Theo Phishlabs Qbot và Zloader payloads đang nhắm đến các doanh nghiệp, các payload này chiếm đến 89% tổng số lượng các phần mềm độc hại tấn công, lây nhiễm qua đường email trong quý 4 năm 2021. Các biến thể của mã độc này vẫn tiếp tục tấn công vào các doanh nghiệp từ quý này qua quý khác. Qbot và Zloader trước đây đã dẫn đầu về khối lượng payload trong quý 1 và quý 2 năm 2021.
Phishing để phân phối payload độc hại vẫn là phương thức chính để lây nhiễm Ransomware. Đội ngũ giám sát, theo dõi payload của Phishlabs đã phát hiện và báo cáo qua email cho các khách hàng để chủ động ngăn chặn và khắc phục các mối đe dọa này. Dưới đây, chúng tôi sẽ nêu ra các payload độc hại nổi bật trong quý 4 năm 2021.
Biểu đồ 1. Top Malware 2021
Qbot
Qbot là một loại trojan nhắm vào khối ngân hàng. Qbot là loại payload hàng đầu được phát hiện trong các cuộc tấn công phishing trong quý 4, số lượng payload này đóng góp tới 59,3% trong các báo cáo. Qbot dẫn đầu về số lượng payload độc hại trong hơn nửa đầu năm 2021, trước khi có sự sụt giảm trong quý 3. Bắt đầu hoạt động và bị phát hiện từ năm 2008, Qbot có khả năng ghi lại hoạt động của bàn phím, từ đó đánh cắp thông tin và xâm phạm thông tin đăng nhập các loại tài khoản, đặc biệt là tài khoản ngân hàng.
Qbot cũng có khả năng tự phát tán và tự lây nhiễm trong mạng. Payload này thường được liên kết với mã độc mã hóa tống tiền Egregor và Sodonikibi, cả hai thường được phát tán dưới dạng Ransomware-as-a-Service (RaaS). Sodonikibi đã liên tục được xếp hạng trong số các biến thể ransomware hàng đầu.
Dưới đây là một ví dụ về một Qbot mồi nhử được gửi thông qua email, một kỹ thuật trong đó phần mềm độc hại tự được chèn vào các email thông thường và có thể bypass qua một số lớp bảo vệ. Qbot thường áp dụng kỹ thuật này. Trong ví dụ này, Qbot được gửi qua một đường liên kết độc hại.
Hình 1. Qbot mồi nhử gửi liên kết độc hại qua email
ZLoader
ZLoader có số lượng payload nhiều thứ hai chỉ sau Qbot trong số các payload đã biết trong quý 4 năm 2021. ZLoader có tỉ lệ đóng góp vào báo cáo này là 30%. Một biết thể của trojan nhắm tới các khối ngân hàng Zeus, ZLoader là một MaaS phổ biến luôn xuất hiện trong các báo cáo với vị trí thống trị trong suốt năm 2021.
Biểu đồ 2. Top malware trong quý 1 năm 2021
ZLoader thường liên kết với các ransomware họ Conti và Ryuk. Các chiến dịch phát tán malware gần đây được thông qua các chiến dịch quảng cáo Google và bằng cách khai thác vào phương thức xác minh chữ ký của Microsoft.
Dưới đây là một ví dụ về chiến dịch Phishing để phát tán Zloader thông qua các tệp đính kèm độc hại.
Hình 2. Chiến dịch Phishing để phát tán Zloader thông qua các tệp đính kèm độc hại
Trickbot
Trickbot là payload xếp thứ 3 trong báo cáo quý 4 năm 2021, đóng góp vào đó với tỉ lệ là 3,9% các cuộc tấn công. Trickbot cũng là một trojan nhắm vào khối ngân hàng, thường được sử dụng để đánh cắp các thông tin đăng nhập, thực hiện các hành động gián điệp mạng đã bị xâm nhập và thả vào đó các ransomware.
Dưới đây là một ví dụ về chiến dịch phishing để phát tán trickbot.
Hình 4. Chiến dịch phishing để phát tán trickbot
Ransomware là một “Doanh nghiệp” có giá trị hàng tỉ đô. Vì vậy các công cụ được hacker sử dụng trong các chiến dịch này là vô cùng đa dạng và biến hóa liên tục để lẩn tránh các giải pháp và sự hiểu biết của các nhà bảo mật. Tính linh hoạt này khiến các doanh nghiệp gặp khó khăn trong việc chủ động phát hiện các payload độc hại trước khi chúng trở thành cao trào của một cuộc tấn công đó là Ransomware.
Qua đó chúng ta thấy, phishing qua email tiếp tục là phương thức phân phối, phát tán payload độc hại chính cho các cuộc tấn côn ransomware, các tổ chức nên đầu tư nhiều vào việc chủ động ngăn chặn và phát hiện các email đáng ngờ, và có được nguồn tin cậy để cập nhật các chiến dịch tấn công mạng theo thời gian thực.
Giải pháp hàng đầu của Phishlabs:
Để biết thêm thông tin về Phishlabs, liên hệ với chúng tôi để được tư vấn trực tiếp tại nga@smartnet.net.vn hoặc hotline: 0942686492.