Nghiên cứu của Kaspersky cho thấy gần 50% công cụ exploit được rao bán trên web đen nhắm vào lỗ hổng zero-day chưa được vá, với giá trị giao dịch có thể lên đến 100.000 USD.
Trong khoảng thời gian từ tháng 1 năm 2023 đến tháng 9 năm 2024, các chuyên gia của Kaspersky Digital Footprint Intelligence đã phát hiện tổng cộng 547 bài đăng liên quan đến việc mua bán công cụ exploit trên các diễn đàn web đen và kênh ẩn danh của Telegram. Gần một nửa trong số các bài đăng này nhắm đến các lỗ hổng zero-day và one-day. Tuy nhiên, do tính chất phức tạp và gian lận phổ biến trên thị trường ngầm, tính xác thực của những công cụ được rao bán này vẫn là một câu hỏi chưa có lời giải đáp chính xác. Ngoài ra, theo Kaspersky, giá trung bình của các exploit sử dụng trong các cuộc tấn công từ xa có thể lên tới 100.000 USD.
Exploit là các công cụ được tin tặc sử dụng để khai thác lỗ hổng trong phần mềm, như phần mềm của Microsoft, nhằm thực hiện các hành vi bất hợp pháp như xâm nhập hệ thống hoặc đánh cắp dữ liệu. Trong số các bài đăng rao bán, có đến 51% nhắm đến các lỗ hổng zero-day và one-day. Lỗ hổng zero-day là những điểm yếu chưa được nhà phát triển phần mềm phát hiện và khắc phục, trong khi lỗ hổng one-day là những lỗ hổng đã được khắc phục nhưng các hệ thống vẫn chưa cập nhật bản vá lỗi kịp thời.
Bà Anna Pavlovskaya, chuyên gia phân tích cao cấp tại Kaspersky Digital Footprint Intelligence, cho biết các công cụ exploit thường được tìm kiếm nhiều nhất là những công cụ nhắm vào phần mềm doanh nghiệp, vì chúng có khả năng đánh cắp thông tin hoặc theo dõi tổ chức một cách âm thầm. Tuy nhiên, một số exploit trên thị trường ngầm có thể là “hàng giả” hoặc chưa hoàn thiện, không mang lại hiệu quả như quảng cáo. Hơn nữa, phần lớn các giao dịch diễn ra dưới hình thức trao đổi ẩn danh, khiến việc xác định quy mô thực tế của thị trường này trở nên vô cùng khó khăn.
Theo bà Pavlovskaya, trong năm nay, số lượng tin đăng mua bán exploit đạt đỉnh vào tháng 5 với 50 bài, cao hơn nhiều so với mức trung bình 26 bài mỗi tháng trước đó. Thị trường exploit thường biến động khó lường và khó liên kết với các sự kiện cụ thể. Đặc biệt, tháng 5 cũng ghi nhận một giao dịch exploit zero-day của Microsoft Outlook với giá trị gần 2 triệu USD, được xem là một trong những giao dịch có giá trị cao nhất trong thời gian khảo sát. Dù có nhiều biến động, thị trường exploit vẫn luôn tồn tại, và các mối đe dọa từ chúng vẫn tiềm ẩn, khiến cho việc áp dụng các biện pháp bảo vệ an ninh mạng như cập nhật bản vá và giám sát tài sản kỹ thuật số là vô cùng cần thiết.
Thị trường web đen cung cấp rất nhiều loại exploit khác nhau, trong đó phổ biến nhất là công cụ nhắm vào lỗ hổng cho phép tấn công từ xa (RCE – Remote Code Execution) và lỗ hổng nâng cấp quyền (LPE – Local Privilege Escalation). Theo phân tích từ hơn 20 bài đăng, giá trung bình của exploit nhắm vào lỗ hổng RCE dao động khoảng 100.000 USD, trong khi LPE thường có giá khoảng 60.000 USD. Exploit RCE được coi là nguy hiểm hơn vì chúng có khả năng cho phép tin tặc kiểm soát một phần hoặc toàn bộ hệ thống và truy cập dữ liệu bảo mật.
Một số biện pháp hữu ích để bảo vệ trước các mối đe dọa liên quan đến lỗ hổng và exploit bao gồm:
- Sử dụng giải pháp Kaspersky Digital Footprint Intelligence để theo dõi các hoạt động trên thị trường web đen và phát hiện sớm các mối đe dọa nhắm vào hệ thống doanh nghiệp.
- Áp dụng các sản phẩm của dòng Kaspersky Next để bảo vệ doanh nghiệp trước các nguy cơ tấn công. Với EDR và XDR, Kaspersky Next cung cấp khả năng giám sát và bảo vệ theo thời gian thực, phát hiện và phản ứng ngay lập tức. Giải pháp này phù hợp với các tổ chức thuộc mọi quy mô và lĩnh vực.
- Thường xuyên đánh giá bảo mật để kịp thời xác định và vá các lỗ hổng trước khi bị khai thác bởi các đối tượng xấu.