- แกงค์แรนซัมแวร์มีอายุเฉลี่ย 17 เดือน
- Vishing (การฟิชชิ่งทางโทรศัพท์) ส่งผลฟิชชิ่งโตสามเท่า
IBM (NYSE: IBM) Security เปิดเผยรายงาน X-Force Threat Intelligence Indexประจำปี ชี้การเติบโตของแรนซัมแวร์และการหาประโยชน์จากช่องโหว่ในปี 2564ได้ “จองจำ” และเพิ่มภาระให้กับซัพพลายเชนทั่วโลก โดยภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ตกเป็นเป้าหมายมากที่สุด ขณะที่การโจมตีช่องโหว่และฟิชชิ่งเป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในเอเชีย ในปีที่ผ่านมา X-Force สังเกตเห็นถึงการโจมตีช่องโหว่ของซอฟต์แวร์ที่ไม่ได้รับการแพตช์เพิ่มขึ้น 33% ซึ่งเป็นช่องที่อาชญากรแรนซัมแวร์อาศัยใช้ในการโจมตีมากกว่าวิธีการอื่นๆ และเป็นสาเหตุ 44% ของการโจมตีแรนซัมแวร์
รายงานของปี 2565 ยังแสดงรายละเอียดของวิธีการที่เหล่าอาชญากรแรนซัมแวร์พยายามใช้เพื่อ “สร้างรอยร้าว” ให้กับโครงสร้างหลักของซัพพลายเชนทั่วโลกผ่านการโจมตีภาคการผลิต โดยภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ได้รับการโจมตีสูงสุด (29%) ในเอเชียในปี 2564 รองจากบริการทางการเงินและประกันภัยซึ่งเป็นอันดับหนึ่งมาอย่างยาวนานการที่ภาคการผลิตประสบกับเหตุโจมตีด้วยแรนซัมแวร์มากกว่าอุตสาหกรรมอื่นๆสะท้อนให้เห็นว่าอาชญากรหวังพึ่งผลกระทบที่จะถูกกระเพื่อมออกไปเป็นระลอกคลื่น เพราะเมื่อบริษัทหนึ่งในภาคการผลิตหยุดชะงัก ย่อมกระทบบริษัทอื่นๆในซัพพลายเชนและส่งผลให้บริษัทเหล่านั้นหันมากดดันให้องค์กรที่โดนโจมตีต้องจ่ายยอมค่าไถ่ โดย 47% ของการโจมตีในภาคการผลิตมีสาเหตุมาจากช่องโหว่ที่องค์กรเหยื่อยังไม่ได้แก้ไขด้วยแพตช์หรือไม่สามารถแก้ไขได้ สิ่งนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องให้ความสำคัญกับการจัดการแก้ไขแพตช์ช่องโหว่
รายงาน IBM Security X-Force Threat Intelligence Index ปี 2565 เปิดเผยถึงเทรนด์และแพทเทิร์นการโจมตีที่ IBM Security ได้สังเกตและวิเคราะห์จากข้อมูลจากแหล่งต่างๆ อาทิ ข้อมูลจากดาต้าพอยท์หลายพันล้านจุดจากทั่วโลกและประเทศไทยไม่ว่าจะเป็นเครือข่ายหรืออุปกรณ์เอ็นด์พอยท์ข้อมูลการตอบสนองต่อเหตุโจมตีการแทร็คการฟิชชิ่ง ฯลฯ รวมถึงข้อมูลที่ได้จาก Intezer
ข้อมูลไฮไลต์อื่นๆ จากรายงานประจำปีนี้ อาทิ
- แกงค์แรนซัมแวร์เกิดใหม่แม้ล่มสลาย แรนซัมแวร์ยังคงเป็นวิธีการโจมตีอันดับต้นๆ ที่พบในปี 2564 และไม่มีแนวโน้มว่าจะลดลงเลยแม้แต่น้อย แม้ว่าจะมีความพยายามในการกำจัดแกงค์แรนซัมแวร์เพิ่มขึ้นก็ตาม จากรายงานในปี 2565 อายุเฉลี่ยของกลุ่มแรนซัมแวร์ก่อนปิดตัวลงหรือรีแบรนด์ใหม่คือ 17 เดือน
- ช่องโหว่ ภัยน่ากลัวที่สุดของธุรกิจ X-Force เปิดเผยว่าสำหรับในเอเชีย ช่องโหว่ที่ไม่ได้รับการแก้ไขเป็นสาเหตุนำสู่ 46% ของการโจมตีในปี 2564 ตอกย้ำให้เห็นถึงปัญหายากลำบากใหญ่หลวงของธุรกิจ ซึ่งก็คือการอุดแพตช์ช่องโหว่ต่างๆ
- สัญญาณเตือนวิกฤตไซเบอร์ในระบบคลาวด์ อาชญากรไซเบอร์กำลังวางรากฐานเพื่อมุ่งเป้าสภาพแวดล้อมคลาวด์ โดยรายงานล่าสุดชี้ให้เห็นการเพิ่มขึ้นของโค้ดแรนซัมแวร์ลินุกซ์ถึง146% และการหันไปมุ่งเป้า Docker ซึ่งน่าจะเป็นช่องที่ทำให้อาชญากรไซเบอร์สามารถใช้ประโยชน์จากสภาพแวดล้อมระบบคลาวด์ได้ง่ายขึ้น
“โดยปกติแล้วอาชญากรไซเบอร์จะไล่ตามเงิน แต่วันนี้สิ่งที่พวกเขากำลังทำคือการใช้แรนซัมแวร์เพื่อเพิ่มผลตอบแทนสูงสุด” นายชาร์ลส์เฮ็นเดอร์สัน Head of IBM X-Force กล่าว “องค์กรควรตระหนักว่าช่องโหว่ต่างๆสามารถทำให้พวกเขาตกอยู่ในภาวะหยุดชะงักและอาชญากรแรนซัมแวร์ก็กำลังใช้ช่องโหว่เหล่านี้เพื่อสร้างประโยชน์ให้ตน นี่เป็นความท้าทายที่ไม่ได้มีผลแค่สองทาง เพราะพื้นที่การโจมตีจะขยายใหญ่ขึ้นเรื่อยๆ ดังนั้นแทนที่จะดำเนินการภายใต้สมมติฐานที่ว่าทุกช่องโหว่ในสภาพแวดล้อมของตนได้รับการแก้ไขแล้ว ธุรกิจควรดำเนินการภายใต้สมมติฐานที่ว่าองค์กรตนถูกเจาะเรียบร้อยแล้ว และหันมายกระดับการจัดการช่องโหว่ด้วยกลยุทธ์ Zero Trust แทน”
กลุ่มแรนซัมแวร์ “เก้าชีวิต”
เพื่อตอบสนองต่อการเดินหน้าเร่งกำจัดกลุ่มแรนซัมแวร์ของหน่วยงานบังคับใช้กฎหมาย กลุ่มแรนซัมแวร์อาจเริ่มใช้แผน disaster recovery การวิเคราะห์ของ X-Force ชี้ให้เห็นว่าอายุเฉลี่ยของกลุ่มแรนซัมแวร์คือ 17 เดือนก่อนที่จะปิดตัวลงหรือรีแบรนด์ใหม่ ยกตัวอย่างเช่น REvil ซึ่งเป็นกลุ่มที่ก่อเหตุโจมตีถึง 37% ของเหตุแรนซัมแวร์ทั้งหมดที่เกิดขึ้นในปี 2564 สามารถอยู่มาได้ยาวนานถึงสี่ปีโดยอาศัยการรีแบรนด์ตัวเอง สะท้อนความเป็นไปได้ที่ว่ากลุ่มเหล่านี้จะกลับมาอีกครั้งแม้ว่าจะถูกกำจัดลงโดยความร่วมมือของหน่วยงานภาครัฐต่างๆ แล้วก็ตามในช่วงกลางปี 2564
แม้ว่าหน่วยงานบังคับใช้กฎหมายจะสามารถชะลอการโจมตีของแรนซัมแวร์ลงได้และยังส่งผลให้กลุ่มแรนซัมแวร์ต้องจัดหาเงินทุนสำหรับการรีแบรนด์หรือสร้างระบบโครงสร้างพื้นฐานขึ้นมาใหม่ แต่เมื่อเวลาผ่านไป สิ่งสำคัญคือองค์กรต้องปรับปรุงระบบโครงสร้างพื้นฐานของตนให้ทันสมัยเพื่อให้สามารถจัดเก็บข้อมูลในสภาพแวดล้อมที่ให้การปกป้องข้อมูล ไม่ว่าจะบนระบบในองค์กรหรือบนคลาวด์ การทำเช่นนี้จะช่วยให้องค์กรสามารถจัดการ ควบคุม และปกป้องเวิร์คโหลดของตน และขจัดผู้คุกคามที่ใช้ประโยชน์จากข้อมูลที่รั่ว โดยทำให้การเข้าถึงข้อมูลในสภาพแวดล้อมแบบไฮบริดคลาวด์เป็นไปได้ยากขึ้น
ช่องโหว่กลายเป็นวิกฤตสำหรับบางองค์กร
รายงานของ X-Force เน้นถึงจำนวนช่องโหว่ที่สูงเป็นประวัติการณ์ในปี 2564 โดยช่องโหว่ในระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) เพิ่มขึ้น 50% จากปีก่อนหน้า แม้ว่าจะมีการเปิดเผยช่องโหว่มากกว่า 146,000 รายการในช่วงทศวรรษที่ผ่านมา แต่เนื่องจากในช่วงไม่กี่ปีที่ผ่านมานี้องค์กรต่างๆ ได้เร่งสปีดเส้นทางดิจิทัลของตน ซึ่งส่วนใหญ่แล้วล้วนเป็นผลมาจากแรงหนุนจากการระบาดใหญ่จึงคาดการณ์ได้ว่าความท้าทายในการจัดการช่องโหว่ในปัจจุบันยังไม่ถึงจุดสูงสุด
ในขณะเดียวกัน การแสวงหาประโยชน์ด้วยการโจมตีช่องโหว่ก็ได้รับความนิยมมากขึ้นเรื่อยๆโดย X-Force พบการโจมตีในลักษณะดังกล่าวเพิ่มขึ้น 33%เมื่อเทียบกับปีก่อนหน้า พบช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2564 จำนวนสองจุด บนแอพพลิเคชันองค์กรที่มีการใช้งานอย่างแพร่หลาย (Microsoft Exchange, Apache Log4J Library) เมื่อโครงสร้างพื้นฐานดิจิทัลขยายตัว องค์กรจะเผชิญความท้าทายในการจัดการช่องโหว่มากขึ้น การตรวจสอบและการดูแลให้ธุรกิจปฏิบัติอย่างสอดคล้องต่อกฎข้อบังคับต่างๆ จะกลายเป็นงานล้นมือขององค์กร สิ่งนี้ตอกย้ำถึงความสำคัญของการดำเนินการตามสมมติฐานที่ว่าองค์กรของตนได้ตกอยู่ในความเสี่ยงแล้ว และต้องนำกลยุทธ์แบบZero Trust เข้ามาช่วยปกป้องสถาปัตยกรรมของตนเอง
ผู้โจมตีมุ่งเป้าไปที่จุดร่วมระหว่างคลาวด์
การสังเกตโดย X-Force ในปี 2564 พบว่าผู้โจมตีเปลี่ยนเป้าหมายไปที่ container อย่าง Docker ซึ่งเป็นคอนเทนเนอร์รันไทม์เอนจินที่โดดเด่นที่สุดตามข้อมูลจาก RedHat ผู้โจมตีตระหนักดีว่าคอนเทนเนอร์เป็นพื้นที่ร่วมในหลายองค์กร ดังนั้นจึงเพิ่มความพยายามเป็นสองเท่าเพื่อเพิ่ม ROI ของตนด้วยมัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มและสามารถใช้เป็นจุดต่อไปยังคอมโพเนนท์อื่นๆบนระบบโครงสร้างพื้นฐานของเหยื่อ
รายงานดังกล่าว ยังเตือนว่าเหล่าอาชญากรได้ลงทุนอย่างต่อเนื่องในมัลแวร์ Linux ซึ่งเรื่องนี้ไม่ปรากฎในการสังเกตการณ์ครั้งก่อนหน้านี้ โดยข้อมูลจาก Intezer ชี้ให้เห็นการเพิ่มขึ้นของแรนซัมแวร์ Linux ที่มีโค้ดใหม่ถึง 146% วันนี้อาชญากรยังคงมุ่งมั่นแสวงหาวิธีในการสเกลการโจมตีบนสภาพแวดล้อมคลาวด์ ธุรกิจต่างๆ จึงต้องให้ความสำคัญกับการเพิ่ม visibility ในโครงสร้างพื้นฐานแบบไฮบริดของตน สภาพแวดล้อมไฮบริดคลาวด์ที่สร้างขึ้นบนมาตรฐานที่เอื้อต่อการทำงานข้ามระบบและมาตรฐานแบบเปิด จะช่วยให้องค์กรสามารถตรวจจับจุดบอด เร่งสปีด และตอบสนองเหตุซิเคียวริตี้ได้โดยอัตโนมัติ
ข้อค้นพบเพิ่มเติมจากรายงานปี 2565 ยังคลอบคลุมถึง
- เอเชียเป้าโจมตีสูงสุดจากการสังเกตของไอบีเอ็มเอเชียประสบกับการโจมตีมากกว่า 1 ใน 4 ของเหตุที่เกิดขึ้นทั่วโลกในปี 2564 ซึ่งมากกว่าภูมิภาคอื่น โดยธุรกิจบริการทางการเงินและการผลิตประสบกับเหตุโจมตีนับเป็นเกือบ 60% ของเหตุที่เกิดขึ้นทั้งหมดในเอเชีย
- การใช้โทรศัพท์ร่วมกับฟิชชิ่งฟิชชิ่งเป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในปี 2564 ในการทดสอบการเจาะระบบของ X-Force Red อัตราการคลิกในแคมเปญฟิชชิ่งเพิ่มขึ้นสามเท่าเมื่อทำร่วมกับการโทรศัพท์
รายงานฉบับนี้ นำเสนอข้อมูลที่ไอบีเอ็มรวบรวมจากทั่วโลกในปี 2564 เพื่อมอบเป็นข้อมูลเชิงลึกเกี่ยวกับแลนด์สเคปของภัยคุกคามทั่วโลก และเป็นมุมมองให้ผู้เชี่ยวชาญด้านซิเคียวริตี้ได้ทราบถึงภัยคุกคามที่เกี่ยวข้องกับองค์กรตนมากที่สุด โดยสามารถดาวน์โหลด IBM Security X-Force Threat Intelligence Index ปี 2565 ฉบับเต็มได้ที่ https://www.ibm.com/security/data-breach/threat-intelligence/
เกี่ยวกับ IBM Security
IBM Security นำเสนอหนึ่งในกลุ่มผลิตภัณฑ์และบริการด้านความปลอดภัยที่ทันสมัยและครบวงจรที่สุด ผลงานดังกล่าวได้รับการสนับสนุนโดยงานวิจัยของ IBM X-Force® ซึ่งมีชื่อเสียงระดับโลก จึงช่วยให้องค์กรสามารถจัดการความเสี่ยงและป้องกันภัยคุกคามใหม่ๆ ที่เกิดขึ้นได้อย่างมีประสิทธิภาพ ไอบีเอ็มบริหารจัดการองค์กรด้านการวิจัย การพัฒนา และการส่งมอบบริการรักษาความปลอดภัยที่ครอบคลุมมากที่สุดแห่งหนึ่งของโลก โดยตรวจติดตามเหตุการณ์ด้านความปลอดภัย 150,000 ล้านเหตุการณ์ต่อวันในกว่า 130 ประเทศ และได้รับสิทธิบัตรด้านความปลอดภัยมากกว่า 10,000 ฉบับทั่วโลก สำหรับข้อมูลเพิ่มเติม สามารถดูได้ที่ www.ibm.com/security ติดตามบน Twitter ได้ที่ @IBMSecurity หรือไปที่ บล็อก IBM SecurityIntelligence