Tiết lộ: 11 chủng phần mềm độc hại và ransomware hàng đầu mà bạn cần lo lắng

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và Trung tâm An ninh mạng Úc (ACSC) đã chọn 11 họ phần mềm độc hại là mối đe dọa hàng đầu.  

Danh sách này bao gồm các phần mềm độc hại đã phát triển trong 10 năm qua dưới dạng trojan ngân hàng, trojan truy cập từ xa, kẻ đánh cắp thông tin và công cụ phân phối ransomware. 

Các cơ quan đã liệt kê các chủng phần mềm độc hại hàng đầu trong năm ngoái là Agent Tesla (kẻ đánh cắp thông tin), AZORult (kẻ đánh cắp thông tin), Formbook (kẻ đánh cắp thông tin), Ursnif (kẻ đánh cắp thông tin ngân hàng), LokiBot (kẻ đánh cắp thông tin xác thực Trojan), ĐẢO MOUSE (phân phối phần mềm ransomware), NanoCore (kẻ đánh cắp thông tin xác thực), Qakbot (trojan đa năng), Remcos (trojan truy cập từ xa), TrickBot (trojan/phân phối phần mềm ransomware đa năng) và GootLoader (nền tảng phần mềm độc hại đa tải trọng).

XEM: Đây là những mối đe dọa an ninh mạng lớn nhất. Hãy chắc chắn rằng bạn không bỏ qua chúng

Phần mềm độc hại trong danh sách được sử dụng chủ yếu để thu lợi tài chính hơn là gián điệp mạng. “Những người sử dụng phần mềm độc hại phổ biến nhất trong số các loại phần mềm độc hại hàng đầu là tội phạm mạng, những kẻ sử dụng phần mềm độc hại để phát tán ransomware hoặc tạo điều kiện cho việc đánh cắp thông tin cá nhân và tài chính,” lưu ý CISA trong tư vấn. 

Một số, như TrickBot, bắt đầu như một trojan ngân hàng nhưng phát triển thành một phần mềm độc hại mô-đun và từ đó đóng vai trò là nhà môi giới truy cập cho các nhóm ransomware, chẳng hạn như băng đảng Conti khét tiếng, bằng cách sử dụng mạng lưới các máy đã bị xâm nhập.   

CISA cũng cung cấp cái nhìn tổng quan về cách hoạt động của hệ sinh thái phần mềm độc hại và cách các tác nhân trong ngành tiếp tục tài trợ, hỗ trợ và cải thiện phần mềm độc hại của họ. 

“Nhiều nhà phát triển phần mềm độc hại thường hoạt động ở những địa điểm có ít quy định pháp lý cấm phát triển và triển khai phần mềm độc hại. Một số nhà phát triển thậm chí còn tiếp thị các sản phẩm phần mềm độc hại của họ dưới dạng công cụ bảo mật mạng hợp pháp”, CISA lưu ý.   

Lời khuyên của CISA đóng vai trò là một nguồn tài nguyên hữu ích có liên kết đến các bản tóm tắt kỹ thuật chính thức của chính phủ Hoa Kỳ về từng chủng phần mềm độc hại. Nó bao gồm bản tóm tắt về các khả năng chính của chúng, ngày hoạt động kể từ đó, phân loại phần mềm độc hại và phương thức phân phối.

XEM: Tấn công bằng ransomware: Đây là dữ liệu mà bọn tội phạm mạng thực sự muốn đánh cắp

Trickbot, có thời điểm là mạng botnet lớn nhất thế giới, đã hoạt động từ năm 2016 và vào tháng 2020 năm XNUMX đã bị Microsoft và các đối tác của hãng nhắm đến để triệt phá về mặt kỹ thuật và pháp lý. Tháng đó, đơn vị Chỉ huy Mạng của quân đội Hoa Kỳ cũng đã được cho là đang thực hiện một chiến dịch chống lại Trickbot. CISA cũng cảnh báo Trickbot đang lên kế hoạch tấn công vào các tổ chức trong lĩnh vực chăm sóc sức khỏe của Hoa Kỳ. Bất chấp những nỗ lực này, CISA lưu ý rằng Trickbot vẫn hoạt động kể từ tháng 2022 năm XNUMX.             

“Phần mềm độc hại TrickBot thường được sử dụng để hình thành mạng botnet hoặc cho phép truy cập ban đầu vào phần mềm ransomware Conti hoặc trojan ngân hàng Ryuk. TrickBot được phát triển và vận hành bởi một nhóm tác nhân mạng độc hại phức tạp và đã phát triển thành một phần mềm độc hại nhiều giai đoạn, có tính mô-đun cao,” tư vấn nêu rõ. 

“Vào năm 2020, tội phạm mạng đã sử dụng TrickBot để nhắm mục tiêu Lĩnh vực Y tế và Y tế Công cộng (HPH) và sau đó khởi động các cuộc tấn công ransomware, lấy cắp dữ liệu hoặc làm gián đoạn các dịch vụ chăm sóc sức khỏe. Dựa trên thông tin từ các bên thứ ba đáng tin cậy, cơ sở hạ tầng của TrickBot vẫn hoạt động vào tháng 2022 năm XNUMX.”

CISA khuyến nghị các tổ chức vá tất cả các hệ thống và ưu tiên vá lỗi các lỗ hổng bị khai thác đã biết. Nó cũng khuyến nghị thực thi xác thực đa yếu tố và bảo mật các dịch vụ giao thức máy tính từ xa (RDP). 

CISA được công bố vào tháng 4 15 lỗ hổng được khai thác thường xuyên nhất, bao gồm các lỗ hổng máy chủ email ProxyShell và ProxyLogon Exchange, lỗi trong điểm cuối mạng riêng ảo (VPN) và lỗ hổng Apache Log4j Log4Shell.