การโจมตีด้วยแรนซัมแวร์มีความซับซ้อน และความสามารถเพิ่มขึ้นอย่างมากในช่วงปีที่ผ่านมา ตั้งแต่เทคนิคการหลีกเลี่ยงการตรวจจับ และเทคนิคป้องกันการวิเคราะห์ใหม่ ๆ ไปจนถึงแรนซัมแวร์ที่ถูกเขียนด้วยภาษาโปรแกรมใหม่ ๆ กลุ่มแรนซัมแวร์ได้ปรับเปลี่ยนกลยุทธ์ของตนเองเพื่อหลีกเลี่ยงกลยุทธ์ป้องกันทั่วไปได้อย่างมีประสิทธิภาพมากขึ้น
Cyble บริษัทด้านข่าวกรองภัยคุกคามทางไซเบอร์ ได้ออกรายงาน Ransomware Report ประจำไตรมาสที่ 3 เมื่อเร็ว ๆ นี้ โดยบทความนี้เจาะลึกถึงพัฒนาการที่สำคัญจากไตรมาสที่สามของปี 2023 ตามที่ระบุในรายงาน Ransomware Report ประจำไตรมาสที่ 3 และนำเสนอข้อมูลสำหรับไตรมาสที่จะมาถึง จุดประสงค์หลักคือเพื่อสรุปรายละเอียดเกี่ยวกับเป้าหมายหลัก ทั้งในด้านอุตสาหกรรม และในด้านประเทศ และภูมิภาค นอกจากนี้บทความจะเน้นย้ำถึงเทคนิคใหม่ ๆ ที่ใช้ โดยเน้นที่เหตุการณ์ และการพัฒนาครั้งใหญ่ที่เป้าหมายที่อาจเกิดขึ้นควรทราบ รวมถึงแนวโน้มที่คาดการณ์ไว้ในอนาคตของแรนซัมแวร์อีกด้วย
การเพิ่มขึ้นของการใช้ช่องโหว่ในการโจมตีด้วยแรนซัมแวร์ :
Cyble ได้สังเกตเห็นกรณีการใช้ช่องโหว่เป็น Attack vector ในการโจมตีด้วยแรนซัมแวร์ และมัลแวร์อื่น ๆ เพิ่มขึ้นในช่วงไม่กี่เดือนที่ผ่านมา โดยเน้นไปที่อุปกรณ์เครือข่ายเป็นพิเศษ เเสดงให้เห็นจากการโจมตีซอฟต์แวร์ และแอปพลิเคชัน Managed File Transfer (MFT)
ผลกระทบของการโจมตีโดยใช้ช่องโหว่ ส่งผลกระทบอย่างรุนแรงต่อองค์กรขนาดใหญ่ในหลายอุตสาหกรรม เช่น ในกรณีช่องโหว่ใน MOVEit ที่ใช้ในการโจมตีแบบ Supply chain attack ในบริษัท Barracuda Networks
แนวโน้มในไตรมาสที่ 3 และในอนาคต แสดงให้เห็นว่ากลุ่มแรนซัมแวร์จะยังคงใช้ช่องโหว่ และช่องโหว่แบบ Zero-day เพื่อส่งแรนซัมแวร์เข้าไปในระบบของเหยื่อต่อไป
แม้ว่าช่องโหว่แบบ Zero-day จะไม่เป็นที่รู้จักจนกว่าจะถูกโจมตี แต่องค์กรต่าง ๆ สามารถดำเนินการเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่แบบ Zero-day ได้ โดยองค์กรต้องมั่นใจว่าซอฟต์แวร์ และผลิตภัณฑ์ที่ใช้มีการอัปเดตให้เป็นเวอร์ชันล่าสุด และใช้การสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ เพื่อให้แน่ใจว่าช่องโหว่ที่อาจถูกโจมตีได้จะถูกระบุ และแก้ไขอย่างเร่งด่วน
Cyble Research & Intelligence Labs (CRIL) ได้ค้นพบแนวโน้มอื่น ๆ อีกหลายประการของการโจมตีด้วยแรนซัมแวร์ ซึ่งควรจับตามอง ดังนี้
1. การเปลี่ยนแปลงเป้าหมายอุตสาหกรรม – อุตสาหกรรมด้านการดูแลสุขภาพตกเป็นเป้าหมายของการโจมตี
ในช่วงครึ่งแรกของปี 2023 การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นในภาคการผลิต แต่แนวโน้มล่าสุดชี้ให้เห็นถึงการเปลี่ยนแปลงเป้าหมายไปสู่ภาคการดูแลสุขภาพ ทำให้ภาคการดูแลสุขภาพกลายเป็นหนึ่งใน 5 กลุ่มที่ถูกโจมตีมากที่สุดจากกลุ่มแรนซัมแวร์ คิดเป็นเกือบหนึ่งในสี่ของการโจมตีด้วยแรนซัมแวร์ทั้งหมด การโจมตีเหล่านี้มีจุดประสงค์เฉพาะคือ การรวบรวมข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) และข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ผู้ให้บริการ และสถาบันด้านการดูแลสุขภาพเข้าถึงได้ และขายข้อมูลเหล่านี้บนดาร์กเว็บ
ตามรายงานการโจมตีด้วยแรนซัมแวร์ของ Cyble ภาคการดูแลสุขภาพมีความเสี่ยงต่อการโจมตีด้วยแรนซัมแวร์เป็นพิเศษ เนื่องจากมีพื้นที่โจมตีขนาดใหญ่ที่ครอบคลุมเว็บไซต์หลายแห่ง พอร์ทัล อุปกรณ์ทางการแพทย์ IoT หลายพันล้านเครื่อง และเครือข่ายของพันธมิตร และผู้จำหน่าย supply chain ขนาดใหญ่ การกำหนดมาตรฐานความปลอดภัยทางไซเบอร์แบบมาตรฐานสำหรับภาคส่วนนี้จึงมีความสำคัญยิ่งต่อการรักษาความปลอดภัยของข้อมูลที่สำคัญ และเพื่อให้แน่ใจว่าการทำงานของฟังก์ชันการดูแลสุขภาพที่สำคัญจะไม่มีการขัดข้อง
2. องค์กรที่มีรายได้สูงยังคงเป็นเป้าหมายหลักของการโจมตี
กลุ่มแรนซัมแวร์มักจะดูเหมือนไม่มีเป้าหมายเฉพาะเจาะจง แต่ความเป็นจริงแล้วพวกเขานิยมที่จะโจมตีองค์กรที่มีรายได้สูง และมีข้อมูลที่มีความสำคัญ การทำเช่นนี้ช่วยเพิ่มภาพลักษณ์ของกลุ่มแรนซัมแวร์ในฐานะภัยคุกคามที่ร้ายแรง และยังช่วยเพิ่มโอกาสในการได้รับเงินค่าไถ่ด้วย
เหตุผลที่กลุ่มแรนซัมแวร์ชอบโจมตีองค์กรที่มีรายได้สูงมีสองประการ ประการแรก องค์กรเหล่านี้มีทรัพยากรในการจ่ายค่าไถ่ที่สูง และประการที่สอง องค์กรเหล่านี้มีแนวโน้มที่จะได้รับความเสียหายต่อภาพลักษณ์หากถูกโจมตี เนื่องจากไม่สามารถจัดการข้อมูลที่มีความสำคัญได้อย่างมีประสิทธิภาพ และอาจทำให้เสียชื่อเสียงในฐานะบริษัทที่น่าเชื่อถือเสียหายได้
นอกจากภาคการดูแลสุขภาพแล้ว ภาคส่วนที่ถูกโจมตีมากที่สุดในไตรมาสก่อนหน้า ได้แก่ ภาคบริการมืออาชีพ (Professional Services), ไอที และบริการเทคโนโลยีสารสนเทศ และภาคการก่อสร้าง เนื่องจากมีมูลค่าสุทธิสูง และมีพื้นที่โจมตีที่เพิ่มขึ้น
3. สหรัฐอเมริกายังคงเป็นประเทศที่เป็นเป้าหมายมากที่สุด
แม้ว่าจะมีแนวโน้มหลายอย่างเกี่ยวกับผู้เสียหาย และวิธีการของแรนซัมแวร์ที่เปลี่ยนแปลงไปในทุกไตรมาส แต่รูปแบบที่ว่าสหรัฐอเมริกาเป็นประเทศที่ถูกโจมตีมากที่สุดโดยกลุ่มผู้โจมตีด้วยแรนซัมแวร์ยังคงเป็นเหมือนเดิม ซึ่งเห็นได้จากข้อเท็จจริงที่ว่าในไตรมาสที่ 3 ปี 2023 เพียงอย่างเดียว สหรัฐอเมริกาประสบปัญหาการถูกโจมตีด้วยแรนซัมแวร์มากกว่า 10 ประเทศอื่น ๆ รวมกัน
เหตุผลที่สหรัฐอเมริกาเป็นเป้าหมายหลักของการโจมตีด้วยแรนซัมแวร์นั้น สามารถอธิบายได้จากบทบาทที่ไม่เหมือนใครของสหรัฐอเมริกาในฐานะประเทศที่เป็นดิจิทัลในระดับสูง และมีส่วนร่วมที่เกี่ยวข้องกับทั่วโลกอย่างมาก นอกจากนี้ เนื่องจากปัจจัยทางภูมิรัฐศาสตร์ สหรัฐอเมริกายังเป็นเป้าหมายหลักสำหรับกลุ่ม Hacktivist ที่ใช้ประโยชน์จากแรนซัมแวร์เพื่อบรรลุเป้าหมายของตน เนื่องจากเห็นว่าเกิดความอยุติธรรมทางสังคม หรือเพื่อประท้วงนโยบายต่างประเทศ และในประเทศ
สหราชอาณาจักร อิตาลี และเยอรมนี เป็น 3 ประเทศที่ถูกโจมตีด้วยแรนซัมแวร์มากที่สุดรองจากสหรัฐอเมริกาในไตรมาสที่ 3 ปี 2023
4. LOCKBIT ยังคงเป็นภัยคุกคามที่ร้ายแรงในขณะที่กลุ่มแรนซัมแวร์ใหม่ ๆ กำลังสร้างชื่อเสียงให้กับตัวเองอย่างรวดเร็ว
แม้ว่าจำนวนการโจมตีทั้งหมดของ LOCKBIT จะลดลงเล็กน้อยเมื่อเทียบกับไตรมาสก่อนหน้า (ลดลง 5%) แต่พวกเขายังคงเป็นกลุ่มที่มีจำนวนเหยื่อสูงสุด โดยมีเหยื่อที่ได้รับการยืนยัน 240 รายในไตรมาสที่ 3 ปี 2023
กลุ่มใหม่ ๆ ในวงการแรนซัมแวร์ ก็ไม่ได้อยู่เฉย ๆ ในไตรมาสที่ 3 ปี 2023 พบว่ามีการโจมตีเพิ่มขึ้นจากกลุ่มใหม่ ๆ เช่น Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group และ MedusaLocker ซึ่งบ่งชี้ว่าแม้ว่ากลุ่มเหล่านี้จะไม่มีชื่อเสียง และการปรากฏตัวทั่วโลกเท่ากับกลุ่มใหญ่ เช่น LOCKBIT แต่ก็ยังคงเป็นภัยคุกคามที่ร้ายแรง
5. การเพิ่มขึ้นของการนำ Rust และ GoLang มาใช้ในแรนซัมแวร์รุ่นใหม่
กลุ่มแรนซัมแวร์มักพยายามทำให้การโจมตีของพวกเขาถูกตรวจจับ หรือวิเคราะห์ได้ยาก หรือเป็นไปไม่ได้เลย สิ่งนี้ทำให้เหยื่อ ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ และรัฐบาลไม่สามารถวิเคราะห์ และศึกษาแรนซัมแวร์ ช่องทางการโจมตี และวิธีการทำงานได้อย่างยากลำบาก
อย่างไรก็ตาม แนวโน้มล่าสุดที่สังเกตเห็น แสดงให้เห็นถึงความนิยมที่เพิ่มขึ้นของภาษา Rust และ GoLang ในกลุ่มแรนซัมแวร์ระดับสูงเช่น Hive, Agenda, Luna และ RansomExx โดยมีเหตุผลสองประการ ภาษาโปรแกรมอย่าง Rust ทำให้การวิเคราะห์พฤติกรรมของ ransomware บนระบบของเหยื่อทำได้ยากขึ้น นอกจากนี้ยังได้รับประโยชน์จากการปรับแต่งได้ง่ายเพื่อกำหนดเป้าหมายได้หลากหลายระบบปฏิบัติการ ซึ่งเพิ่มความอันตราย และฐานเป้าหมายของแรนซัมแวร์ ที่สร้างโดยใช้ภาษาเหล่านี้
องค์กรต่างๆ ได้ตอบสนองต่อการพัฒนาเหล่านี้อย่างไร
ดูเหมือนว่าทุกวิถีทางของข่าว จะมีอย่างน้อยหนึ่งเหตุการณ์ที่องค์กรที่มีชื่อเสียง หรือผู้นำในอุตสาหกรรมตกเป็นเหยื่อของแรนซัมแวร์ ในบางช่วงเวลา โดยการโจมตีล่าสุดของ Caesar's Palace และ MGM Casino โดย BlackCat/ALPHV Ransomware เป็นตัวอย่างที่ดีที่สุด
เรื่องนี้ได้ดึงดูดความสนใจของรัฐบาล และหน่วยงานกำกับดูแลทั่วโลก ซึ่งได้ออกนโยบายเพื่อช่วยลดผลกระทบ และอัตราการเกิดขึ้นของการโจมตีด้วยแรนซัมแวร์ รวมถึงบริษัทต่าง ๆ ได้ลงมือทำด้วยตนเองเช่นกัน โดยใช้แนวทางปฏิบัติเพื่อป้องกันความเสี่ยง และลดผลกระทบของการโจมตีแรนซัมแวร์
ขั้นตอนบางอย่างที่องค์กรต่าง ๆ ดำเนินการเพื่อป้องกันตนเองจากการโจมตี ransomware
1. เน้นการฝึกอบรมพนักงาน
พนักงานขององค์กรเป็นแนวหน้าในการป้องกันการโจมตีทุกประเภท และแรนซัมแวร์ บริษัทต่าง ๆ จึงได้ยกระดับโปรแกรมฝึกอบรม และสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์ของตนเอง โดยจัดให้มีการฝึกอบรมความปลอดภัยทางไซเบอร์แบบภาคบังคับ และส่งเสริมวัฒนธรรมการตระหนักด้านความปลอดภัยทางไซเบอร์ รวมถึงการฝึกอบรมเกี่ยวกับวิธีระบุการโจมตีแบบฟิชชิง การจัดการไฟล์แนบที่น่าสงสัย และการโจมตีด้วยการปฏิบัติการทางโซเชียล
2. การวางแผนรับมือเหตุฉุกเฉิน
แม้จะมีความพยายามในการป้องกันการโจมตีจากแรนซัมแวร์ การโจมตีนี้ยังคงเกิดขึ้นได้ เนื่องจากปัจจัยต่าง ๆ องค์กรได้พิจารณาเรื่องนี้ และเริ่มมุ่งเน้นการพัฒนาขั้นตอนการตอบสนองอย่างรวดเร็วต่อเหตุการณ์เช่นนี้ ซึ่งรวมถึงขั้นตอนทางกฎหมายในการแจ้งหน่วยงานคุ้มครอง, ขั้นตอนถัดไปในด้านความมั่นคง, การตอบสนองของทีมความปลอดภัยทางข้อมูล และการจัดการผลิตภัณฑ์ หรือระบบที่ได้รับผลกระทบ
3. การกู้คืน และสำรองข้อมูลที่ได้รับการปรับปรุง
การโจมตีแรนซัมแวร์มีเป้าหมายหลักสองอย่างคือ เพื่อเข้าถึงข้อมูลที่มีความสำคัญ และเข้ารหัสข้อมูลดังกล่าวเพื่อให้องค์กรที่เป็นเป้าหมายไม่สามารถใช้งานได้ เพื่อรับมือกับความเสี่ยงนี้ องค์กรต่าง ๆ เริ่มให้ความสำคัญกับการสำรองข้อมูลที่มีความสำคัญ และสร้างกระบวนการกู้คืนที่ครอบคลุมสำหรับข้อมูล
4. การนำ Zero-Trust Architecture และ Multi-Factor Authentication มาใช้งาน
กลุ่ม ransomware เคยใช้ประโยชน์จากปัจจัยด้านมนุษย์ในการเปิดใช้งาน หรือเพิ่มประสิทธิภาพการโจมตีแรนซัมแวร์ ผ่าน Initial Access Brokers การโจมตีแบบฟิชชิง เป็นต้น เพื่อตอบสนองต่อสิ่งนี้ บริษัทต่าง ๆ ได้นำ Zero-Trust Architecture และ MFA มาใช้ในแพลตฟอร์ม และข้อมูลที่สำคัญทั้งหมด โดยกำหนดให้มีการรับรองความถูกต้องหลายระดับเพื่ออนุญาตในเข้าถึงข้อมูลที่มีความสำคัญ
5. การแบ่งปันข้อมูลข่าวสาร และความร่วมมือกับหน่วยงานบังคับใช้กฎหมาย
องค์กรในอุตสาหกรรมเดียวกันได้จัดตั้ง Information Sharing and Analysis Centers (ISACs) เพื่อช่วยรวบรวมทรัพยากร และข้อมูลข่าวสารของตนเองเพื่อช่วยต่อสู้กับการโจมตีจากแรนซัมแวร์ในอนาคต นอกจากนี้ พวกเขายังทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมาย และหน่วยงานกำกับดูแลเพื่อรายงานการโจมตี ransomware และช่วยวินิจฉัยช่องโหว่ด้านความปลอดภัย
6. การนำ Threat Intelligence Platforms (TIP) มาใช้มากขึ้น
เนื่องจากความเชี่ยวชาญเฉพาะด้านในพื้นที่ รวมถึงความสามารถด้าน AI และ machine learning ขั้นสูง องค์กรต่าง ๆ จึงใช้ Threat Intelligence Platforms มากขึ้นเพื่อใช้ประโยชน์จากความเชี่ยวชาญในการตรวจจับความผิดปกติ และการวิเคราะห์พฤติกรรม ในการรับข้อมูลข่าวสารภัยคุกคามแบบเรียลไทม์ เพื่อช่วยลดผลกระทบจากการโจมตีจากแรนซัมแวร์
7. ให้ความสำคัญกับการจัดการช่องโหว่
ช่องโหว่ด้านความปลอดภัยได้กลายเป็นประเด็นที่สำคัญในช่วงไม่กี่ปีที่ผ่านมาในเหตุการณ์สำคัญต่าง ๆ เช่น ช่องโหว่ MoveIT และ PaperCut ล่าสุด ที่ทำให้เกิดการโจมตี องค์กรต่าง ๆ จึงได้นำวิธีการจัดการช่องโหว่ และโปรโตคอลมาใช้เพื่อให้แน่ใจว่าซอฟต์แวร์ที่สำคัญทั้งหมดได้รับการอัปเดต และทำการอัปเดตแพตช์อย่างสม่ำเสมอ
8. การรักษาความปลอดภัยของ Supply chains และการบริหารความเสี่ยงของผู้จัดจำหน่าย
ในกรณีที่ผู้โจมตีแรนซัมแวร์ไม่สามารถโจมตีองค์กรได้ โดยทั่วไปแล้วพวกเขามักจะโจมตีไปที่ Supply chain ขององค์กรผ่านทางผู้จำหน่าย พันธมิตร และบุคคลภายนอก ซึ่งอาจไม่มีความปลอดภัยทางไซเบอร์เท่าใดนัก องค์กรต่าง ๆ จึงได้ดำเนินการประเมินความเสี่ยงของผู้จำหน่ายเพื่อให้แน่ใจว่า Supply chain ทั้งหมดมีความแน่นหนา และได้รับการปกป้องอย่างสม่ำเสมอจากความพยายามโจมตีจากแรนซัมแวร์ที่อาจเกิดขึ้น
สามารถดาวน์โหลดข้อมูลเพิ่มเติมของรายงาน Ransomware ไตรมาสที่ 3 ปี 2023 ได้ที่ : https://labs.cyble.com/ransomware-attacks-threat-report-q3-2022
ที่มา : thehackernews.com
You must be logged in to post a comment.