www.cioworldmagazine.com

 Breaking News

เตือนภัย Ransomware 2.0 จ้องขุดเจาะข้อมูลและแบล็กเมล์

เตือนภัย Ransomware 2.0 จ้องขุดเจาะข้อมูลและแบล็กเมล์
May 31
14:37 2021

แคสเปอร์สกี้ระบุ ปี 2020 คือปีแห่ง Ransomware 2.0 ของเอเชียแปซิฟิก เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกัน เป็นการขุดเจาะข้อมูลที่ควบคู่ไปกับการแบล็กเมล์

 

แคสเปอร์สกี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก ระบุว่าปี 2020 เป็นปีแห่ง Ransomware 2.0 สำหรับภูมิภาคเอเชียแปซิฟิก ผู้เชี่ยวชาญยังได้กล่าวถึงตระกูลแรนซัมแวร์ชื่อฉาวสองกลุ่ม คือ REvil และ JSWorm ที่จับจ้องเหยื่อในภูมิภาคโดยเฉพาะ

Ransomware 2.0 หมายถึง กลุ่มอาชญากรไซเบอร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกัน เป็นการขุดเจาะข้อมูลที่ควบคู่ไปกับการแบล็กเมล์ การโจมตีที่ประสบความสำเร็จนั้นรวมถึงการสูญเสียเงินจำนวนมาก และการสูญเสียชื่อเสียง ซึ่งเกือบทุกครั้งเป็น การโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมาย ทั้งสิ้น

อเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้

อเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ กล่าวว่า “ปี 2020 เป็นปีที่มีประสิทธิผลมากที่สุดสำหรับตระกูลแรนซัมแวร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกันไปเป็นการฉกข้อมูลควบคู่ไปกับการแบล็กเมล์ ในภูมิภาคเอเชียแปซิฟิกนี้

เราสังเกตเห็นการเกิดขึ้นใหม่ที่น่าสนใจของกลุ่มอาชญากรไซเบอร์ที่มีการเคลื่อนไหวสูงสองกลุ่มคือ REvil และ JSWorm ทั้งสองกลุ่มนี้กลับมาปรากฏตัวอีกครั้งในช่วงการแพร่ของโรคระบาดในภูมิภาคเมื่อปีที่แล้ว และเราไม่เห็นสัญญาณว่าจะหยุดปฏิบัติการในเร็วๆ นี้”

REvil

เมื่อเดือนกรกฎาคม 2019 แคสเปอร์สกี้ออกบทความเกี่ยวกับแรนซัมแวร์ REvil เป็นครั้งแรก หรือที่เรียกว่า Sodinokibi และ Sodin กลุ่มอาชญากรไซเบอร์นี้เริ่มแพร่กระจายตัวเองผ่านช่องโหว่ของ Oracle Weblogic และดำเนินการโจมตีผู้ให้บริการ MSP

ในขณะที่กิจกรรมของ REvil พุ่งสูงสุดในเดือนสิงหาคมของปี 2019 มีผู้ตกเป็นเหยื่อ 289 ราย จากการตรวจวัดของแคสเปอร์สกี้พบการตรวจจับที่น้อยลงเรื่อยๆ จนเมื่อเดือนมิถุนายน 2020 กลุ่มแรนซัมแวร์นี้ ได้เร่งการโจมตีอีกครั้ง ซึ่งในช่วงเวลาเพียงหนึ่งเดือนภัยคุกคามนี้เพิ่มขึ้นสูงถึง 1893%

นอกจากนี้การตรวจสอบโดยผู้เชี่ยวชาญยังแสดงให้เห็นวิธีที่กลุ่มอาชญากรไซเบอร์นี้ได้กระจายอาวุธที่เป็นอันตรายจากภูมิภาคเอเชียแปซิฟิกไปยังภูมิภาคอื่นทั่วโลก

อเล็กซี่ กล่าวเสริมว่า “ย้อนกลับไปในปี 2019 เหยื่อส่วนใหญ่มาจากเอเชียแปซิฟิกเท่านั้น โดยเฉพาะจากไต้หวัน ฮ่องกง และเกาหลีใต้ แต่เมื่อปีที่แล้ว แคสเปอร์สกี้ตรวจพบเหยื่อในเกือบทุกประเทศและดินแดน กล่าวได้ว่าผู้สร้าง REvil ได้ใช้เวลาในการปรับปรุงความสามารถของมัน ทั้งวิธีการกำหนดเป้าหมายเหยื่อ และการเข้าถึงเครือข่ายเหยื่อ”

การกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ REvil ในปี 2020

สิ่งหนึ่งที่ไม่เปลี่ยนแปลง ก็คือ ภูมิภาคเอเชียแปซิฟิก ยังตกเป็นหนึ่งในเป้าหมายอันดับต้นๆ ของ REvil จากจำนวนผู้ใช้แคสเปอร์สกี้ที่เกือบตกเป็นเหยื่อกำหนดเป้าหมายโดยกลุ่ม REvil นี้ 1,764 รายในปี 2020 พบว่าบริษัท 635 ราย (36%) มาจากภูมิภาคนี้ อย่างไรก็ตาม บราซิลมีผู้ใช้จำนวนมากที่สุดที่เกือบจะโดนภัยคุกคามนี้โจมตี ตามมาด้วยเวียดนาม แอฟริกาใต้ จีน และอินเดีย

จากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์เปิดเผยข้อมูลรั่วไหล ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังสามารถแบ่งกลุ่มเป้าหมายออกเป็นประเภทอุตสาหกรรมทั่วไปได้หลายประเภท กลุ่มเป้าหมายที่ใหญ่ที่สุดคือวิศวกรรมและการผลิต (30%) ตามด้วยการเงิน (14%) และบริการทางวิชาชีพและผู้บริโภค (9%) กฎหมาย ไอที โทรคมนาคม และอาหารและเครื่องดื่มได้รับความสนใจเท่าๆ กันที่ 7%

JSWorm

JSWorm เข้าสู่วงการแรนซัมแวร์ในปี 2019 เช่นเดียวกับ REvil อย่างไรก็ตามการกระจายทางภูมิศาสตร์ของเหยื่อรายแรกๆ มีความหลากหลายมากกว่า ในช่วงเดือนแรกมีการตรวจพบทั่วโลก ในอเมริกาเหนือและใต้ (บราซิล อาร์เจนตินา สหรัฐอเมริกา) ในตะวันออกกลางและแอฟริกา (แอฟริกาใต้ ตุรกี อิหร่าน) ในยุโรป (อิตาลี ฝรั่งเศส เยอรมนี) และในเอเชียแปซิฟิก (เวียดนาม)

จำนวนเหยื่อ JSWorm ค่อนข้างต่ำเมื่อเทียบกับ REvil แต่ชัดเจนว่า ตระกูลแรนซัมแวร์นี้กำลังเร่งสร้างคะแนน โดยรวมแล้วโซลูชันของแคสเปอร์สกี้ได้บล็อกการพยายามโจมตีผู้ใช้ 230 รายทั่วโลก แต่ยังคงเพิ่มขึ้น 752% เมื่อเทียบกับเหยื่อเพียง 27 รายในปี 2019 ที่เกือบจะโดนภัยคุกคามประเภทนี้โจมตี

ผู้เชี่ยวชาญจากแคสเปอร์สกี้สังเกตเห็นการเปลี่ยนความสนใจของกลุ่ม JSWorm ที่มีต่อภูมิภาคเอเชียแปซิฟิก จากฐานข้อมูลของด้านความปลอดภัยของแคสเปอร์สกี้ (KSN) ผู้ใช้ในประเทศจีนเกือบจะถูกโจมตีมากที่สุด ตามมาด้วยสหรัฐอเมริกา เวียดนาม เม็กซิโก และรัสเซีย ผู้ใช้องค์กรและบุคคลจำนวนมากกว่าหนึ่งในสาม (39%) ที่กลุ่มนี้ตั้งเป้าหมายไว้เมื่อปีที่แล้วก็อยู่ในเอเชียแปซิฟิกเช่นกัน

การกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ JSWorm ในปี 2020

เป็นที่ชัดเจนว่าตระกูลแรนซัมแวร์นี้มีกลุ่มอุตสาหกรรมเป้าหมายเป็นโครงสร้างพื้นฐานที่และภาคส่วนสำคัญๆ ทั่วโลก การโจมตี JSWorm เกือบครึ่งหนึ่ง (41%) มีเป้าหมายโจมตีบริษัทด้านวิศวกรรมและอุตสาหกรรมการผลิต พลังงานและสาธารณูปโภค (10%) การเงิน (10%) บริการทางวิชาชีพและผู้บริโภค (10%) การขนส่ง (7%) และการดูแลสุขภาพ (7%) อยู่ในอันดับต้นๆ ของรายการด้วย โดยข้อมูลนี้อ้างอิงจากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์ข้อมูลรั่วไหล

ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำองค์กรและเอ็นเทอร์ไพรซ์ให้ปฏิบัติดังนี้เพื่อป้องกันภัย Ransomware 2.0

  • อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ
  • ฝึกอบรมพนักงานทุกคนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ในขณะที่ทำงานจากระยะไกล
  • ใช้เทคโนโลยีที่ปลอดภัยสำหรับการเชื่อมต่อระยะไกลเท่านั้น
  • ดำเนินการประเมินความปลอดภัยบนเครือข่ายของคุณ
  • ใช้โซลูชั่นการรักษาความปลอดภัยเอ็นด์พอยต์ด้วยการตรวจจับพฤติกรรมและการย้อนกลับไฟล์อัตโนมัติ
  • ไม่ทำตามข้อเรียกร้องของอาชญากรไซเบอร์ อย่าต่อสู้เพียงลำพัง ควรติดต่อหน่วยงานบังคับใช้กฎหมาย หน่วยงาน CERT ผู้ให้บริการด้านความปลอดภัยเช่น แคสเปอร์สกี้
  • ติดตามแนวโน้มล่าสุดผ่านการสมัครรับข้อมูลภัยคุกคามระดับพรีเมียม (threat intelligence)
  • รู้จักศัตรูของคุณ ระบุมัลแวร์ใหม่ที่ตรวจไม่พบด้วยเครื่องมือวิเคราะห์และตรวจจับชั้นนำ

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget