ phân tán (DDoS) lên tới gần 495.000 cuộc tấn công, tăng 16% so với tổng số cuộc tấn công trong 6 tháng đầu năm 2023. Trong đó, hơn 50% số lượng cuộc tấn công tập trung vào tháng 2.

Đặc biệt trong quý 1 đã xuất hiện nhiều cuộc tấn công lợi dụng giao thức DNS để tấn công vào các khách hàng của VCS thuộc lĩnh vực tài chính, kết hợp với kiểu tấn công phức tạp Hitand-Run nhằm gây gián đoạn các dịch vụ của khách hàng.

Nguyên nhân dẫn tới số lượng tấn công tăng cao hơn so với cùng kỳ năm 2023 là do sự thay đổi về hình thức tấn công. Nếu như trước đây, các cuộc tấn công DDoS là các cuộc tấn công với cường độ rất lớn, lên tới hàng trăm Gbps, tấn công với tần suất không quá nhiều thì giờ đây cuộc chơi về DDoS đã thay đổi.

Trong nửa đầu năm 2024, Viettel Threat Intelligence ghi nhận hơn 61 triệu tài khoản bị lộ lọt, tăng 1,5 lần so với cùng kỳ năm 2023. Sự phát triển của các nhóm tấn công đánh cắp mã độc, cũng như mô hình Stealer-as-a-Service dẫn tới sự gia tăng mạnh mẽ số lượng tài khoản lộ lọt.

Các chuyên gia cho biết có rất nhiều trường hợp lộ lọt thông tin tài khoản đăng nhập vào các hệ thống quan trọng và nhạy cảm như hệ thống Email, hệ thống quản lý tập trung SSO hoặc hệ thống VPN dùng để truy cập nội bộ. Điều này dẫn tới nguy cơ hệ thống doanh nghiệp sẽ bị ảnh hưởng lớn nếu các thông tin này rơi vào tay kẻ xấu với mục đích phá hoại, đánh cắp thông tin.

Đầu năm 2024 chứng kiến sự bùng nổ của việc rao bán thông tin người dùng, dữ liệu hệ thống cùng nhiều dữ liệu nhạy cảm của các doanh nghiêp lớn tại Việt Nam. Số lượng các vụ rao bán, chia sẻ dữ liệu nhạy cảm tăng vọt vào tháng 5 và tháng 6. Nửa đầu năm 2024 ghi nhận 46 vụ lộ lọt dữ liệu tại Việt Nam với khoảng 13 triệu bản ghi dữ liệu khách hàng, 12,3GB mã nguồn, 16GB dữ liệu.

Việc lộ lọt dữ liệu cũng có nguyên nhân do vô tình tải lên các nền tảng công khai. Trong 6 tháng đầu năm 2024, Viettel Threat Intelligence đã phát hiện nhiều trường hợp lộ lọt dữ liệu, trong đó có 7 trường hợp mức độ cao liên quan tới các lĩnh vực ngân hàng và công nghệ.