HIGHLIGHT
- IBM Security เปิดเผยรายงาน X-Force Threat Intelligence Index ประจำปี ชี้การเติบโตของแรนซัมแวร์และการหาประโยชน์จากช่องโหว่ในปี 2564 จะเพิ่มภาระให้กับซัพพลายเชนทั่วโลก
- ภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ตกเป็นเป้าหมายมากที่สุด
รายงานของปี 2565 แสดงรายละเอียดของวิธีการที่เหล่าอาชญากรแรนซัมแวร์พยายามใช้เพื่อ “สร้างรอยร้าว” ให้กับโครงสร้างหลักของซัพพลายเชนทั่วโลกผ่านการโจมตีภาคการผลิต
โดยภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ได้รับการโจมตีสูงสุด (29%) ในเอเชียในปี 2564 รองจากบริการทางการเงินและประกันภัยซึ่งเป็นอันดับหนึ่งมาอย่างยาวนาน
การที่ภาคการผลิตประสบกับเหตุโจมตีด้วยแรนซัมแวร์มากกว่าอุตสาหกรรมอื่น ๆ สะท้อนให้เห็นว่าอาชญากรหวังพึ่งผลกระทบที่จะถูกกระเพื่อมออกไปเป็นระลอกคลื่น เพราะเมื่อบริษัทหนึ่งในภาคการผลิตหยุดชะงัก ย่อมกระทบบริษัทอื่น ๆ ในซัพพลายเชนและส่งผลให้บริษัทเหล่านั้นหันมากดดันให้องค์กรที่โดนโจมตีต้องจ่ายยอมค่าไถ่
47% ของการโจมตีในภาคการผลิตมีสาเหตุมาจากช่องโหว่ที่องค์กรเหยื่อยังไม่ได้แก้ไขด้วยแพตช์หรือไม่สามารถแก้ไขได้ สิ่งนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องให้ความสำคัญกับการจัดการแก้ไขแพตช์ช่องโหว่
รายงาน IBM Security X-Force Threat Intelligence Index ปี 2565 เปิดเผยถึงเทรนด์และแพทเทิร์นการโจมตีที่ IBM Security ได้สังเกตและวิเคราะห์จากข้อมูลจากแหล่งต่าง ๆ อาทิ ข้อมูลจากดาต้าพอยท์หลายพันล้านจุดจากทั่วโลกและประเทศไทย ไม่ว่าจะเป็นเครือข่ายหรืออุปกรณ์เอ็นด์พอยท์ ข้อมูลการตอบสนองต่อเหตุโจมตี การแทร็คการฟิชชิ่ง ฯลฯ รวมถึงข้อมูลที่ได้จาก Intezer
ข้อมูลไฮไลต์อื่น ๆ จากรายงานประจำปีนี้ อาทิ
- แกงก์แรนซัมแวร์เกิดใหม่แม้ล่มสลาย แรนซัมแวร์ยังคงเป็นวิธีการโจมตีอันดับต้น ๆ ที่พบในปี 2564 และไม่มีแนวโน้มว่าจะลดลงเลยแม้แต่น้อย แม้ว่าจะมีความพยายามในการกำจัดแกงค์แรนซัมแวร์เพิ่มขึ้นก็ตาม จากรายงานในปี 2565 อายุเฉลี่ยของกลุ่มแรนซัมแวร์ก่อนปิดตัวลงหรือรีแบรนด์ใหม่คือ 17 เดือน
- ช่องโหว่ ภัยน่ากลัวที่สุดของธุรกิจ X-Force เปิดเผยว่าสำหรับในเอเชีย ช่องโหว่ที่ไม่ได้รับการแก้ไขเป็นสาเหตุนำสู่ 46% ของการโจมตีในปี 2564 ตอกย้ำให้เห็นถึงปัญหายากลำบากใหญ่หลวงของธุรกิจ ซึ่งก็คือการอุดแพตช์ช่องโหว่ต่างๆ
- สัญญาณเตือนวิกฤติไซเบอร์ในระบบคลาวด์ อาชญากรไซเบอร์กำลังวางรากฐานเพื่อมุ่งเป้าสภาพแวดล้อมคลาวด์ โดยรายงานล่าสุดชี้ให้เห็นการเพิ่มขึ้นของโค้ดแรนซัมแวร์ลินุกซ์ถึง 146% และการหันไปมุ่งเป้า Docker ซึ่งน่าจะเป็นช่องที่ทำให้อาชญากรไซเบอร์สามารถใช้ประโยชน์จากสภาพแวดล้อมระบบคลาวด์ได้ง่ายขึ้น
ชาร์ลส์ เฮ็นเดอร์สัน Head of IBM X-Force กล่าวว่า โดยปกติแล้วอาชญากรไซเบอร์จะไล่ตามเงิน แต่วันนี้สิ่งที่พวกเขากำลังทำคือการใช้แรนซัมแวร์เพื่อเพิ่มผลตอบแทนสูงสุด
“องค์กรควรตระหนักว่าช่องโหว่ต่าง ๆ สามารถทำให้พวกเขาตกอยู่ในภาวะหยุดชะงัก และอาชญากรแรนซัมแวร์ก็กำลังใช้ช่องโหว่เหล่านี้เพื่อสร้างประโยชน์ให้ตน นี่เป็นความท้าทายที่ไม่ได้มีผลแค่สองทาง เพราะพื้นที่การโจมตีจะขยายใหญ่ขึ้นเรื่อย ๆ ดังนั้นธุรกิจควรดำเนินการภายใต้สมมติฐานที่ว่าองค์กรตนถูกเจาะเรียบร้อยแล้ว และหันมายกระดับการจัดการช่องโหว่ด้วยกลยุทธ์ Zero Trust แทน”
กลุ่มแรนซัมแวร์ “เก้าชีวิต”
เพื่อตอบสนองต่อการเดินหน้าเร่งกำจัดกลุ่มแรนซัมแวร์ของหน่วยงานบังคับใช้กฎหมาย กลุ่มแรนซัมแวร์อาจเริ่มใช้แผน disaster recovery การวิเคราะห์ของ X-Force ชี้ให้เห็นว่าอายุเฉลี่ยของกลุ่มแรนซัมแวร์คือ 17 เดือน ก่อนที่จะปิดตัวลงหรือรีแบรนด์ใหม่
ยกตัวอย่าง REvil ซึ่งเป็นกลุ่มที่ก่อเหตุโจมตีถึง 37% ของเหตุแรนซัมแวร์ทั้งหมดที่เกิดขึ้นในปี 2564 สามารถอยู่มาได้ยาวนานถึงสี่ปีโดยอาศัยการรีแบรนด์ตัวเอง สะท้อนความเป็นไปได้ที่ว่ากลุ่มเหล่านี้จะกลับมาอีกครั้ง แม้ว่าจะถูกกำจัดลงโดยความร่วมมือของหน่วยงานภาครัฐต่างๆ แล้วก็ตามในช่วงกลางปี 2564
แม้ว่าหน่วยงานบังคับใช้กฎหมายจะสามารถชะลอการโจมตีของแรนซัมแวร์ลงได้ และยังส่งผลให้กลุ่มแรนซัมแวร์ต้องจัดหาเงินทุนสำหรับการรีแบรนด์หรือสร้างระบบโครงสร้างพื้นฐานขึ้นมาใหม่ แต่เมื่อเวลาผ่านไป
สิ่งสำคัญคือองค์กรต้องปรับปรุงระบบโครงสร้างพื้นฐานของตนให้ทันสมัย เพื่อให้สามารถจัดเก็บข้อมูลในสภาพแวดล้อมที่ให้การปกป้องข้อมูล ไม่ว่าจะบนระบบในองค์กรหรือบนคลาวด์ การทำเช่นนี้จะช่วยให้องค์กรสามารถจัดการ ควบคุม และปกป้องเวิร์คโหลดของตน และขจัดผู้คุกคามที่ใช้ประโยชน์จากข้อมูลที่รั่ว โดยทำให้การเข้าถึงข้อมูลในสภาพแวดล้อมแบบไฮบริดคลาวด์เป็นไปได้ยากขึ้น
ช่องโหว่กลายเป็นวิกฤติสำหรับบางองค์กร
สำหรับปี 64 ช่องโหว่ในระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) เพิ่มขึ้น 50% จากปีก่อนหน้า แม้ว่าจะมีการเปิดเผยช่องโหว่มากกว่า 146,000 รายการในช่วงทศวรรษที่ผ่านมา แต่เนื่องจากในช่วงไม่กี่ปีที่ผ่านมานี้ องค์กรต่าง ๆ ได้เร่งสปีดเส้นทางดิจิทัลของตน จึงคาดการณ์ได้ว่าความท้าทายในการจัดการช่องโหว่ในปัจจุบันยังไม่ถึงจุดสูงสุด
ในขณะเดียวกัน การแสวงหาประโยชน์ด้วยการโจมตีช่องโหว่ก็ได้รับความนิยมมากขึ้นเรื่อย ๆ โดย X-Force พบการโจมตีในลักษณะดังกล่าวเพิ่มขึ้น 33% เมื่อเทียบกับปีก่อนหน้า พบช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2564 จำนวนสองจุด บนแอพพลิเคชันองค์กรที่มีการใช้งานอย่างแพร่หลาย (Microsoft Exchange, Apache Log4J Library)
“เมื่อโครงสร้างพื้นฐานดิจิทัลขยายตัว องค์กรจะเผชิญความท้าทายในการจัดการช่องโหว่มากขึ้น การตรวจสอบและการดูแลให้ธุรกิจปฏิบัติอย่างสอดคล้องต่อกฎข้อบังคับต่างๆ จะกลายเป็นงานล้นมือขององค์กร สิ่งนี้ตอกย้ำถึงความสำคัญของการดำเนินการตามสมมติฐานที่ว่าองค์กรของตนได้ตกอยู่ในความเสี่ยงแล้ว และต้องนำกลยุทธ์แบบ Zero Trust เข้ามาช่วยปกป้องสถาปัตยกรรมของตนเอง” เฮ็นเดอร์สันกล่าว
ผู้โจมตีมุ่งเป้าไปที่จุดร่วมระหว่างคลาวด์
การสังเกตโดย X-Force ในปี 2564 พบว่าผู้โจมตีเปลี่ยนเป้าหมายไปที่ container อย่าง Docker ซึ่งเป็นคอนเทนเนอร์รันไทม์เอนจินที่โดดเด่นที่สุดตามข้อมูลจาก RedHat ผู้โจมตีตระหนักดีว่าคอนเทนเนอร์เป็นพื้นที่ร่วมในหลายองค์กร ดังนั้นจึงเพิ่มความพยายามเป็นสองเท่าเพื่อเพิ่ม ROI ของตน ด้วยมัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มและสามารถใช้เป็นจุดต่อไปยังคอมโพเนนท์อื่นๆ บนระบบโครงสร้างพื้นฐานของเหยื่อ
รายงานดังกล่าว ยังเตือนว่าเหล่าอาชญากรได้ลงทุนอย่างต่อเนื่องในมัลแวร์ Linux ซึ่งเรื่องนี้ไม่ปรากฎในการสังเกตการณ์ครั้งก่อนหน้านี้ โดยข้อมูลจาก Intezer ชี้ให้เห็นการเพิ่มขึ้นของแรนซัมแวร์ Linux ที่มีโค้ดใหม่ถึง 146% วันนี้อาชญากรยังคงมุ่งมั่นแสวงหาวิธีในการสเกลการโจมตีบนสภาพแวดล้อมคลาวด์ ธุรกิจต่างๆ จึงต้องให้ความสำคัญกับการเพิ่ม visibility ในโครงสร้างพื้นฐานแบบไฮบริดของตน สภาพแวดล้อมไฮบริดคลาวด์ที่สร้างขึ้นบนมาตรฐานที่เอื้อต่อการทำงานข้ามระบบและมาตรฐานแบบเปิด จะช่วยให้องค์กรสามารถตรวจจับจุดบอด เร่งสปีด และตอบสนองเหตุซิเคียวริตี้ได้โดยอัตโนมัติ
ข้อค้นพบเพิ่มเติมจากรายงานปี 2565 ยังคลอบคลุมถึง
- เอเชียเป้าโจมตีสูงสุด จากการสังเกตของไอบีเอ็ม เอเชียประสบกับการโจมตีมากกว่า 1 ใน 4 ของเหตุที่เกิดขึ้นทั่วโลกในปี 2564 ซึ่งมากกว่าภูมิภาคอื่น โดยธุรกิจบริการทางการเงินและการผลิต ประสบกับเหตุโจมตีนับเป็นเกือบ 60% ของเหตุที่เกิดขึ้นทั้งหมดในเอเชีย
- การใช้โทรศัพท์ร่วมกับฟิชชิ่ง ฟิชชิ่งเป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในปี 2564 ในการทดสอบการเจาะระบบของ X-Force Red อัตราการคลิกในแคมเปญฟิชชิ่งเพิ่มขึ้นสามเท่าเมื่อทำร่วมกับการโทรศัพท์
ข่าวอื่น ๆ ที่น่าสนใจ
LINE ประเทศไทย แต่งตั้ง ‘พิเชษฐ ฤกษ์ปรีชา’ ขึ้นเป็น รองประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ (COO)
