Hình thức mới có thể khiến bạn bị theo dõi bất cứ lúc nào

Đây là hình thức tấn công mới đang được các nhóm như Qilin và Hunters International áp dụng, khiến giới chuyên gia an ninh mạng lo ngại sâu sắc.

Trong một báo cáo mới được công bố, các nhà nghiên cứu tại công ty an ninh Varonis phát hiện ra rằng một số nhóm ransomware đã khai thác công cụ hợp pháp có tên Kickidler, phần mềm được hơn 5.000 tổ chức sử dụng để theo dõi hiệu suất nhân viên.

Khác với các cuộc tấn công mã hóa dữ liệu thông thường, chiến thuật mới cho phép tin tặc quan sát hoạt động trên màn hình nạn nhân theo thời gian thực, giống như đang “ngồi cạnh” người dùng.

Chiến dịch tấn công bắt đầu từ các quảng cáo độc hại hiển thị trên Google, đánh lừa người dùng tải nhầm phiên bản giả mạo của RVTools, một tiện ích phổ biến cho quản lý máy chủ ảo hóa VMware. Khi người dùng nhấp vào, phần mềm Kickidler sẽ được âm thầm cài đặt và hoạt động như một camera bí mật.

Khi công cụ giám sát nhân viên bị lạm dụng để theo dõi người dùng. Ảnh: Pexels

Theo dõi từng cú nhấp chuột, chờ thời điểm ra tay

“Điểm đáng sợ là Kickidler hoàn toàn không phải mã độc. Đó là một phần mềm hợp pháp, có giao diện giám sát trực quan và hoạt động âm thầm, không bị hệ thống an ninh cảnh báo”, chuyên gia Sergiu Gatlan từ Bleeping Computer cảnh báo.

Sau khi xâm nhập, tin tặc không tấn công ngay mà kiên nhẫn theo dõi hành vi người dùng trong nhiều tuần. Mục tiêu là thu thập thông tin xác thực quan trọng như tài khoản đăng nhập hệ thống, quyền truy cập vào các bản sao lưu đám mây hoặc hệ thống tài chính. Đây là những thông tin cực kỳ giá trị đối với tin tặc tống tiền.

Vụ việc gióng lên hồi chuông cảnh báo về việc lạm dụng phần mềm giám sát trong môi trường doanh nghiệp. “Chúng tôi phát hiện tin tặc có thể sử dụng Kickidler để khai thác các hệ thống quan trọng mà không bị phát hiện. Điều này cho phép chúng xây dựng chiến lược tấn công chi tiết, nhắm vào điểm yếu trong mô hình bảo vệ dữ liệu”, nhóm nghiên cứu của Varonis cho biết.

Hiện nay, các nhóm ransomware ngày càng chuyên nghiệp hơn, biết tận dụng lỗ hổng trong chính những công cụ mà doanh nghiệp tin tưởng. Không chỉ vượt qua xác thực hai yếu tố (2FA), chúng còn tận dụng hàng tỉ mật khẩu rò rỉ trên dark web để mở rộng phạm vi tấn công.

Người dùng có thể bị theo dõi mà không hề hay biết. Ảnh: Pexels

Doanh nghiệp cần làm gì?

Giới chuyên gia khuyến nghị các doanh nghiệp cần thường xuyên kiểm tra toàn bộ các phần mềm giám sát và quản lý từ xa đang cài đặt trong hệ thống, bao gồm cả những phần mềm hợp pháp. Chỉ sử dụng phần mềm từ nguồn tin cậy, đồng thời cập nhật chính sách an ninh mạng để phát hiện hành vi bất thường sớm nhất.

Với các chiến thuật mới ngày càng tinh vi, không còn ranh giới rõ ràng giữa công cụ quản lý và công cụ tấn công. Sự cảnh giác và chủ động chính là lớp phòng vệ đầu tiên của mọi tổ chức.

Tiểu Minh