แรมซัมแวร์หลบไป!! Cyber Attack แบบซุ่มกำลังมา เพื่อขโมยขุมพลังไปขุดเงิน

0
492
Cyber Attack

เทรนด์ไมโคร (Trend Micro) เผยรายงาน Midyear Security Roundup 2018 พบแฮกเกอร์เปลี่ยนแนวทางทางโจมตี (Cyber Attack) ลดการโจมตีแบบเรียกค่าไถ่ เป็นแฝงตัวแบบแอบซุ่มเงียบเพื่อโจมตีแบบต่อเนื่อง เพื่อใช้ทรัพยากรของเป้าหมายต่อยอดขุดคริปโต…

เทรนด์ Cyber Attack ซุ่มโจมตี เพื่อขโมยขุมพลังกำลังมา…

โดยจากรายงาน MSR 2018 ที่ทาง เทรนด์ไมโคร ได้ออกมาเปิดเผย พบว่า ปัจจุบันเหล่าแฮกเกอร์ หรืออาชญากรทางไซเบอร์ ได้เปลี่ยนรูปแบบจากการใช้ แรมซัมแวร์ (Ransomware) เพื่อมุ่งหวังในการเรียกค่าไถ่จากการเข้าควบคุมระบบ หรือส่วนสำคัญขององค์กรต่าง ๆ ซึ่งทำให้องค์กรจำยอมจ่ายเงินอย่างรวดเร็ว

เป็นการใช้รูปแบบหรือวิธีการในรูปแบบของการแอบซ่อน หรือซุ่มเงียบเพื่อประโยชน์จากช่องโหว่ของระบบต่าง ๆ ที่เหล่านักพัฒนายังตรวจสอบไม่พบ ซึ่งการเข้าควบคุมนี้ไม่ได้หมายถึงเพียงแค่ซอฟต์แวร์ แต่หมายรวมถึงฮาร์ทแวร์ด้วยเช่นกัน โดยทั้งหมด

เพื่อเข้าควบคุมพลังของระบบประมวลผลขององค์กรเป้าหมาย ไปใช้เป็นขุมพลังของตนเอง เพื่อขุดเงินดิจิทัล หรือคริปโต (Cryptocurrency) แทน โดยแอกเกอร์มีความพยายามในการแฮ็กทรัพยากรประมวลผลเพื่อขุดเงินดิจิทัล (Crypto-Jacking) เพิ่มขึ้นอย่างมหาศาล

โดยแค่เพียงในช่วงครึ่งปีแรกของปี 2018 นี้ การโจมตีแบบแอบซุ่มเพื่อขโมยทรัพยากร เพิ่มถึง 96% เมื่อเปรียบเทียบกับปีที่แล้ว โดยโตขึ้นกว่า 956% …!! เลยทีเดียว ซึ่งวิธีการที่เหล่าแฮกเกอร์นั้นใช้คือการปรับเปลี่ยนเครื่องมือ และเทคนิค

และขั้นตอนในการโจมตี เพื่อยกระดับการโจมตีในรูปแบบที่เป้าหมายไม่รู้ตัว หรือไม่ทราบถึงจุดบอดของระบบของตนเอง การเปลี่ยนแปลงรูปแบบ หรือวิธีการที่เห็นได้ชัดเจนอย่างมากในช่วงครึ่งปีแรก คือการที่เหล่าแฮกเกอร์ได้เปลี่ยนรูปแบบการโจมตีเป็นการโจมตี

แบบ “ไร้ไฟล์ข้อมูล” (Fileless) “การโจมตีแบบมาโคร” ที่ใช้เป็นมัลแวร์ที่อยู่ในรูปแบบไฟล์ที่มีขนาดเล็ก ที่ผู้เฝ้าระวังไม่ทันสังเกต หรือตรวจสอบเจอ

Cyber Attack

จอห์น เคลย์ ผู้อำนวยการสายงานสื่อสารด้านสถานการณ์อันตรายทั่วโลก ของเทรนด์ไมโคร กล่าวว่า  หลักเกณฑ์ในการตรวจสอบ หรือตัวชี้วัดความเสี่ยงด้านความปลอดภัยที่เคยใช้กันมานั้นเริ่มไม่น่าเชื่อถือแล้ว เนื่องจากกลุ่มอาชญากรไซเบอร์เปลี่ยนจากการใช้เครื่องมือ เทคนิคใหม่ ๆ

จากที่เคยใช้วิธีในเชิงเรียกความสนใจ มาใช้วิธีเงียบๆ ค่อยๆ แทรกซึมและทำเงินแบบที่เหยื่อไม่รู้ตัวแทน เช่น เปลี่ยนจากการปล่อยแรนซัมแวร์ที่สร้างกระแสได้ง่าย มาใช้เทคนิคการโจมตีแบบแอบขุดเหมืองเงินคริปโต มัลแวร์แบบ Fileless

และการหลอกเชิงจิตวิทยาทางธุรกิจหรือ BEC หรือใช้การโจมตีที่ซับซ้อนกว่าอย่างการใช้ข้อมูลเปย์โหลดยิงเราท์เตอร์ ซึ่งเราตรวจพบมัลแวร์ที่ใช้ไฟล์ขนาดเล็กมากอย่าง TinyPOS เพิ่มขึ้นถึง 250% เมื่อเทียบกับช่วงครึ่งปีหลังของปีที่แล้ว

โดยการใช้มัลแวร์ VPNFilter ทำให้การโจมตีเราท์เตอร์รุนแรงมากขึ้นอีกระดับ โดยกระทบกับเราท์เตอร์กว่า 5 แสนเครื่องใน 54 ประเทศแล้ว

ซึ่งอาจเป็นเพราะว่ามัลแวร์รูปแบบใหม่เหล่านี้ มีความสามารถที่ถูกยกระดับให้สามารถทะลุทะลวง หรือข้ามผ่านแนวป้องกันและระบบตรวจจับด้านความปลอดภัยที่ใช้กันในท้องตลาดได้

นอกจากนี้เรายังพบแนวโน้มการโจมตีแบบช่องโหว่ของซอฟต์แวร์ ที่ผู้พัฒนายังไม่สามารถตรวจพบ (Zero-day) จากทีม Zero Day Initiative (ZDI) ของเรา โดยเราพบว่าเพียงแค่ในช่วงครึ่งปีแรกของ 2561 การโจมตีแบบ “ซีโรเดย์” (Zero Day) แบบใหม่เพิ่มขึ้นกว่า 600 รายการ

โดยเฉพาะบั๊กในกลุ่มระบบ Foxit และ SCADA ที่มีแนวโน้มเติบโตขึ้นอย่างน่าตกใจ จึงชี้ให้เห็นว่าเราจะพบการโจมตีที่พุ่งเป้าไปที่ตัว Foxit Reader และระบบอุตสาหกรรมอย่าง SCADA มากขึ้น 2 เท่า เมื่อเทียบกับช่วงเวลาเดียวกันของปีที่แล้ว

ซึ่งเสี่ยงมากที่โครงสร้างพื้นฐานที่สำคัญจะได้รับผลกระทบ หรือสร้างความเสียหายได้ อย่างไรก็ดีจากอัตราการตรวจจับที่เราสามารถตรวจสอบพบได้มากนี้แสดงให้เห็นว่า ทาง ZDI สามารถทำนายแนวโน้มรูปแบบของช่องโหว่ที่จะถูกนำมาใช้ในการโจมตีจริงในวงกว้างได้ในอนาคตได้แม่นยำมากขึ้นเช่นกัน

ในการต่อกรการโจมตีรูปแบบใหม่นี้ เราจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญมากกว่าเดิมในการวางยุทธศาสตร์ระบบป้องกันแบบมัลติเลเยอร์ที่ครบวงจร ให้ปกป้องได้ทั้งการโจมตีแบบใหม่ และแบบที่มีการตรวจพบมาก่อนแล้ว

โดยเฉพาะการโจมตีแบบล่าสุดนั้นต้องใช้ความสามารถในการตรวจจับที่พิเศษยิ่งขึ้น เพราะระบบป้องกันแบบเดิมนั้นมักใช้กลไกที่มองข้ามแนวโน้มการโจมตีแบบใหม่จนทำให้เกิดความเสี่ยงได้

ภัยคุกคามจะเพิ่มสูงขึ้น และมาในรูปแบบใหม่ ๆ

Cyber Attack

ด้าน ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด กล่าวว่า แค่เพียงช่วงเวลาเพียงครึ่งปี ภัยคุกคามไซเบอร์นั้นได้ทวีความรุนแรงมากขึ้น อย่างต่อเนื่อง ไม่ว่าจะเป็นการโจมตีที่อาศัยช่องโหว่แบบ Zero-day

ถึง 602 รายการ มากกว่าช่วงครึ่งปีหลังของปีที่แล้วที่พบเพียง 578 รายการ นอกจากนี้การโจมตีที่ช่องโหว่นี้ ได้พัฒนาการจากการโจมตีที่ซอฟต์แวร์ เป็นโจมตีที่ตัวฮาร์ทแวร์เพิ่มขึ้นด้วย ไม่ว่าจะเป็นการโจมตีที่ช่องโหว่ของระบบ SCADA

ซึ่งเพิ่มขึ้นมาโดยส่วนใหญ่พบในระบบ Human Machine Interface (HMI) และ Foxit Reader แสดงให้เห็นว่าวันนี้ผู้พัฒนามัลแวร์ หรือเหล่าฉอกเกอร์ได้พุ่งเป้าไปยังรีดเดอร์ตัวอื่นนอกจาก Adobe Reader ที่ได้รับความนิยมด้วย

ขณะที่ในส่วนของการโจมตีที่ช่องโหว่ของซอฟต์แวร์ นั้นพบว่า 1 ใน 3 ยังคงโจมตีช่องโหว่ในบราวเซอร์ทั้ง Internet Explorer และ Edge ของไมโครซอฟท์

ขณะที่การโจมตีที่ตัวระบบปฏิบัติการในบนโทรศัพท์สมาร์ทโฟนนั้น พบว่า ยังคงมีบั๊กบนระบบของ Apple แม้จะมีจำนวนรวมน้อยกว่าช่วงครึ่งปีแรกของปี 2560 ก็ตาม เนื่องจากเมื่อตัดจำนวนบั๊กที่พบจากงานแข่งขัน Pwn2Own โดยช่องโหว่ที่ถูกค้นพบจริงภายนอกมีจำนวนมากกว่าช่วงเวลาเดียวกันของปีที่แล้วด้วย

ในส่วนการฝังมัลแวร์เพื่อทำการแอบขุดเงินดิจิตอล (Cryptocurrency) ก็เพิ่มมากขึ้นกว่าในช่วงครึ่งแรกของปี 2560 (956%) โดยการถูกจารกรรมในครึ่งปีแรกที่ตรวจพบประมาณ 1 ล้านรายการ สิ่งนี้แสดงให้เห็นว่าภัยคุกคามต่าง ๆ ไม่ได้ลดลงไปเลย

Cyber Attack

และเราคาดการณ์ต่อไปว่าในช่วงครึ่งปีหลังตลอดจนไปถึงปี 2562 จะมีเทคนิคการโจมตีแบบใหม่ที่เกิดขึ้นอีกมากมาย และร้ายแรงกว่าที่เป็นอยู่ ความเปลี่ยนแปลงล่าสุดที่เห็นได้ชัดเจน คือ เหล่าแฮกเกอร์เปลี่ยนจากแคมเปญการโจมตีด้วยการสแปมแรนซัมแวร์แบบยิงกราด

มาเป็นการโจมตีที่เจาะจงเลือกเหยื่อโดยใช้แรนซัมแวร์เป็นเครื่องมือในการรบกวน หรือสร้างความปั่นป่วนให้กับกระบวนการทางธุรกิจที่สำคัญ ๆ แทน อีกทั้งยังเพิ่มโจมตีแบบแอบซุ่มขุดเหมืองเงินคริปโต และการแฮ็กปล้นเงินดิจิตอลมากขึ้น

และเป็นการโจมตีที่โดดเด่นที่สุดในปัจจุบัน ทั้งหมดผลาญทรัพยากรระบบของเหยื่อมาทำเงินให้ตนเองมากที่สุดเท่าที่ทำได้ ขณะที่การโจมตีแบบ แรนซัมแวร์ ปัจจุบันนั้นพบว่าเหล่านักพัฒนามัลแวร์แบบนี้มีการลดพัฒนาแรนซัมแวร์สายพันธุ์ใหม่ลง

อย่างไรก็ตามในด้านจำนวนแรนซัมแวร์ที่ตรวจพบยังคงที่เท่ากับช่วงครึ่งปีหลังของปี 2560 มีการพัฒนามัลแวร์รูปแบบที่ต่างจากเดิมอย่างต่อเนื่องเพื่อพยายามเจาะผ่านระบบแอนติไวรัสที่ใช้กันในปัจจุบัน แม้ว่าปัจจุบันจะมีการใช้ระบบแมชชีนเลิร์นนิ่ง มาใช้เพื่อตรวจจับภัยคุกคามใหม่ ๆ

แต่แมชชีนเลิร์นนิ่งที่รันไว้ก่อนนั้นไม่สามารถตรวจจับมัลแวร์แบบ Fileless ได้ จึงเป็นเหตุผลที่กลไกการตรวจสอบก่อน และหลังการรันโปรแกรมของเทรนด์ไมโครนั้นมีความจำเป็น ด้านความเสียหายที่เกิดจาก BEC นั้น

ปัจจุบันเราพบว่ามูลค่าความเสียหายนั้นสูงกว่าที่เคยคาดการณ์ไว้ ว่าจะมีมูลค่าสูงถึง 9 พันล้านดอลลาร์สหรัฐฯ ทั่วโลก แต่จากตัวเลขรายงานของ FBI ล่าสุดเมื่อเดือนมิถุนายน ที่ผ่านมาพบว่ามี ยอดความเสหายถึง 1.25 หมื่นล้านดอลลาร์ เลยทีเดียว

ในส่วนของการคุมครองส่วนบุคคลแม้ว่า อียู (EU) จะออกกฎหมาย GDPR บังคับใช้แล้ว แต่ก็ยังพบรายงานเหตุข้อมูลรั่วไหลเกือบเท่าเดิม โดยเราว่ามีพบว่ากว่าครึ่งของข้อมูลรั่วไหลนั้นเกิดจากการเผลอเปิดเผยข้อมูลสู่สาธารณะโดยไม่ได้ตั้งใจ มากกว่าเกิดจากการโจมตีโดยเจตนา

ขณะที่เป้าหมายในการโจรกรรมข้อมูลที่มากที่ยังคงอยู่ที่อุตสาหกรรมทางการแพทย์ และบริการสุขภาพ วันนี้บริษัทต่าง ๆ ควรมองหาวิธีรวมศูนย์กลาง และเชื่อมต่อระบบป้องกันให้เป็นหนึ่งเดียวกัน เพื่อให้สามารถอัพเดทการป้องกันอันตรายใหม่ๆ ได้ครอบคลุม และยกระดับความสามารถในการมองเห็นโครงสร้างพื้นฐานเครือข่ายทั้งหมด

Cyber Attack
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด.

และควรที่ลงทุน และเปิดใช้ระบบป้องกันอันตรายขั้นสูงที่ใช้เทคโนโลยีใหม่ในตลาดอย่างระบบสมองกล หรือ AI และแมชชีนเลิร์นนิ่ง ที่สามารถอัพเดทความสามารถตรวจจับได้อย่างสม่ำเสมอ แต่ก็ไม่ควรมองข้ามเทคโนโลยีการป้องกันแบบเดิมหลายตัวที่ยังมีประสิทธิภาพปกป้องระบบจากอันตรายที่ระบาดในวงกว้างอยู่ในปัจจุบันด้วย

ดังนั้น เพื่อให้องค์กรสามารถเผชิญกับอันตรายที่มีการเปลี่ยนแปลง และพัฒนาขึ้นอย่างรวดเร็ว องค์กรทั้งหลายจำเป็นต้องรวมการจัดการด้านความปลอดภัยให้ประสานเป็นหนึ่งเดียว ด้วยการเลือกผู้จำหน่ายที่สามารถให้บริการการปกป้องแบบหลายลำดับชั้นที่สมบูรณ์แบบ ที่ป้องกันได้ทั้งมัลแวร์ทั่วไป

และอันตรายที่กำลังระบาดอย่างต่อเนื่อง ซึ่งทางระบบฐานข้อมูลอัจฉริยะชั้นนำด้านอันตรายทางไซเบอร์ของเทรนด์ไมโครนั้นได้รวบรวมข้อมูลอย่างต่อเนื่องมากว่า 30 ปี ทำให้สามารถให้การปกป้องที่ครอบคลุมมากที่สุด โดยในปีนี้ได้สกัดกั้นอันตรายกว่า 2 หมื่นล้านรายการแล้ว และยังคงทำหน้าที่ได้ดีอย่างต่อเนื่อง

อ่านเพิ่มเติมรายงาน Midyear Security Roundup 2018 ได้ที่ https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/unseen-threats-imminent-losses

ส่วนขยาย

* บทความนี้เรียบเรียงขึ้นเพื่อวิเคราะห์ในแง่มุมที่น่าสนใจ ไม่มีวัตถุมุ่งเพื่อโจมตี หน่วยงานใดหน่วยงานหนึ่ง 
** Compose : ชลัมพ์ ศุภวาที (Editors and Reporters)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com

สามารถกดติดตาม ข่าวสาร และบทความทางด้านเทคโนโลยี ของเราได้ที่

Comments

comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here

− five = three