โลกเปลี่ยนไป กิจกรรมทุกอย่างถูกกำหนดโดยดิจิทัลมากขึ้น ขณะที่ทุกอณูของธุรกิจย่อมต้องตอบสนองการใช้ชีวิตในยุคดิจิทัลมากยิ่งขึ้นหรือเรียกง่าย ๆ Digital Transformation แน่นอนว่าเมื่อธุรกิจกลายเป็นเป้าหมายสำคัญของเหล่าแฮกเกอร์ที่ประสงค์ร้าย เทรนด์ของการลงทุนด้านความปลอดภัยจึงเริ่มตื่นตัวขึ้นอย่างมีนัยสำคัญ
หลายปีที่ผ่านมา เริ่มมีภัยคุกคามไซเบอร์เกิดขึ้นหลากหลายรูปแบบ ซึ่งปัจจุบันมีการพัฒนาจากการเรียกร้องเงินหลังคุกคามแล้วมาเป็นการจ่ายค่าคุ้มครองเพื่อไม่ให้เกิดการคุกคามเป็นรายปีแบบน่าตกใจ
อีกทั้ง Ransomware ที่โด่งดังอย่าง WannaCry ที่สามารถจุดกระแสของความห่วงใยด้านระบบความปลอดภัยในประเทศไทยให้เกิดขึ้นแล้ว ยังมีโปรแกรมประสงค์ร้ายเกิดขึ้นอีกมากมายในระบบออนไลน์ปัจจุบัน
ถึงแม้ว่ามัลแวร์ Ransomware ไม่ใช่เรื่องใหม่ แต่ก็ยังมีผู้ใช้อีกจำนวนมากที่ยังคงตกเป็นเหยื่อของ Ransomware โดยไม่ตระหนักว่าอุปกรณ์ของตนเองโดนโจมตี ผู้ใช้อาจดาวน์โหลด Ransomware โดยไม่รู้ตัวด้วยการเข้าชมเว็บไซต์อันตรายหรือเว็บไซต์ที่โดน Ransomware โจมตีอยู่แล้ว หรือมัลแวร์อื่น ๆ อาจปล่อยหรือดาวน์โหลด Ransomware เข้าสู่ระบบของผู้ใช้ อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิทัลของตนเองได้อีกครั้ง Ransomware เคยเป็นปัญหาระดับผู้ใช้งาน
แต่ปัจจุบันกลุ่มอาชญากรปล่อย Ransomware เข้าสู่ระบบเครือข่ายไฟล์ที่ใช้ร่วมกัน ระบบแบ๊กอัพข้อมูล ฯลฯ ทำให้เกิด ความเสี่ยงในองค์กรมากขึ้น แม้ว่าเป็นการยากมากที่จะให้มูลค่าที่แท้จริงของผลกระทบของ Ransomware ต่อองค์กรในระดับโลก
โดยล่าสุดทาง The Hollywood Presbytherian Medical Center ได้ถูกโจมตีโดย Ransomware ส่งผลต่อการบริการของโรงพยาบาลรวมถึงตัวผู้ป่วยเอง และถูกเรียกเงินถึง 40 Bitcoin หรือประมาณ 17,000 เหรียญสหรัฐ เพื่อถอดรหัสเพราะหากไม่จ่ายและพยายามที่จะปลดล็อกเอง Ransomware ก็จะทำลายข้อมูลไปเรื่อย ๆ
ทำให้เกิดความเสียหายมากขึ้น ซึ่งโดยทั่วไปแล้วแฮกเกอร์จะมีวิธีการที่แตกต่างกันตามสถานการณ์ แต่ก็มีเป้าหมายเดียวกันคือทำให้ผู้ใช้งานไม่สามารถเข้าถึงระบบที่ถูกแฮกได้และเรียกร้องค่าไถ่
และสำหรับประเทศไทยข้อมูลบางส่วนจาก DSI ระบุว่า ตั้งแต่ปี 2558 เป็นต้นมา เริ่มจะมีมัลแวร์ระบาดผ่านระบบเครือข่ายออนไลน์เข้าสู่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อเรียกค่าไถ่แลกกับโค้ดในการถอดรหัส โดยต้องพยายามอำพรางตัวเพื่อไม่ให้โปรแกรม Antivirus ตรวจจับได้
และเมื่อผู้ใช้เปิดไฟล์แนบที่ฝังมัลแวร์ไว้โดยการคลิกที่ป็อปอัพหรือคลิกลิงก์ในอีเมลก็จะถูก Redirect หน้าเว็บไซต์ไปยังเว็บไซต์ที่มีมัลแวร์อยู่ ทำให้แฮกเกอร์สามารถสร้างรายได้จากเหยื่อที่ไม่มีความรู้
ขณะที่ Ransomware บางประเภทได้พัฒนาจากมัลแวร์ที่สร้างความกลัว (Scareware) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น Ransomware ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน
ในช่วงปลายปี 2556 เทรนด์ไมโครตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า CryptoLocker ซึ่งเข้ารหัสไฟล์และล็อกระบบของเหยื่อ สิ่งที่ต่างจาก Ransomware รุ่นก่อนหน้าก็คือ CryptoLocker เรียกร้องเงินค่าไถ่จากผู้ใช้เพื่อแลกกับการปลดล็อกไฟล์ที่เข้ารหัส CryptoLocker พัฒนาและเพิ่มเติมกลวิธีใหม่ ๆ อย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับ
ในช่วงไตรมาสที่สามของปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วนหนึ่งในสามของ Ransomware ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า Crypto-Ransomware เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือนที่ผ่านมา
เมื่อไม่นานมานี้ เราตรวจสอบ Ransomware ชนิดใหม่ที่มีชื่อว่า TorrentLocker ซึ่งพุ่งเป้าโจมตีองค์กรต่าง ๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์ของตนเองได้นอกเสียจากว่าจะจ่ายเงินค่าไถ่จำนวนมากเสียก่อน
Pawn Storm ภัยร้ายตัวใหม่ที่กำลังจะโด่งดัง
จากรายงานล่าสุดของเทรนด์ ไมโคร เกี่ยวกับแก๊งอาชญากรข้ามชาติ Pawn Storm (ที่มีนิคเนมต่าง ๆ ไม่ว่าจะเป็น APT28, Fancy Bear, Strontium เป็นต้น) ที่รายงานถึงความเคลื่อนไหวของทีมแฮกเกอร์ระดับโลก ซึ่งฝากผลงานไว้มากมายและยาวนานกว่าที่เราเคยคิด
โดยเฉพาะการยกระดับมาทำผลิตภัณฑ์โซลูชันสำหรับขายแฮกเกอร์รายอื่นด้วย เราพบกิจกรรมของแก๊งนี้มาตั้งแต่ 17 ปีก่อนหน้า ซึ่งเน้นทำตลาดโจมตีกลุ่มหน่วยงานภาครัฐ ทหาร สื่อมวลชน และองค์กรทางการเมืองต่าง ๆ ทั่วโลก ในรายงานฉบับนี้จะกล่าวถึงการเปลี่ยนกลุ่มเป้าหมายมาเน้นการหลอกลวงหรือสร้างข่าวลวงทางไซเบอร์ในช่วงสองปีที่ผ่านมา แถมมีความเคลื่อนไหวเพิ่มมากขึ้นถึงสี่เท่าภายในปีที่แล้วปีเดียว
โดยทีมนักวิจัยได้พบร่องรอยการเคลื่อนไหวของ Pawn Storm มาตั้งแต่ปี 2547 แต่มีรายงานเป็นทางการฉบับแรกที่ตีพิมพ์ออกมาเกี่ยวกับอาชญากรกลุ่มนี้ในปี 2557 ซึ่งตั้งแต่นั้นเป็นต้นมาก็พบการโจมตีองค์กรระดับโลกทั้งหลายที่มักพบว่ามีความเกี่ยวข้องในเชิงต่อต้านหรือเป็นศัตรูทางการเมืองกับรัสเซีย แก๊งนี้ได้โจมตีองค์กรต่าง ๆ สำเร็จมาแล้วทั่วโลกด้วยกลยุทธ์การหลอกเอารหัสผ่านจากเหยื่อ ที่มีการวางแผนล่วงหน้าไว้อย่างละเอียด จำเพาะ และแยบยล
นอกจากการโจมตีในช่วงการเลือกตั้งของสหรัฐฯ ที่สร้างความฮือฮาพาดหัวสำนักข่าวทุกฉบับมาแล้วนั้น ก็มีองค์กรชื่อดังอีกหลายรายที่ตกเป็นเหยื่อในช่วง 3 ปีที่ผ่านมา อันได้แก่
ในปี 2559 แก๊ง Pawn Storm ก็ยังคงทำการโจมตีทางไซเบอร์อย่างต่อเนื่อง รวมทั้งเริ่มมีการใช้เทคนิคที่หลากหลายมากขึ้นด้วย โดยนอกจากการหลอกลวงเพื่อล้วงความลับและรหัสผ่านจากเหยื่อที่มีมูลค่าสูงมากขึ้นเรื่อย ๆ แล้ว ก็ยังมีการสร้างข่าวลวงทางไซเบอร์ด้วย ซึ่งเมื่อพิจารณาจากโดเมนหลอกที่มีการตั้งขึ้นมาแล้ว จะพบว่าแก๊งนี้เจาะกลุ่มเหยื่อที่เป็นพรรคการเมืองและสื่อมวลชนเป็นพิเศษ
โดยมีแนวโน้มที่แก๊งนี้จะทวีความรุนแรงอย่างต่อเนื่องในปี 2560 ซึ่งทีมนักวิจัยของเทรนด์ ไมโคร พยายามไล่ตามเพื่อค้นหาโดเมนที่แก๊งนี้ใช้ก่อเหตุ โดยเฉพาะโดเมนที่จดขึ้นเพื่อเคลื่อนไหวที่เกี่ยวข้องกับเหตุการณ์ทางการเมืองในฝรั่งเศสและเยอรมัน อย่างองค์กรด้านการเมืองของเยอรมัน Konrad Adenauer Stiftung และแคมเปญหาเสียงของประธานาธิบดีคนใหม่อย่าง Emmanuel Macron ที่ตกเป็นเป้าโจมตีในปีนี้
แก๊ง Pawn Storm ยังคงตกเป็นเป้าความสนใจของสื่ออย่างต่อเนื่อง นับตั้งแต่ข่าวพาดหัวใหญ่ในปี 2559 เกี่ยวกับการโจมตีที่ส่งผลต่อการลงคะแนนเลือกตั้งของสหรัฐฯ
องค์กรทางการเมืองต่าง ๆ เช่นเดียวกับองค์กรอื่น ๆ ทั่วโลกนั้น ควรจัดการด้านความปลอดภัยด้วยสมมติฐานว่าตัวเองโดนเจาะระบบหรือฝังมัลแวร์สืบความลับไปแล้วอยู่ตลอด ตั้งแต่บริเวณห้องรับรองไปจนถึงห้องเซิร์ฟเวอร์ ทุกฝ่ายต้องทำงานร่วมกันเพื่อปกป้องข้อมูลที่เป็นความลับจากแฮกเกอร์ทั้งหลาย
ไม่ว่าจะเป็น Pawn Storm แฮกเกอร์ที่เป็นนักเคลื่อนไหวทางการเมือง กลุ่มอาชญากรไซเบอร์ หรือแม้แต่ภัยที่เกิดจากคนภายในองค์กรเอง การปล่อยให้ข้อมูลที่เป็นความลับและทรัพย์สินทางปัญญาหลุดรอดไปอยู่ในมือผู้ไม่หวังดีมักมีจุดจบที่ไม่สวยไม่ว่าจะเป็นองค์กรใด ๆ
ความรุนแรงของการโจมตีนับได้ว่ามีความซับซ้อนมากขึ้นเรื่อย จวบจนปัจจุบันที่แม้ว่าบางกระแสจะออกมาบอกว่าการโจมตี IoT อาจจะไม่เกิดขึ้น เนื่องจากความยุ่งยากของการโจมตีรวมทั้งความเชี่ยวชาญของผู้ใช้งานอุปกรณ์เหล่านี้
แต่กระนั้นเมื่ออุปกรณ์ IoT กลายเป็นตลาดที่กว้างมากขึ้น ทุกอุปกรณ์เริ่มสื่อสารถึงกันได้อย่างอิสระ ระบบคอมพิวเตอร์ก็จะไม่ได้ถูกจำกัดอยู่ภายในเครื่องสมาร์ตดีไวท์ที่เรารู้จักแค่นั้น แต่จะกลายเป็นทุกสิ่งที่อยู่รอบตัวเรา แน่นอนว่าเมื่อเป็นเช่นนั้น “ความปลอดภัย” จึงเป็นอนาคตที่ทุกคนจะต้องเรียนรู้ไม่ใช่เพียงองค์กร ธุรกิจ หรือคนทำงานอีกต่อไป
