Chuyên gia cảnh báo infostealer đang trở thành 'đại dịch mạng' sau vụ 16 tỉ thông tin đăng nhập bị rò rỉ

30 bộ dữ liệu gồm tới 16 tỉ thông tin đăng nhập từ nhiều nền tảng như Apple, Google và Facebook, được các nhà nghiên cứu của hãng tin Cybernews phát hiện và công bố tuần trước.

Những vụ rò rỉ mật khẩu cũng được xác định trong suốt năm nay bởi Volodymyr Diachenko - đồng sáng lập công ty tư vấn an ninh mạng Security Discovery (Mỹ). Volodymyr Diachenko nghi đây là sản phẩm của nhiều nhóm khác nhau.

“Đây là tập hợp của nhiều bộ dữ liệu khác nhau xuất hiện trong phạm vi chú ý của tôi từ đầu năm nay. Tất cả đều có cấu trúc chung về URL, chi tiết đăng nhập và mật khẩu”, Volodymyr Diachenko nói với hãng tin CNBC.

Theo Volodymyr Diachenko, mọi dấu hiệu đều chỉ ra rằng thông tin đăng nhập bị rò rỉ là do infostealer - loại phần mềm độc hại chuyên đánh cắp dữ liệu nhạy cảm từ thiết bị, gồm tên người dùng, mật khẩu, thông tin thẻ tín dụng và dữ liệu trình duyệt.

Dù danh sách có thể chứa nhiều bản trùng lặp hoặc thông tin lỗi thời và không chính xác, nhưng khối lượng khổng lồ của các phát hiện cho thấy lượng dữ liệu nhạy cảm đang trôi nổi trên mạng là quá lớn.

Điều đó cũng khiến người ta phải cảnh giác hơn về việc infostealer đang trở thành "đại dịch mạng" ngày nay, Volodymyr Diachenko nhấn mạnh. “Ở đâu đó, ngay lúc này, có người đang bị đánh cắp dữ liệu từ máy tính”, ông nói.

Volodymyr Diachenko có thể phát hiện dữ liệu bị lộ vì chủ sở hữu của chúng đã lập chỉ mục tạm thời trên web mà không khóa mật khẩu. Security Discovery thường phát hiện ra các vụ rò rỉ dữ liệu vô tình được chia sẻ, nhưng hiếm khi quy mô lại lớn như năm nay.

Mối đe dọa infostealer ngày càng gia tăng

Theo Simon Green, Chủ tịch khu vực châu Á - Thái Bình Dương và Nhật Bản tại hãng Palo Alto Networks, quy mô khổng lồ của 16 tỉ thông tin đăng nhập bị rò rỉ là đáng báo động và đáng chú ý, nhưng không quá bất ngờ với những người làm việc trong ngành an ninh mạng.

Palo Alto Networks là một trong những công ty an ninh mạng hàng đầu thế giới, có trụ sở chính tại thành phố Santa Clara, bang California, Mỹ.

“Nhiều infostealer hiện đại được thiết kế với các kỹ thuật né tránh tinh vi, giúp chúng vượt qua các hệ thống bảo mật truyền thống dựa trên dấu hiệu nhận diện, nên khó bị phát hiện và ngăn chặn”, ông nói thêm.

Kết quả là các vụ tấn công bằng infostealer đã gia tăng rõ rệt. Ví dụ, vào tháng 3, Microsoft Threat Intelligence đã tiết lộ một chiến dịch độc hại sử dụng infostealer ảnh hưởng đến gần 1 triệu thiết bị trên toàn cầu.

Microsoft Threat Intelligence là một bộ phận chuyên sâu của Microsoft, tập trung vào việc thu thập, phân tích và chia sẻ thông tin về các mối đe dọa an ninh mạng nhằm giúp các tổ chức và người dùng bảo vệ mình khỏi các cuộc tấn công.

Infostealer thường xâm nhập vào thiết bị của nạn nhân bằng cách lừa họ tải phần mềm độc hại, có thể được giấu trong email lừa đảo, website giả mạo hoặc quảng cáo trên công cụ tìm kiếm.

Động cơ chính của các vụ tấn công này thường là tài chính, với mục tiêu chiếm đoạt tài khoản ngân hàng, thẻ tín dụng, ví tiền mã hóa hoặc gian lận danh tính.

Tội phạm mạng có thể sử dụng thông tin đánh cắp được để tạo ra các cuộc tấn công lừa đảo có mục tiêu và tính thuyết phục cao hoặc tống tiền các cá nhân và tổ chức.

Nhiều infostealer hiện đại được thiết kế với các kỹ thuật né tránh tinh vi, giúp chúng vượt qua các hệ thống bảo mật truyền thống - Ảnh: Getty Images

Simon Green nói quy mô và mức độ nguy hiểm của các infostealer ngày càng lớn là do sự phát triển của thị trường ngầm cung cấp Cybercrime-as-a-Service (tội phạm mạng như một dịch vụ). Trong đó, các nhà cung cấp tính phí khách hàng cho các công cụ độc hại, dữ liệu nhạy cảm và dịch vụ trực tuyến bất hợp pháp khác.

“Cybercrime-as-a-Service là yếu tố then chốt thúc đẩy điều này. Nó đã dân chủ hóa tội phạm mạng (bất kỳ ai, kể cả người không có kỹ năng kỹ thuật cao, cũng có thể tham gia vào hoạt động tấn công mạng - PV) một cách triệt để”, ông nói.

Những thị trường ngầm đó thường hoạt động trên dark web, tạo ra nhu cầu để tội phạm đánh cắp dữ liệu cá nhân và sau đó bán lại cho các kẻ lừa đảo. Theo cách đó, rò rỉ dữ liệu không chỉ là về các tài khoản cá nhân, mà còn là một mạng lưới khổng lồ, kết nối với nhau của các danh tính bị xâm phạm, có thể thúc đẩy những vụ tấn công tiếp theo, Simon Green cho hay.

Volodymyr Diachenko nói có khả năng ít nhất một số bộ dữ liệu đăng nhập bị rò rỉ mà ông phát hiện đã hoặc sẽ được giao dịch giữa các kẻ lừa đảo trên mạng.

Thêm vào đó, các bộ công cụ phần mềm độc hại và tài nguyên hỗ trợ cho cuộc tấn công bằng infostealer cũng có thể dễ dàng tìm thấy trong những thị trường ngầm đó.

CNBC trước đó đưa tin việc các công cụ và dịch vụ này trở nên phổ biến giúp giảm đáng kể rào cản kỹ cho tội phạm mới nổi, dẫn đến nhiều vụ tấn công tinh vi diễn ra trên quy mô lớn toàn cầu.

Báo cáo cho thấy các vụ tấn công bằng infostealer đã tăng 58% trong năm 2024.

Có thể làm gì?

Với sự gia tăng của phần mềm độc hại và việc sử dụng internet, giờ đây có thể giả định rằng hầu hết mọi người đều sẽ tiếp xúc với mối đe dọa từ infostealer vào một thời điểm nào đó, theo Ismael Valenzuela - Phó chủ tịch phụ trách nghiên cứu và tình báo mối đe dọa tại công ty an ninh mạng Arctic Wolf (Mỹ).

Ngoài việc thường xuyên thay đổi mật khẩu, người dùng cần cẩn trọng hơn với số lượng ngày càng lớn phần mềm độc hại ẩn trong ứng dụng không chính thống và các file tải xuống bất hợp pháp, Ismael Valenzuela nói. Ông bổ sung rằng xác thực đa yếu tố (MFA) giờ đây quan trọng hơn bao giờ hết.

Ở góc độ doanh nghiệp, việc triển khai kiến trúc zero trust (không chỉ xác thực người dùng mà còn xác thực thiết bị và hành vi người dùng) là cần thiết, ông nói.

Các chính phủ cũng đã đẩy mạnh nỗ lực trấn áp hoạt động đánh cắp thông tin thời gian gần đây.

Vào tháng 5, Trung tâm Tội phạm mạng châu Âu của Europol cho biết đã phối hợp với Microsoft và các nhà chức trách toàn cầu để vô hiệu hóa phần mềm độc hại Lumma, được coi là mối đe dọa infostealer lớn nhất thế giới.

Sơn Vân