FortiGuard Labs ออกโรงเตือนภัยไวรัสล้างข้อมูลอาละวาดหนักกว่าเดิมถึง 50%

Share

 

ขบวนการอาชญากรรมไซเบอร์และภัยคุกคามโต้กลับ พัฒนาการโจมตีให้ลึกล้ำและซับซ้อนมาก เพื่อตอบสนองการป้องกันที่หนาแน่นขึ้น

 

เดเรค แมนคี หัวหน้าฝ่ายกลยุทธ์ด้านความปลอดภัยและรองประธานฝ่ายข่าวกรองภัยคุกคามจากฟอร์ติการ์ด แล็ป เผยว่า “สำหรับอาชญากรไซเบอร์ ยังคงมีการโจมตีและหลบเลี่ยงการตรวจจับอยู่เป็นจำนวนมาก และยังมีการพัฒนารูปแบบการโจมตีไม่น้อยหน้าการพัฒนาระบบรักษาความปลอดภัยทางไซเบอร์ที่ปกป้ององค์กรในทุกวันนี้ ปัจจุบันจะเห็นได้ว่าอาชญากรทางไซเบอร์ทั้งหลายมีการพัฒนาเทคนิคการสอดแนมที่แนบเนียนขึ้น และยังปล่อยการโจมตีที่มีความซับซ้อนเพื่อเปิดทางให้สามารถสร้างความเสียหายด้วยภัยคุกคามแบบ APT อย่างเช่นมัลแวร์ที่ใช้ลบข้อมูล (Wiper Malware) หรือไวรัสชนิดอื่นๆ ที่อาจร้ายกาจยิ่งกว่า เพื่อให้สามารถป้องกันแนวโน้มที่ซับซ้อนขึ้นได้ องค์กรจำเป็นต้องมีการพุ่งเป้าไปที่การรวบรวมระบบต่างๆ เข้าไว้ด้วยกัน มองเห็นภาพที่ชัดเจน การประสานงานที่เป็นระบบเพื่อลดความซับซ้อน และการโต้ตอบภัยคุกคามได้อย่างมีประสิทธิภาพบนอุปกรณ์รักษาความปลอดภัยที่ตรวจจับภัยคุกคามได้ ซึ่งกระจายอยู่ในส่วนต่างๆ ของระบบเครือข่าย”

ฟอร์ติเน็ตผู้นำด้านโซลูชันระบบรักษาความปลอดภัยทางไซเบอร์ระดับโลกที่ครบวงจรทั้งด้านเครือข่ายและความปลอดภัย ประกาศผลรายงาน FortiGuard Labs Global Threat Landscape Report ซึ่งสามารถดูรายละเอียดได้จากรายงาน เช่นเดียวกับประเด็นสำคัญ สามารถอ่านได้จาก บล็อก ส่วนประเด็นสำคัญในรายงานช่วงครึ่งปีหลัง (2H 2022) มีดังนี้

  • การแพร่กระจายของมัลแวร์ลบข้อมูล (Wiper Malware) ยังคงแสดงให้เห็นถึงวิวัฒนาการของการโจมตีทางไซเบอร์อยู่อย่างต่อเนื่อง
  • พื้นที่การโจมตีขององค์กรโดยเฉลี่ยยังคงถือว่าเล็กอยู่ การเผยให้ CISO เห็นก่อนจะช่วยให้จัดความสำคัญและเข้าไปจัดการแก้ไขช่องโหว่ที่ปลายทางได้ก่อน
  • ภัยคุกคามในรูปแบบแรนซัมแวร์ยังคงอยู่ในระดับที่สูงทั่วโลก และไม่มีท่าทีว่าจะลดลงเลย ซึ่งเป็นผลจากการเกิดบริการ Ransomware-as-a-Service (RaaS)
  • กระบวนการอาชญากรรมทางไซเบอร์มีความเข้มแข็งมากขึ้น ซึ่งส่งผลให้อาชญากรทั้งหลายสามารถพัฒนาตัวเองให้มีรูปแบบการโจมตีที่ซับซ้อนมากขึ้นและหลบหลีกจากการตรวจจับของระบบป้องกันขั้นสูงได้
  • ดิจิทัลทรานส์ฟอร์เมชัน การทำงานจากที่ต่างๆ และไฮบริดเน็ตเวิร์ค ยังคงถือว่าเป็นเป้าหมายหลักในการโจมตีของเหล่าอาชญากรเพื่อเข้าถึงระบบเครือข่ายขององค์กร

มัลแวร์ลบข้อมูลที่มีการโจมตีแบบ APT แพร่กระจายในวงกว้างในปี 2023

จากการวิเคราะห์ข้อมูลของมัลแวร์ลบข้อมูลชี้ให้เห็นแนวโน้มของอาชญากรทางไซเบอร์ที่มีการใช้เทคนิคการโจมตีแบบทำลายล้างข้อมูลกับเป้าหมาย นอกจากนี้ยังแสดงให้เห็นว่าขอบเขตของอินเทอร์เน็ตที่ขยายตัวมากขึ้น ทำให้อาชญากรทางไซเบอร์เหล่านี้สามารถที่จะปรับเปลี่ยนรูปแบบการโจมตีได้อย่างง่ายขึ้นผ่านบริการต่างๆ ในกลุ่ม Cybercrime-as-a-Service (CaaS) ตัวอย่างในช่วงต้นปี 2022 ทางฟอร์ติการ์ด แล็ป ได้รายงานการตรวจพบมัลแวร์ลบข้อมูลนี้ในช่วงเวลาเดียวกับสงครามรัสเซีย-ยูเครน ซึ่งในช่วงหลังของปียังพบว่ามัลแวร์ลบข้อมูลเหล่านี้ได้แพร่กระจายไปยังประเทศอื่นๆ กระตุ้นให้พบกิจกรรมของมัลแวร์ลบข้อมูลเพิ่มขึ้น 53% เพียงแค่จากไตรมาสที่ 3 ถึง 4 ในขณะที่บางกิจกรรมนั้นก็อาจจะเกิดจากมัลแวร์ลบข้อมูลที่มีจุดเริ่มต้นพัฒนาและนำไปใช้โดยชาติที่อยู่ละแวกพื้นที่สงคราม ซึ่งถูกเลือกโดยกลุ่มอาชญากรทางไซเบอร์เพื่อนำไปแพร่กระจายต่อในแถบยุโรป น่าเสียดายที่แนวโน้มการแพร่ระบาดของมัลแวร์ลบข้อมูลนี้ยังไม่มีท่าทีว่าจะลดลงแม้แต่น้อย โดยสังเกตได้จากปริมาณที่ถูกตรวจพบในไตรมาสที่ 4 ซึ่งหมายความว่าองค์กรต่างๆ ยังคงตกเป็นเป้าในการโจมตี และไม่ใช่เพียงแค่องค์กรที่อยู่ในประเทศยูเครนหรือประเทศใกล้เคียงอีกด้วย ส่วนองค์กรที่ติดตั้งและใช้งาน Next-Generation Firewall (NGFWs) ซึ่งมีเทคโนโลยี in-line sandbox และบริการตรวจจับภัยคุกคามแบบเรียลไทม์จะยังคงสามารถป้องกันภัยคุกคามใหม่ๆ ที่ไม่รู้จัก รวมถึงมัลแวร์ลบข้อมูลเหล่านี้ได้ด้วย

Data Detele Malware
ปริมาณมัลแวร์ลบข้อมูล

การวางแผน CVE ของอุปกรณ์ปลายทางเผยให้เห็นพื้นที่การโจมตี “สำคัญ” ให้ CISO ได้เห็น

แนวโน้มของช่องโหว่ช่วยแสดงให้เห็นว่าอาชญากรทางไซเบอร์กำลังสนใจที่จะโจมตีอะไร ซึ่งทำให้คาดการณ์การโจมตีในอนาคตได้ รวมถึงเป้าหมายที่มีความเสี่ยงด้วย ด้วยข้อมูลที่มีประโยชน์เหล่านี้จะช่วยให้องค์กรเห็นภาพรวมที่ชัดเจนมากขึ้นว่าอะไรที่ควรจะต้องให้ความสำคัญเพื่อที่จะช่วยลดพื้นที่การถูกโจมตีหรือจุดใดที่ควรจะต้องรีบอุดช่องโหว่ เพื่อช่วยให้องค์กรสามารถจัดการความเสี่ยงจากช่องโหว่บนอุปกรณ์ปลายทางได้ดีมากยิ่งขึ้น

ฟอร์ติการ์ด แล็ปได้เปรียบเทียบข้อมูล CVE จากทั้ง 3 กลุ่ม คือ อุปกรณ์ปลายทางที่ไม่ถูกเฝ้าสังเกต อุปกรณ์ปลายทางที่ถูกเฝ้าสังเกต และอุปกรณ์ปลายทางที่ถูกเฝ้าสังเกตแต่ก็ยังถูกโจมตีด้วย ซึ่งกลุ่มสุดท้ายนี่เองที่ถือว่าเป็น “พื้นที่การโจมตีสำคัญ” และยังพบอีกว่าน้อยกว่า 1% จาก CVE ที่เฝ้าสังเกตทั้งหมด (1,554 จาก 191,412 ในเดือนธันวาคม 2022) เป็นทั้ง CVE ที่อยู่บนอุปกรณ์ปลายทางและกำลังถูกโจมตี

ข้อมูลเหล่านี้มีความสำคัญสำหรับ CISO อย่างมาก เพราะจะช่วยให้วางแผนอุดช่องโหว่ได้ถูกจุดไม่ใช่เพียงแค่ส่วนที่มีความเสี่ยงสูงที่สุด แต่ยังหมายถึงอุปกรณ์ปลายทางที่มีช่องโหว่และกำลังถูกโจมตีอยู่ด้วย นอกจากนี้ สิ่งสำคัญที่ควรทราบคือบริการต่างๆ เช่น การป้องกันความเสี่ยงทางดิจิทัลสามารถช่วยแยกวิเคราะห์ช่องโหว่เพื่อระบุจุดอ่อนของช่องโหว่ได้ดีขึ้น และตรวจสอบดาร์คเว็บหรือดีพเว็บเพื่อหาช่องโหว่ที่อาจส่งผลกระทบต่อองค์กรในปัจจุบันและอนาคตอันใกล้

ภัยคุกคามแรนซัมแวร์ทั่วโลกยังคงอยู่ที่ระดับสูงสุด

ภัยคุกคามแรนซัมแวร์ทั่วโลกยังคงมีการแพร่ระบาดอย่างรุนแรงโดยไม่มีท่าทีจะมีการลดลงเลย นั่นเป็นผลมาจากความนิยมในการใช้บริการ Ransomware-as-a-Service (Raas) ในดาร์กเว็บ ความจริงแล้วมีแรนซัมแวร์เพิ่มขึ้นถึง 16% ในช่วงครึ่งแรกของปี 2022 จากทั้งหมด 99 สายพันธุ์ที่ถูกเฝ้าสังเกตอยู่ มีแรนซัมแวร์ 5 สายพันธุ์หลักที่แพร่กระจายและสร้างความเสียหายถึง 37% จากแรนซัมแวร์ที่พบทั้งหมดในช่วงครึ่งหลังของปี 2022
โดยมี GandCrab ผู้ให้บริการมัลแวร์แบบ RaaS ที่ก่อตั้งในปี 2018 อยู่ในอันดับต้นๆ ของรายชื่อ แม้ว่าผู้อยู่เบื้องหลัง GandCrab จะประกาศว่าจะวางมือหลังจากที่ทำกำไรไปได้มากกว่า 2 พันล้านดอลล่าร์ แต่ยังคงเห็นชื่อของ GandCrab ติดอันดับต้นๆ อยู่ ซึ่งน่าจะเป็นเพราะว่ามีกลุ่มอาชญากรที่สืบทอดและดำเนินการต่อ หรือไม่ก็มีการนำโค้ดไปดัดแปลงและใช้งานต่อไป ทำให้เห็นได้ชัดเจนว่ามีการร่วมมือกันระหว่างขบวนการอาชญากรระดับโลกเพื่อปฏิบัติการโจมตีหรือก่ออาชญากรรม

ในการขัดขวางซัพพลายเชนของอาชญากรอย่างมีประสิทธิภาพ จำเป็นต้องอาศัยความรวมกลุ่ม ไว้ใจกันและทำงานร่วมกันระหว่างผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยทางไซเบอร์ในองค์กรและอุตสาหกรรมทั้งภาครัฐและเอกชน ในระดับองค์กรนั้น แรนซัมแวร์สามารถตรวจจับและกำจัดได้แบบเรียลไทม์ ก่อนที่ผู้โจมตีจะทำการโจมตีสำเร็จด้วยเทคโนโลยีชั้นสูงของ Endpoint Detection and Response (EDR)

Ransomware Volumn
ปริมาณแรนซัมแวร์

การใช้โค้ดซ้ำของอาชญากรทำให้เห็นรูปแบบการทำงานที่มีประสิทธิภาพ

อาชญากรทางไซเบอร์มีการทำงานกันในรูปแบบธุรกิจโดยกำเนิดและมักจะมองหาการใช้ประโยชน์จากความรู้หรือการลงทุนจากการพยายามโจมตีเพื่อให้เกิดประสิทธิภาพและผลกำไรสูงสุด การนำโค้ดเดิมกลับมาใช้โจมตีใหม่คือหนึ่งในวิธีการที่มีประสิทธิภาพและสามารถสร้างรายได้ให้กับอาชญากรได้เป็นอย่างดี

โดยมีการปรับปรุงรูปแบบการโจมตีเล็กน้อยเพื่อให้สามารถผ่านด่านระบบรักษาความปลอดภัยไปได้ จากที่ฟอร์ติการ์ด แล็ปวิเคราะห์ทำให้เห็นว่ามัลแวร์ที่มีการแพร่ระบาดมากที่สุดในช่วงครึ่งหลังของปี 2022 ส่วนใหญ่จะเป็นมัลแวร์ที่มีอายุมากกว่า 1 ปี อย่างมัลแวร์ของกลุ่ม Lazarus ซึ่งมีการแพร่ระบาดอย่างหนักในประวัติศาสตร์โลกไซเบอร์รวมถึงช่วงเวลาที่ย้อนกลับไปเป็นสิบปี โดยฟอร์ติการ์ด แล็ปได้ตรวจสอบมัลแวร์หลายๆ ตัวในตระกูล Emotet เพื่อวิเคราะห์หาร่องรอยของการยืมหรือนำโค้ดเดิมกลับมาใช้ใหม่

การวิจัยแสดงให้เห็นว่ามัลแวร์ Emotet ที่แพร่ระบาดครั้งใหญ่ไปนั้นสามารถจำแนกสายพันธุ์ตามคุณลักษณะแบบคร่าวๆ ได้ 6 สายพันธุ์ ดังนั้นอาชญากรทางไซเบอร์จึงไม่ได้แค่ออกแบบการโจมตีให้มีความอัตโนมัติเพียงอย่างเดียว แต่ยังมีการปรับปรุงการโจมตีจากความสำเร็จที่ผ่านมาเพื่อทำให้ภัยคุกคามมีประสิทธิภาพมากขึ้นอีกด้วย สำหรับองค์กรต่างๆ ถือว่าเป็นเรื่องท้าทายในการติดตามภัยคุกคามใหม่ๆ ที่พัฒนาอย่างรวดเร็ว การใช้โค้ดซ้ำและการออกแบบการโจมตีในแบบโมดูลยิ่งเป็นการส่งเสริมอีโคซิสเต็มของ CaaS ที่กำลังเติบโต

แสดงให้เห็นถึงความสำคัญของระบบรักษาความปลอดภัยทางไซเบอร์ตอบสนองได้รวดเร็ว ซึ่งสามารถช่วยให้องค์กรหยุดยั้งภัยคุกคามโดยอาศัยความสามารถของ AI และการทำงานร่วมกันของระบบป้องกัน นอกจากนี้ยังต้องผสานรวมกับอุปกรณ์รักษาความปลอดภัยทั้งหมดผ่านการอัปเดตความปลอดภัย เพื่อให้องค์กรจะสามารถตรวจจับและตอบโต้ได้ทั่วทุกพื้นที่การโจมตี ซึ่งช่วยลดความเสี่ยงโดยรวมได้มากขึ้น

FortiGuard Labs พบการกลับมาระบาดของ Botnet รุ่นเก่า แสดงให้เห็นถึงการปรับในซัพพลายเชนของอาชญากร

นอกจากการใช้โค้ดซ้ำแล้ว อาชญากรยังใช้ประโยชน์จากโครงสร้างพื้นฐานที่มีอยู่และภัยคุกคามที่แบบเก่าเพื่อเพิ่มโอกาสในการโจมตีสูงสุด ตัวอย่างเช่น เมื่อพิจารณาภัยคุกคามจากบอตเน็ตตามการแพร่กระจาย บอตเน็ตที่ร้ายกาจจำนวนมากกลับไม่ใช้ตัวที่ถูกพัฒนาใหม่ จึงไม่น่าแปลกใจเลยที่บอตเน็ต Mirai และ Gh0st.Rat ยังคงแพร่กระจายในหลายภูมิภาค จาก 5 อันดับแรกของบอตเน็ตที่ตรวจพบ มีเพียงบอตเน็ต RotaJakiro เท่านั้นที่ถูกสร้างขึ้นมาในทศวรรษนี้ แม้ว่าจะเป็นเรื่องสมควรที่จะให้ความสนใจภัยคุกคามที่เก่าแล้ว แต่องค์กรต่างๆ ในทุกภาคส่วนควรจะต้องเฝ้าระวังบอตเน็ต “รุ่นเก๋า” เหล่านี้ ที่ยังคงแพร่ระบาดอยู่เหมือนเดิม นั่นเป็นเพราะว่าบอตเน็ตเหล่านี้ยังคงมีประสิทธิภาพมาก อาชญากรไซเบอร์ที่มีความรู้จึงยังคงใช้ประโยชน์จากโครงสร้างพื้นฐานของบอตเน็ตเดิมที่มีอยู่ และพัฒนาให้เป็นเวอร์ชันที่มีความสามารถมากขึ้นเรื่อยๆ ด้วยเทคนิคพิเศษขั้นสูงเพราะมีความคุ้มค่ากับการลงทุนมากกว่า

โดยเฉพาะอย่างยิ่งในช่วงครึ่งหลังของปี 2022 Managed Security Service Provider (MSSP), ภาคธุรกิจโทรคมนาคม/ผู้ให้บริการ และภาคการผลิต ซึ่งเป็นที่ทราบกันดีว่ามีการนำโอเปอเรชันเทคโนโลยี (OT) มาใช้กันอย่างแพร่หลาย ล้วนตกเป็นเป้าหมายสำคัญของบอตเน็ต Mirai ซึ่งแสดงให้เห็นถึงความพยายามของอาชญากรในการโจมตีเป้าหมายอุตสาหกรรมเหล่านั้นด้วยรูปแบบการโจมตีที่ได้รับการพิสูจน์แล้ว ดังนั้นระบบป้องกันการบุกรุกที่ทำงานด้วย AI จะเช้ามาช่วยให้ข้อมูลการโจมตีที่ทันเวลาแบบใกล้เคียงเรียลไทม์พร้อมวิธีการในการตรวจจับและป้องกันภัยคุกคามทั้งที่รู้จักและไม่รู้จักได้ เช่น บอตเน็ตที่กำลังพัฒนา

การวิเคราะห์ชิ้นส่วนของเรื่องราวของมัลแวร์ – การเปลี่ยนแปลงการแพร่กระจายแสดงให้เห็นว่าผู้ใช้ต้องตระหนักอย่างเร่งด่วน

การวิเคราะห์กลยุทธ์ของอาชญากรทำให้เราได้รับข้อมูลเชิงลึกที่มีประโยชน์เกี่ยวกับการพัฒนาเทคนิคและกลยุทธ์การโจมตีเพื่อป้องกันการโจมตีในอนาคตได้ดียิ่งขึ้น

ฟอร์ติการ์ด แล็ปได้วิเคราะห์การทำงานของมัลแวร์ที่ตรวจพบโดยอ้างอิงข้อมูลจากแซนด์บ็อกซ์เพื่อติดตามวิธีการแพร่กระจายที่พบมากที่สุด สิ่งสำคัญคือการวิเคราะห์นี้ดูจากตัวอย่างที่มีการทำงานแล้วเท่านั้น สำหรับแปดกลวิธีและเทคนิคยอดนิยมที่ถูกค้นพบในแซนด์บ็อกซ์ พบว่า drive-by ยังเป็นวิธีการยอดนิยมที่อาชญากรใช้เพื่อเข้าถึงระบบขององค์กรทั่วโลก ซึ่งหมายความว่าผู้ไม่หวังดีสามารถเข้าถึงระบบของเหยื่อได้โดยที่ผู้ใช้ไม่ระวังตัวเพียงแค่เรียกดูเว็บไซต์ในอินเทอร์เน็ตและดาวน์โหลดมัลแวร์ที่เป็นอันตรายโดยไม่ได้ตั้งใจไปที่บนเว็บไซต์ที่ถูกโจมตีอยู่แล้ว การเปิดไฟล์แนบอีเมลที่ไม่ปลอดภัย หรือแม้แต่คลิกลิงก์หรือหน้าต่างป๊อปอัปหลอกลวง ความท้าทายของกลยุทธ์ drive-by คือ เมื่อมีการเข้าเว็บไซต์และดาวน์โหลดมัลแวร์ที่เป็นอันตรายแล้ว ผู้ใช้จะไม่สามารถป้องกันหรือแก้ไขได้แล้ว เว้นแต่จะใช้การรักษาความปลอดภัยที่ครอบคลุม

การระมัดระวังทางไซเบอร์และการฝึกอบรมเกี่ยวกับภัยคุกคามทางไซเบอร์ของพนักงานยังคงเป็นสิ่งสำคัญในการช่วยให้พนักงานและนักเรียนรู้ตัวก่อนที่จะเข้าถึงภัยคุกคามเหล่านี้ องค์กรที่มีระบบป้องกันการแพร่กระจายต่อเนื่องสามารถยับยั้งการคุกคามจากพนักงานที่ตกเป็นเหยื่อของการโจมตีแบบ Drive-by ได้ โดยเฉพาะยิ่งเมื่อมีการจัดการแพตช์และระบบป้องกันการบุกรุก (IPS) ที่เหมาะสม ยิ่งไปกว่านั้นการทำงานร่วมกันระหว่างโปรแกรมป้องกันไวรัสที่ขับเคลื่อนด้วย AI, แซนด์บ็อกซ์แบบอินไลน์, Web Filtering และ DNS Filtering ยังช่วยให้สามารถตรวจจับและยับยั้งภัยคุกคามที่ระบบรักษาความปลอดภัยแบบเดิมๆ อาจไม่สามารถป้องกันได้

ภาพรวมรายงาน

รายงาน Global Threat Landscape Report ฉบับล่าสุดนี้แสดงถึงข้อมูลเชิงลึกโดยรวมที่ฟอร์ติการ์ด แล็ปดึงมาจากเครือข่ายเซ็นเซอร์ของฟอร์ติเน็ต ซึ่งรวบรวมเหตุการณ์ภัยคุกคามหลายพันล้านรายการที่ตรวจจับได้จากทั่วโลกในช่วงครึ่งหลังของปี 2022 คล้ายกับกรอบการทำงานของ MITER ATT&CK ที่จำแนกประเภทกลยุทธ์และเทคนิคของอาชญากร โดยการจัดกลุ่มสามกลุ่มแรกจะครอบคลุมการสอดแนม การพัฒนาทรัพยากร และการเข้าถึงเบื้องต้น รายงาน FortiGuard Labs Global Threat Landscape Report อธิบายถึงวิธีที่ผู้คุกคามกำหนดเป้าหมายไปที่ช่องโหว่ สร้างโครงสร้างพื้นฐานที่เป็นอันตราย และใช้ประโยชน์จากเป้าหมาย รายงานยังครอบคลุมมุมมองระดับโลกและระดับภูมิภาค ตลอดจนแนวโน้มของภัยคุกคามที่ส่งผลกระทบต่อทั้งสภาพแวดล้อมด้าน IT และ OT

Contentder

Contentder
มือเขียนคอนเทนต์ประจำ กอง บก. มีความรู้พอประมาณทั้ง ไอที ยานยนต์ไฟฟ้า ธุรกิจ และพยายามศึกษางานด้าน พลังงานและความยั่งยืน เพราะยึดในคำที่ Steve Jobs เคยกล่าวกับเหล่าบัณฑิต มหาวิทยาลัยแสตนฟอร์ด ในปี 2005 ที่ว่า "Stay Hungry, Stay Foolish" แปลเป็นไทยง่ายๆ "อย่าทำตัวเป็นน้ำเต็มแก้ว" นั่นเอง

Related Articles