โซฟอสเปิดเผย ข้อมูลรายงานภัยคุกคาม Sophos 2019 Threat Report ที่มุ่งให้ความรู้ความเข้าใจเชิงลึกเกี่ยวกับเทรนด์ที่กำลังจะเกิดขึ้นและเปลี่ยนแปลงไปของการรักษาความปลอดภัยทางโลกไซเบอร์ (cybersecurity)
ซึ่งรายงานจัดทำโดยทีมนักวิจัยของ SophosLabs ที่สืบค้นความเปลี่ยนแปลงในลักษณะของภัยคุกคามที่ผ่านมาในช่วง 12 เดือน ซึ่งเป็นการเปิดเผยแนวโน้มและคาดการณ์วิธีที่จะส่งผลกระทบต่อความปลอดภัยบนโลกไซเบอร์ในปี 2019 ที่จะถึงนี้
โจ เลวี่ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของโซฟอส ระบุในรายงานภัยคุกคาม 2019 Threat Report ของ SophosLabs ว่า “ลักษณะของภัยคุกคามกำลังจะเปลี่ยนไปอย่างแน่นอน ด้วยอาชญากรไซเบอร์ที่มีทักษะความชำนาญน้อยกำลังถูกบีบให้ออกจากวงจรนี้ เหลือแต่พวกที่มีทักษะเป็นเลิศเท่านั้น ที่จะพัฒนาตัวเองจนอยู่รอดและท้ายที่สุดจะเหลืออยู่เพียงน้อยนิด
แต่พวกนี้จะเป็นศัตรูตัวฉกาจที่ทั้งฉลาดและเข้มแข็งมากขึ้น อาชญากรไซเบอร์รุ่นใหม่เหล่านี้เป็นการผสมข้ามสายพันธุ์อย่างมีประสิทธิภาพของกลุ่มนักโจมตีแบบระบุเป้าหมายที่เดิมที่ยังไม่ค่อยเป็นที่รู้จัก และคอยเป็นผู้ส่งสารให้กับบรรดามัลแวร์ที่พัฒนามาเพื่อใช้ในวัตถุประสงค์เฉพาะ โดยใช้เทคนิคการแฮกแบบลงมือด้วยตัวเอง (manual) ไม่ใช่เพื่อการจารกรรมหรือการก่อวินาศกรรม แต่มุ่งหวังจะรักษารายได้จากการทุจริตของพวกเขาไว้ต่อไป”
รายงานภัยคุกคาม 2019 Threat Report ของ SophosLabs มุ่งความสนใจไปที่พฤติกรรมการก่ออาชญากรรมและการโจมตีทางไซเบอร์หลักๆ ดังต่อไปนี้:
- อาชญากรไซเบอร์ในแวดวงการเงินกำลังหันไปสนใจใช้การโจมตีด้วย ransomware แบบระบุเป้าหมายชัดเจน ซึ่งมีการวางแผนล่วงหน้าและทำในลักษณะของการเรียกเงินค่าไถ่จำนวนหลายล้านดอลลาร์
ในปี 2018 พบพัฒนาการของการโจมตีด้วย ransomware แบบกำหนดเป้าหมายชัดเจนและผู้โจมตีลงมือเอง ซึ่งสร้างรายได้จำนวนมหาศาลให้แก่อาชญากรไซเบอร์ การโจมตีเหล่านี้แตกต่างจากการโจมตีแบบ “spray and pray” ที่หว่านแหโดยใช้ระบบอัตโนมัติไปยังอีเมล์นับล้านๆ อีเมล์ โดย ransomware ที่เจาะจงเป้าหมายจะสร้างความเสียหายมากกว่าแบบที่ส่งมาจากบอท เนื่องจากผู้โจมตีที่เป็นคนสามารถค้นหาและสะกดรอยตามเหยื่อ ซึ่งคนจะสามารถแก้ปัญหาเพื่อเอาชนะสิ่งกีดขวาง แล้วทำลายล้างระบบสำรองข้อมูลเพื่อให้เหยื่อจำเป็นต้องจ่ายค่าไถ่ “รูปแบบการโจมตีแบบ interactive” เช่นนี้ ซึ่งศัตรูกระทำการด้วยตนเองผ่านเครือข่ายแบบเป็นขั้นเป็นรูปแบบกำลังได้รับความนิยมเพิ่มขึ้นเรื่อยๆ ผู้เชี่ยวชาญของ Sophos เชื่อว่าความสำเร็จทางการเงินของ SamSam, BitPaymer และ Dharma สร้างแรงบันดาลใจให้เกิดการโจมตีในลักษณะเลียนแบบ (copycat) และคาดว่าจะเกิดลักษณะเช่นนี้มากขึ้นอีกในปี 2019
- อาชญากรไซเบอร์นิยมใช้เครื่องมือดูแลระบบของ Windows ที่เหยื่อใช้อยู่แล้ว
รายงานฉบับประจำปีนี้ ระบุว่า มีการเปลี่ยนแปลงในรูปแบบการสร้างภัยคุกคาม โดยมีผู้โจมตีจำนวนมากขึ้นที่ใช้เทคนิค Advanced Persistent Threat (APT) เพื่อใช้เครื่องมือไอทีที่มีอยู่แล้วเป็นเส้นทางนำร่องต่อไปยังระบบและทำภารกิจของพวกเขาให้สำเร็จ ไม่ว่าจะเป็นการโจรกรรมข้อมูลที่เป็นความลับออกจากเซิร์ฟเวอร์หรือปล่อย ransomware ไว้:
- การเปลี่ยนเครื่องมือการดูแลระบบไปเป็นเครื่องมือโจมตีทางไซเบอร์
วิธีนี้ถือเป็นการหักมุม หรือทำให้ผู้ใช้งานหมดหนทางแก้ปัญหา เพราะอาชญากรไซเบอร์จะใช้เครื่องมือดูแลระบบของ Windows ซึ่งรวมถึงไฟล์ Powershell และ Windows Scripting (ไฟล์ executable) เพื่อทำการโจมตีด้วยมัลแวร์บนระบบของผู้ใช้เอง
- อาชญากรไซเบอร์กำลังเล่นโดมิโนดิจิตอล
โดยการผูกโยงลำดับของเมนูเริ่มต้นประเภทต่างๆ ที่สามารถโยงไปยังการโจมตีในตอนท้ายได้แฮกเกอร์สามารถเริ่มกระบวนการที่เรียกว่า chain reaction ก่อนที่ผู้จัดการด้านไอทีจะตรวจพบว่าภัยคุกคามเริ่มทำงานบนเครือข่าย และเมื่อภัยคุกคามเหล่านั้นบุกเข้าไปแล้วก็ยากที่จะหยุดยั้งภัยดังกล่าวไม่ให้ทำงาน
- อาชญากรไซเบอร์หาโอกาสจากระบบปฏิบัติการ Office ใหม่ๆ เพื่อหลอกล่อเหยื่อ
ระบบปฏิบัติการ Office ถือเป็นช่องโหว่สำหรับการโจมตีมานานแล้ว แต่เมื่อเร็วๆ นี้อาชญากรไซเบอร์ได้ละความสนใจจากการหาประโยชน์จากเอกสารบน Office แบบเดิมไปใช้แบบใหม่แทน
- EternalBlue กลายเป็นเครื่องมือสำคัญสำหรับการโจมตีแบบ cryptojacking
การอัพเดต Patch กลายเป็นภัยที่คุกคาม Windows มานานกว่าหนึ่งปีแล้ว โดย EternalBlue ยังคงเป็นที่ชื่นชอบของเหล่าอาชญากรไซเบอร์ การจับคู่ของ EternalBlue เพื่อเข้ารหัสซอฟท์แวร์ทำให้กิจกรรมเปลี่ยนจากงานอดิเรกอันแสนน่าเบื่อกลายเป็นอาชีพสำหรับอาชญากรที่อาจสร้างรายได้มหาศาล การแพร่แบบกระจายตัวบนเครือข่ายขององค์กรเอื้อให้ cryptojacker แพร่เข้าไปติดเครื่องหลายเครื่องอย่างรวดเร็ว ซึ่งเท่ากับเพิ่มรายได้ให้กับแฮ็กเกอร์และเพิ่มค่าใช้จ่ายที่หนักหนาสาหัสในฝั่งของผู้ใช้
- ภัยคุกคามต่อเนื่องของมัลแวร์ในมือถือและ IoT
ผลกระทบของมัลแวร์ขยายไปไกลเกินกว่าระบบโครงสร้างพื้นฐานขององค์กร เนื่องจากเราเห็นว่าภัยคุกคามจากมัลแวร์ในมือถือขยายตัวขึ้นอย่างรวดเร็ว ด้วยแอพพลิเคชั่นบนแอนดรอยด์ที่ผิดกฎหมายมีปริมาณเพิ่มขึ้น ในปี 2018 พบว่ามีแนวโน้มปริมาณของมัลแวร์ถูกส่งเข้าไปในโทรศัพท์ แท็บเล็ต และอุปกรณ์ Internet of Things อื่นๆ มากขึ้น เนื่องจากบ้านเรือนและองค์กรธุรกิจใช้อุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ตมากขึ้น อาชญากรจึงได้คิดค้นวิธีการใหม่ๆ ในการโจรกรรมข้อมูลในอุปกรณ์เหล่านั้นเพื่อใช้เป็นจุดศูนย์กลางใน botnets ที่ทำการโจมตี ในปี 2018 VPNFilter ได้แสดงให้เห็นถึงพลังการทำลายล้างของมัลแวร์ที่มีผลต่อระบบฝังตัวและอุปกรณ์ที่ต่อกับเครือข่าย ซึ่งไม่มี user interface ที่ชัดเจน นอกจากนี้ Mirai Aidra, Wifatch และ Gafgyt ได้ส่งกลไกการโจมตีแบบอัตโนมัติที่โจรกรรมข้อมูลในอุปกรณ์เครือข่ายเพื่อใช้เป็นศูนย์กลางของ botnets ที่ทำการโจมตีโดยปฏิเสธการให้บริการ (denial-of-service (DoS) attack) แบบกระจายตัว รวมถึง การขุดเงินสกุลดิจิตอล และ การแทรกซึมบนเครือข่าย