เทรนด์ไมโคร (Trend Micro) เผยรายงานเจาะลึกภัยคุกคามจากกลุ่มแรนซั่มแวร์รุ่นใหม่ที่ประสบความสำเร็จในการโจมตีมากที่สุด พบแรนซัมแวร์ในตระกูล Nefilim หลุดรอดการตรวจจับได้สุดง่าย ต้องใช้ระบบตรวจจับและตอบสนองภัยคุกคามอัจฉริยะเพื่อช่วยหยุดการคุกคาม
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่าแรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูงอย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง
“ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียนที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าวที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง Trend Micro Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร”
จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 - มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์
อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด
ในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบและขั้นตอนการโจมตีโดยเริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ และเมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
จากนั้นระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS รวมถึงการใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี และมีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว โดยหลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง
ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือนถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ในขณะที่ยังคงซ่อนตัวอยู่ ซึ่งพฤติกรรมนี้สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่างๆ ในสภาพแวดล้อมเพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น
"Trend Micro Vision One จะตรวจสอบและเชื่อมโยงพฤติกรรมที่น่าสงสัยที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่าไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์และสามารถหยุดการโจมตีได้ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร” เทรนด์ไมโครระบุ