“จากการวิเคราะห์ข้อมูลของ Wiper Malware มัลแวร์ลบข้อมูล ชี้ให้เห็นแนวโน้มของอาชญากรทางไซเบอร์ที่มีการใช้เทคนิคการโจมตีแบบทำลายล้างข้อมูลกับเป้าหมาย
เดเรค แมนคี หัวหน้าฝ่ายกลยุทธ์ด้านความปลอดภัยและรองประธานฝ่ายข่าวกรองภัยคุกคามจากฟอร์ติการ์ด แล็ป เผยว่า “สำหรับอาชญากรไซเบอร์ ยังคงมีการโจมตีและหลบเลี่ยงการตรวจจับอยู่เป็นจำนวนมาก และยังมีการพัฒนารูปแบบการโจมตีไม่น้อยหน้าการพัฒนาระบบรักษาความปลอดภัยทางไซเบอร์ที่ปกป้ององค์กรในทุกวันนี้”
“ปัจจุบันจะเห็นได้ว่าอาชญากรทางไซเบอร์ทั้งหลายมีการพัฒนาเทคนิคการสอดแนมที่แนบเนียนขึ้น และยังปล่อยการโจมตีที่มีความซับซ้อนเพื่อเปิดทางให้สามารถสร้างความเสียหายด้วยภัยคุกคามแบบ APT อย่างเช่นมัลแวร์ที่ใช้ลบข้อมูล (Wiper Malware) หรือไวรัสชนิดอื่นๆ ที่อาจร้ายกาจยิ่งกว่า”
“เพื่อให้สามารถป้องกันแนวโน้มที่ซับซ้อนขึ้นได้ องค์กรจำเป็นต้องมีการพุ่งเป้าไปที่การรวบรวมระบบต่างๆ เข้าไว้ด้วยกัน มองเห็นภาพที่ชัดเจน การประสานงานที่เป็นระบบเพื่อลดความซับซ้อน และการโต้ตอบภัยคุกคามได้อย่างมีประสิทธิภาพบนอุปกรณ์รักษาความปลอดภัยที่ตรวจจับภัยคุกคามได้ ซึ่งกระจายอยู่ในส่วนต่างๆ ของระบบเครือข่าย”
ฟอร์ติเน็ตผู้นำด้านโซลูชันระบบรักษาความปลอดภัยทางไซเบอร์ระดับโลกที่ครบวงจรทั้งด้านเครือข่ายและความปลอดภัย ประกาศผลรายงาน FortiGuard Labs Global Threat Landscape Report ซึ่งสามารถดูรายละเอียดได้จากรายงาน เช่นเดียวกับประเด็นสำคัญ สามารถอ่านได้จาก บล็อก ส่วนประเด็นสำคัญในรายงานช่วงครึ่งปีหลัง (2H 2022) มีดังนี้
- การแพร่กระจายของมัลแวร์ลบข้อมูล (Wiper Malware) ยังคงแสดงให้เห็นถึงวิวัฒนาการของการโจมตีทางไซเบอร์อยู่อย่างต่อเนื่อง
- พื้นที่การโจมตีขององค์กรโดยเฉลี่ยยังคงถือว่าเล็กอยู่ การเผยให้ CISO เห็นก่อนจะช่วยให้จัดความสำคัญและเข้าไปจัดการแก้ไขช่องโหว่ที่ปลายทางได้ก่อน
- ภัยคุกคามในรูปแบบแรนซัมแวร์ยังคงอยู่ในระดับที่สูงทั่วโลก และไม่มีท่าทีว่าจะลดลงเลย ซึ่งเป็นผลจากการเกิดบริการ Ransomware-as-a-Service (RaaS)
- กระบวนการอาชญากรรมทางไซเบอร์มีความเข้มแข็งมากขึ้น ซึ่งส่งผลให้อาชญากรทั้งหลายสามารถพัฒนาตัวเองให้มีรูปแบบการโจมตีที่ซับซ้อนมากขึ้นและหลบหลีกจากการตรวจจับของระบบป้องกันขั้นสูงได้
- ดิจิทัลทรานส์ฟอร์เมชัน การทำงานจากที่ต่างๆ และไฮบริดเน็ตเวิร์ค ยังคงถือว่าเป็นเป้าหมายหลักในการโจมตีของเหล่าอาชญากรเพื่อเข้าถึงระบบเครือข่ายขององค์กร
มัลแวร์ลบข้อมูลที่มีการโจมตีแบบ APT แพร่กระจายในวงกว้างในปี 2023
จากการวิเคราะห์ข้อมูลของมัลแวร์ลบข้อมูลชี้ให้เห็นแนวโน้มของอาชญากรทางไซเบอร์ที่มีการใช้เทคนิคการโจมตีแบบทำลายล้างข้อมูลกับเป้าหมาย นอกจากนี้ยังแสดงให้เห็นว่าขอบเขตของอินเทอร์เน็ตที่ขยายตัวมากขึ้น ทำให้อาชญากรทางไซเบอร์เหล่านี้สามารถที่จะปรับเปลี่ยนรูปแบบการโจมตีได้อย่างง่ายขึ้นผ่านบริการต่างๆ ในกลุ่ม Cybercrime-as-a-Service (CaaS)
ตัวอย่างในช่วงต้นปี 2022 ทางฟอร์ติการ์ด แล็ป ได้รายงานการตรวจพบมัลแวร์ลบข้อมูลนี้ในช่วงเวลาเดียวกับสงครามรัสเซีย-ยูเครน ซึ่งในช่วงหลังของปียังพบว่ามัลแวร์ลบข้อมูลเหล่านี้ได้แพร่กระจายไปยังประเทศอื่นๆ กระตุ้นให้พบกิจกรรมของมัลแวร์ลบข้อมูลเพิ่มขึ้น 53% เพียงแค่จากไตรมาสที่ 3 ถึง 4
ในขณะที่บางกิจกรรมนั้นก็อาจจะเกิดจากมัลแวร์ลบข้อมูลที่มีจุดเริ่มต้นพัฒนาและนำไปใช้โดยชาติที่อยู่ละแวกพื้นที่สงคราม ซึ่งถูกเลือกโดยกลุ่มอาชญากรทางไซเบอร์เพื่อนำไปแพร่กระจายต่อในแถบยุโรป น่าเสียดายที่แนวโน้มการแพร่ระบาดของมัลแวร์ลบข้อมูลนี้ยังไม่มีท่าทีว่าจะลดลงแม้แต่น้อย
โดยสังเกตได้จากปริมาณที่ถูกตรวจพบในไตรมาสที่ 4 ซึ่งหมายความว่าองค์กรต่างๆ ยังคงตกเป็นเป้าในการโจมตี และไม่ใช่เพียงแค่องค์กรที่อยู่ในประเทศยูเครนหรือประเทศใกล้เคียงอีกด้วย
ส่วนองค์กรที่ติดตั้งและใช้งาน Next-Generation Firewall (NGFWs) ซึ่งมีเทคโนโลยี in-line sandbox และบริการตรวจจับภัยคุกคามแบบเรียลไทม์จะยังคงสามารถป้องกันภัยคุกคามใหม่ๆ ที่ไม่รู้จัก รวมถึงมัลแวร์ลบข้อมูลเหล่านี้ได้ด้วย
การวางแผน CVE ของอุปกรณ์ปลายทางเผยให้เห็นพื้นที่การโจมตี สำคัญ ให้ CISO ได้เห็น
แนวโน้มของช่องโหว่ช่วยแสดงให้เห็นว่าอาชญากรทางไซเบอร์กำลังสนใจที่จะโจมตีอะไร ซึ่งทำให้คาดการณ์การโจมตีในอนาคตได้ รวมถึงเป้าหมายที่มีความเสี่ยงด้วย ด้วยข้อมูลที่มีประโยชน์เหล่านี้จะช่วยให้องค์กรเห็นภาพรวมที่ชัดเจนมากขึ้นว่าอะไรที่ควรจะต้องให้ความสำคัญเพื่อที่จะช่วยลดพื้นที่การถูกโจมตีหรือจุดใดที่ควรจะต้องรีบอุดช่องโหว่ เพื่อช่วยให้องค์กรสามารถจัดการความเสี่ยงจากช่องโหว่บนอุปกรณ์ปลายทางได้ดีมากยิ่งขึ้น
ฟอร์ติการ์ด แล็ปได้เปรียบเทียบข้อมูล จากดัชนีที่รวบรวมรายชื่อช่องโหว่ด้านความปลอดภัย (Common Vulnerabilities and Exposures: CVE) ใน 3 กลุ่ม คือ อุปกรณ์ปลายทางที่ไม่ถูกเฝ้าสังเกต อุปกรณ์ปลายทางที่ถูกเฝ้าสังเกต และอุปกรณ์ปลายทางที่ถูกเฝ้าสังเกตแต่ก็ยังถูกโจมตีด้วย
ซึ่งกลุ่มสุดท้ายนี่เองที่ถือว่าเป็น พื้นที่การโจมตีสำคัญ และยังพบอีกว่าน้อยกว่า 1% จาก CVE ที่เฝ้าสังเกตทั้งหมด (1,554 จาก 191,412 ในเดือนธันวาคม 2022) เป็นทั้ง CVE ที่อยู่บนอุปกรณ์ปลายทางและกำลังถูกโจมตี
ข้อมูลเหล่านี้มีความสำคัญสำหรับ CISO อย่างมาก เพราะจะช่วยให้วางแผนอุดช่องโหว่ได้ถูกจุดไม่ใช่เพียงแค่ส่วนที่มีความเสี่ยงสูงที่สุด แต่ยังหมายถึงอุปกรณ์ปลายทางที่มีช่องโหว่และกำลังถูกโจมตีอยู่ด้วย
นอกจากนี้ สิ่งสำคัญที่ควรทราบคือบริการต่างๆ เช่น การป้องกันความเสี่ยงทางดิจิทัลสามารถช่วยแยกวิเคราะห์ช่องโหว่เพื่อระบุจุดอ่อนของช่องโหว่ได้ดีขึ้น และตรวจสอบดาร์คเว็บหรือดีพเว็บเพื่อหาช่องโหว่ที่อาจส่งผลกระทบต่อองค์กรในปัจจุบันและอนาคตอันใกล้
ภัยคุกคามแรนซัมแวร์ทั่วโลกยังคงอยู่ที่ระดับสูงสุด
ภัยคุกคามแรนซัมแวร์ทั่วโลกยังคงมีการแพร่ระบาดอย่างรุนแรงโดยไม่มีท่าทีจะมีการลดลงเลย นั่นเป็นผลมาจากความนิยมในการใช้บริการ Ransomware-as-a-Service (Raas) ในดาร์กเว็บ ความจริงแล้วมีแรนซัมแวร์เพิ่มขึ้นถึง 16% ในช่วงครึ่งแรกของปี 2022 จากทั้งหมด 99 สายพันธุ์ที่ถูกเฝ้าสังเกตอยู่ มีแรนซัมแวร์ 5 สายพันธุ์หลักที่แพร่กระจายและสร้างความเสียหายถึง 37%
จากแรนซัมแวร์ที่พบทั้งหมดในช่วงครึ่งหลังของปี 2022 โดยมี GandCrab ผู้ให้บริการมัลแวร์แบบ RaaS ที่ก่อตั้งในปี 2018 อยู่ในอันดับต้นๆ ของรายชื่อ แม้ว่าผู้อยู่เบื้องหลัง GandCrab จะประกาศว่าจะวางมือหลังจากที่ทำกำไรไปได้มากกว่า 2 พันล้านดอลลาร์ แต่ยังคงเห็นชื่อของ GandCrab ติดอันดับต้นๆ อยู่ ซึ่งน่าจะเป็นเพราะว่ามีกลุ่มอาชญากรที่สืบทอดและดำเนินการต่อ หรือไม่ก็มีการนำโค้ดไปดัดแปลงและใช้งานต่อไป
ทำให้เห็นได้ชัดเจนว่ามีการร่วมมือกันระหว่างขบวนการอาชญากรระดับโลกเพื่อปฏิบัติการโจมตีหรือก่ออาชญากรรม ในการขัดขวางซัพพลายเชนของอาชญากรอย่างมีประสิทธิภาพ จำเป็นต้องอาศัยความรวมกลุ่ม ไว้ใจกันและทำงานร่วมกันระหว่างผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยทางไซเบอร์ในองค์กรและอุตสาหกรรมทั้งภาครัฐและเอกชน ในระดับองค์กรนั้น แรนซัมแวร์สามารถตรวจจับและกำจัดได้แบบเรียลไทม์ ก่อนที่ผู้โจมตีจะทำการโจมตีสำเร็จด้วยเทคโนโลยีชั้นสูงของ Endpoint Detection and Response (EDR)
การใช้โค้ดซ้ำของอาชญากรทำให้เห็นรูปแบบการทำงานที่มีประสิทธิภาพ
อาชญากรทางไซเบอร์มีการทำงานกันในรูปแบบธุรกิจโดยกำเนิดและมักจะมองหาการใช้ประโยชน์จากความรู้หรือการลงทุนจากการพยายามโจมตีเพื่อให้เกิดประสิทธิภาพและผลกำไรสูงสุด การนำโค้ดเดิมกลับมาใช้โจมตีใหม่คือหนึ่งในวิธีการที่มีประสิทธิภาพและสามารถสร้างรายได้ให้กับอาชญากรได้เป็นอย่างดี โดยมีการปรับปรุงรูปแบบการโจมตีเล็กน้อยเพื่อให้สามารถผ่านด่านระบบรักษาความปลอดภัยไปได้
จากที่ฟอร์ติการ์ด แล็ปวิเคราะห์ทำให้เห็นว่ามัลแวร์ที่มีการแพร่ระบาดมากที่สุดในช่วงครึ่งหลังของปี 2022 ส่วนใหญ่จะเป็นมัลแวร์ที่มีอายุมากกว่า 1 ปี อย่างมัลแวร์ของกลุ่ม Lazarus ซึ่งมีการแพร่ระบาดอย่างหนักในประวัติศาสตร์โลกไซเบอร์รวมถึงช่วงเวลาที่ย้อนกลับไปเป็นสิบปี โดยฟอร์ติการ์ด แล็ปได้ตรวจสอบมัลแวร์หลายๆ ตัวในตระกูล Emotet เพื่อวิเคราะห์หาร่องรอยของการยืมหรือนำโค้ดเดิมกลับมาใช้ใหม่
การวิจัยแสดงให้เห็นว่ามัลแวร์ Emotet ที่แพร่ระบาดครั้งใหญ่ไปนั้นสามารถจำแนกสายพันธุ์ตามคุณลักษณะแบบคร่าวๆ ได้ 6 สายพันธุ์ ดังนั้นอาชญากรทางไซเบอร์จึงไม่ได้แค่ออกแบบการโจมตีให้มีความอัตโนมัติเพียงอย่างเดียว แต่ยังมีการปรับปรุงการโจมตีจากความสำเร็จที่ผ่านมาเพื่อทำให้ภัยคุกคามมีประสิทธิภาพมากขึ้นอีกด้วย
สำหรับองค์กรต่างๆ ถือว่าเป็นเรื่องท้าทายในการติดตามภัยคุกคามใหม่ๆ ที่พัฒนาอย่างรวดเร็ว การใช้โค้ดซ้ำและการออกแบบการโจมตีในแบบโมดูลยิ่งเป็นการส่งเสริมอีโคซิสเต็มของ CaaS ที่กำลังเติบโต แสดงให้เห็นถึงความสำคัญของระบบรักษาความปลอดภัยทางไซเบอร์ตอบสนองได้รวดเร็ว ซึ่งสามารถช่วยให้องค์กรหยุดยั้งภัยคุกคามโดยอาศัยความสามารถของ AI และการทำงานร่วมกันของระบบป้องกัน
นอกจากนี้ยังต้องผสานรวมกับอุปกรณ์รักษาความปลอดภัยทั้งหมดผ่านการอัปเดตความปลอดภัย เพื่อให้องค์กรจะสามารถตรวจจับและตอบโต้ได้ทั่วทุกพื้นที่การโจมตี ซึ่งช่วยลดความเสี่ยงโดยรวมได้มากขึ้น
การกลับมาระบาดของ Botnet รุ่นเก่า แสดงให้เห็นถึงการปรับในซัพพลายเชนของอาชญากร
นอกจากการใช้โค้ดซ้ำแล้ว อาชญากรยังใช้ประโยชน์จากโครงสร้างพื้นฐานที่มีอยู่และภัยคุกคามที่แบบเก่าเพื่อเพิ่มโอกาสในการโจมตีสูงสุด ตัวอย่างเช่น เมื่อพิจารณาภัยคุกคามจากบอตเน็ตตามการแพร่กระจาย บอตเน็ตที่ร้ายกาจจำนวนมากกลับไม่ใช้ตัวที่ถูกพัฒนาใหม่
จึงไม่น่าแปลกใจเลยที่บอตเน็ต Mirai และ Gh0st.Rat ยังคงแพร่กระจายในหลายภูมิภาค จาก 5 อันดับแรกของบอตเน็ตที่ตรวจพบ มีเพียงบอตเน็ต RotaJakiro เท่านั้นที่ถูกสร้างขึ้นมาในทศวรรษนี้ แม้ว่าจะเป็นเรื่องสมควรที่จะให้ความสนใจภัยคุกคามที่เก่าแล้ว แต่องค์กรต่างๆ ในทุกภาคส่วนควรจะต้องเฝ้าระวังบอตเน็ต “รุ่นเก๋า” เหล่านี้ ที่ยังคงแพร่ระบาดอยู่เหมือนเดิม
นั่นเป็นเพราะว่าบอตเน็ตเหล่านี้ยังคงมีประสิทธิภาพมาก อาชญากรไซเบอร์ที่มีความรู้จึงยังคงใช้ประโยชน์จากโครงสร้างพื้นฐานของบอตเน็ตเดิมที่มีอยู่ และพัฒนาให้เป็นเวอร์ชันที่มีความสามารถมากขึ้นเรื่อยๆ ด้วยเทคนิคพิเศษขั้นสูงเพราะมีความคุ้มค่ากับการลงทุนมากกว่า
โดยเฉพาะอย่างยิ่งในช่วงครึ่งหลังของปี 2022 Managed Security Service Provider (MSSP), ภาคธุรกิจโทรคมนาคม/ผู้ให้บริการ และภาคการผลิต ซึ่งเป็นที่ทราบกันดีว่ามีการนำโอเปอเรชันเทคโนโลยี (OT) มาใช้กันอย่างแพร่หลาย ล้วนตกเป็นเป้าหมายสำคัญของบอตเน็ต Mirai ซึ่งแสดงให้เห็นถึงความพยายามของอาชญากรในการโจมตีเป้าหมายอุตสาหกรรมเหล่านั้นด้วยรูปแบบการโจมตีที่ได้รับการพิสูจน์แล้ว
ดังนั้นระบบป้องกันการบุกรุกที่ทำงานด้วย AI จะเช้ามาช่วยให้ข้อมูลการโจมตีที่ทันเวลาแบบใกล้เคียงเรียลไทม์พร้อมวิธีการในการตรวจจับและป้องกันภัยคุกคามทั้งที่รู้จักและไม่รู้จักได้ เช่น บอตเน็ตที่กำลังพัฒนา
การวิเคราะห์ชิ้นส่วนของเรื่องราวของมัลแวร์ – การเปลี่ยนแปลงการแพร่กระจายแสดงให้เห็นว่าผู้ใช้ต้องตระหนักอย่างเร่งด่วน การวิเคราะห์กลยุทธ์ของอาชญากรทำให้เราได้รับข้อมูลเชิงลึกที่มีประโยชน์เกี่ยวกับการพัฒนาเทคนิคและกลยุทธ์การโจมตีเพื่อป้องกันการโจมตีในอนาคตได้ดียิ่งขึ้น
ฟอร์ติการ์ด แล็ปได้วิเคราะห์การทำงานของมัลแวร์ที่ตรวจพบโดยอ้างอิงข้อมูลจากแซนด์บ็อกซ์เพื่อติดตามวิธีการแพร่กระจายที่พบมากที่สุด สิ่งสำคัญคือการวิเคราะห์นี้ดูจากตัวอย่างที่มีการทำงานแล้วเท่านั้น สำหรับแปดกลวิธีและเทคนิคยอดนิยมที่ถูกค้นพบในแซนด์บ็อกซ์ พบว่า drive-by ยังเป็นวิธีการยอดนิยมที่อาชญากรใช้เพื่อเข้าถึงระบบขององค์กรทั่วโลก
ซึ่งหมายความว่าผู้ไม่หวังดีสามารถเข้าถึงระบบของเหยื่อได้โดยที่ผู้ใช้ไม่ระวังตัวเพียงแค่เรียกดูเว็บไซต์ในอินเทอร์เน็ตและดาวน์โหลดมัลแวร์ที่เป็นอันตรายโดยไม่ได้ตั้งใจไปที่บนเว็บไซต์ที่ถูกโจมตีอยู่แล้ว การเปิดไฟล์แนบอีเมลที่ไม่ปลอดภัย หรือแม้แต่คลิกลิงก์หรือหน้าต่างป๊อปอัปหลอกลวง
ความท้าทายของกลยุทธ์ drive-by คือ เมื่อมีการเข้าเว็บไซต์และดาวน์โหลดมัลแวร์ที่เป็นอันตรายแล้ว ผู้ใช้จะไม่สามารถป้องกันหรือแก้ไขได้แล้ว เว้นแต่จะใช้การรักษาความปลอดภัยที่ครอบคลุม
การระมัดระวังทางไซเบอร์และการฝึกอบรมเกี่ยวกับภัยคุกคามทางไซเบอร์ของพนักงานยังคงเป็นสิ่งสำคัญในการช่วยให้พนักงานและนักเรียนรู้ตัวก่อนที่จะเข้าถึงภัยคุกคามเหล่านี้ องค์กรที่มีระบบป้องกันการแพร่กระจายต่อเนื่องสามารถยับยั้งการคุกคามจากพนักงานที่ตกเป็นเหยื่อของการโจมตีแบบ Drive-by ได้
โดยเฉพาะยิ่งเมื่อมีการจัดการแพตช์และระบบป้องกันการบุกรุก (IPS) ที่เหมาะสม ยิ่งไปกว่านั้นการทำงานร่วมกันระหว่างโปรแกรมป้องกันไวรัสที่ขับเคลื่อนด้วย AI, แซนด์บ็อกซ์แบบอินไลน์, Web Filtering และ DNS Filtering ยังช่วยให้สามารถตรวจจับและยับยั้งภัยคุกคามที่ระบบรักษาความปลอดภัยแบบเดิมๆ อาจไม่สามารถป้องกันได้
ภาพรวมรายงาน
รายงาน Global Threat Landscape Report ฉบับล่าสุดนี้แสดงถึงข้อมูลเชิงลึกโดยรวมที่ ฟอร์ติการ์ด แล็ป ดึงมาจากเครือข่ายเซ็นเซอร์ของฟอร์ติเน็ต ซึ่งรวบรวมเหตุการณ์ภัยคุกคามหลายพันล้านรายการที่ตรวจจับได้จากทั่วโลกในช่วงครึ่งหลังของปี 2022 คล้ายกับกรอบการทำงานของ MITER ATT&CK ที่จำแนกประเภทกลยุทธ์และเทคนิคของอาชญากร
โดยการจัดกลุ่มสามกลุ่มแรกจะครอบคลุมการสอดแนม การพัฒนาทรัพยากร และการเข้าถึงเบื้องต้น รายงาน FortiGuard Labs Global Threat Landscape Report อธิบายถึงวิธีที่ผู้คุกคามกำหนดเป้าหมายไปที่ช่องโหว่ สร้างโครงสร้างพื้นฐานที่เป็นอันตราย และใช้ประโยชน์จากเป้าหมาย รายงานยังครอบคลุมมุมมองระดับโลกและระดับภูมิภาค ตลอดจนแนวโน้มของภัยคุกคามที่ส่งผลกระทบต่อทั้งสภาพแวดล้อมด้าน IT และ OT
Featured Image: Image by rawpixel.com on Freepik