Bạn có thể mất sạch dữ liệu doanh nghiệp chỉ trong vài phút mà không hề hay biết? Hai nhóm tội phạm mạng mới được phát hiện đang khiến giới chuyên gia bảo mật toàn cầu phải 'đứng ngồi không yên'. Cordial Spider và Snarky Spider - hai cái tên đáng sợ này đang tiến hành những cuộc tấn công nhanh như chớp vào môi trường SaaS (Software as a Service - phần mềm dưới dạng dịch vụ), gần như không để lại dấu vết nào cho các hệ thống bảo mật truyền thống.

Chiến thuật 'ma quái' của hai băng nhóm nguy hiểm

Cordial Spider, còn được biết đến với các bí danh BlackFile, CL-CRI-1116, O-UNC-045 và UNC6671, đang gây ra làn sóng lo lắng trong cộng đồng an ninh mạng. Nhóm này hoạt động song hành cùng Snarky Spider (hay O-UNC-025 và UNC6661) với một phương thức tấn công hoàn toàn mới mẻ và cực kỳ tinh vi. Điểm đặc biệt nguy hiểm ở đây là họ tập trung vào việc khai thác môi trường SaaS - nơi hầu hết doanh nghiệp hiện tại đang lưu trữ dữ liệu quan trọng nhất của mình.

Chúng tôi đánh giá đây là một bước tiến vượt bậc trong chiến thuật của tội phạm mạng. Thay vì tấn công trực tiếp vào hạ tầng IT truyền thống, hai nhóm này đã chuyển hướng sang khai thác các dịch vụ đám mây mà doanh nghiệp đang ngày càng phụ thuộc. Microsoft 365, Google Workspace, Salesforce - tất cả đều có thể trở thành mục tiêu của chúng. Tốc độ tấn công 'thần sầu' này khiến các biện pháp phòng thủ truyền thống trở nên bất lực.

Vishing và SSO - vũ khí bí mật đáng sợ

Kỹ thuật vishing (voice phishing - lừa đảo qua điện thoại) được hai nhóm này sử dụng một cách cực kỳ tinh vi. Thay vì gửi email lừa đảo như phương pháp truyền thống, chúng trực tiếp gọi điện cho nhân viên, giả mạo bộ phận IT hoặc nhà cung cấp dịch vụ để lấy thông tin đăng nhập. Điều đáng lo ngại là tỷ lệ thành công của vishing cao gấp nhiều lần so với phishing qua email, vì con người có xu hướng tin tưởng giọng nói hơn là văn bản.

SSO (Single Sign-On - đăng nhập một lần) - công nghệ vốn được thiết kế để tăng cường bảo mật lại trở thành 'cửa sau' cho tội phạm mạng. Sau khi chiếm được quyền truy cập SSO, hai nhóm này có thể 'du hành' tự do giữa các ứng dụng SaaS mà không cần phải hack từng hệ thống riêng lẻ. Một khi đã vào được, chúng có thể truy cập Gmail, Dropbox, Slack và hàng chục ứng dụng khác chỉ với một tài khoản duy nhất. Chúng tôi cho rằng đây chính là lý do khiến các cuộc tấn công diễn ra với tốc độ chóng mặt như vậy.

Tác động nghiêm trọng đến doanh nghiệp toàn cầu

Con số thống kê từ các nhà nghiên cứu bảo mật cho thấy 73% doanh nghiệp toàn cầu hiện đang sử dụng ít nhất 5 ứng dụng SaaS khác nhau. Tại Việt Nam, con số này cũng không kém cạnh với 68% doanh nghiệp đã chuyển đổi sang sử dụng các dịch vụ đám mây. Điều này có nghĩa là hàng triệu doanh nghiệp trên thế giới đang nằm trong tầm ngắm của Cordial Spider và Snarky Spider. Đặc biệt đáng lo ngại là các doanh nghiệp vừa và nhỏ - những đối tượng thường có hệ thống bảo mật yếu hơn.

Thời gian trung bình để phát hiện ra một cuộc tấn công SaaS là 287 ngày, nhưng hai nhóm này có thể hoàn tất việc đánh cắp dữ liệu chỉ trong vài giờ. Sự chênh lệch khủng khiếp này khiến các biện pháp ứng phó trở nên vô nghĩa. Chúng tôi dự đoán trong những tháng tới, sẽ có thêm nhiều doanh nghiệp Việt Nam trở thành nạn nhân nếu không có biện pháp phòng ngừa kịp thời.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Trước tình hình nguy cấp này, các doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp sau: Đầu tiên, thiết lập xác thực đa yếu tố (MFA - Multi-Factor Authentication) cho TẤT CẢ tài khoản SaaS, đặc biệt là tài khoản quản trị. Thứ hai, tổ chức đào tạo nhận diện vishing cho toàn bộ nhân viên - nhấn mạnh rằng bộ phận IT sẽ KHÔNG BAO GIỜ gọi điện yêu cầu mật khẩu. Thứ ba, triển khai giám sát liên tục các hoạt động bất thường trong môi trường SaaS, đặc biệt chú ý đến việc truy cập từ các địa chỉ IP lạ hoặc vào giờ không bình thường.

Ngoài ra, các doanh nghiệp cần xây dựng chính sách backup dữ liệu định kỳ và lưu trữ offline. Thiết lập danh sách ứng dụng SaaS được phép sử dụng và thường xuyên kiểm tra quyền truy cập của từng ứng dụng. Cuối cùng nhưng không kém quan trọng, hãy thiết lập hotline nội bộ để nhân viên có thể xác minh ngay lập tức khi nhận được cuộc gọi đáng ngờ. Thời gian vàng để ngăn chặn các cuộc tấn công này chỉ tính bằng phút, không phải giờ hay ngày.