ภัยคุกคามทางไซเบอร์เพิ่มขึ้นอย่างน่าเป็นห่วง: Group-IB นำเสนอรายงานเกี่ยวกับอาชญากรรมที่มีแนวโน้มทั่วโลก

Group-IB หนึ่งในผู้นำด้านความปลอดภัยทางไซเบอร์ระดับโลก ได้นำเสนองานวิจัยเกี่ยวกับภัยคุกคามทางไซเบอร์ทั่วโลก Hi-Tech Crime Trends 2021/2022 ในงานประชุม CyberCrimeCon’21 ประจำปีที่เกี่ยวกับการไล่ล่าภัยคุกคามและข่าวกรอง ในรายงานซึ่งสำรวจการพัฒนาอาชญากรรมทางอินเทอร์เน็ตในช่วงครึ่งหลังของปี 2020 – H1 2021 นักวิจัย Group-IB วิเคราะห์ความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามทางไซเบอร์ทั่วโลก และโดยเฉพาะอย่างยิ่งบทบาทที่เพิ่มขึ้นของกลุ่มกระบวนการคุกคามทางไซเบอร์ แนวโน้มดังกล่าวปรากฏให้เห็นในการดำเนินการร่วมของแรนซัมแวร์และโบรกเกอร์ภายใต้โมเดล Ransomware-as-a-Service อาชญากรไซเบอร์รวมตัวกันเป็นกลุ่มเพื่อทำให้การฉ้อโกงเป็นไปอย่างครอบคลุมและรวดเร็ว การเกิดขึ้นเหล่านี้ทำให้อาชญากรรมส่วนบุคคลทางอินเทอร์เน็ตเช่น Carding Fraud ลดลงเป็นครั้งแรกไม่นานมานี้

เป็นเวลาติดต่อกันนาน 10 ปีที่รายงาน Hi-Tech Crime Trends วิเคราะห์ข้อมูลด้านต่างๆ ในการดำเนินงานของอุตสาหกรรมอาชญากรไซเบอร์ ตรวจสอบการโจมตี และให้การคาดการณ์สำหรับภูมิทัศน์ภัยคุกคามสำหรับภาคเศรษฐกิจต่างๆ รายงานนี้แบ่งออกเป็น 5 ส่วนหลักที่แตกต่างกัน ได้แก่ แรนซัมแวร์ การขายการเข้าถึงเครือข่ายองค์กร สงครามไซเบอร์ ภัยคุกคามจากภาคการเงิน และฟิชชิงและการหลอกลวง คำแนะนำ และการคาดการณ์ที่ระบุไว้ใน Hi-TechCrime Trends 2020-2021 พยายามต้องการที่จะป้องกันความเสียหายของระบบในบริษัททั่วโลก

การขายการเข้าถึงเครือข่ายองค์กร: บริษัทใน APAC มีความเสี่ยงสูง

ในช่วงครึ่งหลังของปี 2020 ถึงต้นปี 2021 ตลาดสำหรับการขายการเข้าถึงเครือข่ายองค์กรยังคงเติบโตอย่างต่อเนื่องและแตะระดับ 7,165,387 ดอลลาร์ทั่วโลก ซึ่งเพิ่มขึ้น 16 เปอร์เซ็นต์เมื่อเทียบกับช่วงเดียวกันของปีก่อน ควรสังเกตว่าผู้ขายบางรายไม่ได้ระบุต้นทุนสำหรับล็อตที่พวกเขาเสนอ ซึ่งสร้างอุปสรรคบางประการในการประเมินขนาดที่แท้จริงของตลาดนี้

เฉพาะใน APAC อย่างเดียว ค่าใช้จ่ายรวมของการเข้าถึงบริษัทในภูมิภาคทั้งหมดที่มีอยู่ในระบบใต้ดินมีมูลค่ารวม 3,307,210 ดอลลาร์ในช่วงที่ตรวจสอบ ซึ่งเพิ่มขึ้นเกือบ 7 เท่าเมื่อเทียบปีต่อปี การเข้าถึงการขายส่วนใหญ่เป็นขององค์กรจากออสเตรเลีย (36%) อินเดีย (23%) และจีน (14%)

ออสเตรเลียและอินเดียยังติดอันดับท็อป 5 ของโลก โดยเข้าถึงบริษัทที่พบได้บ่อยที่สุดในตลาดใต้ดิน โดยมีส่วนแบ่ง 4 เปอร์เซ็นต์และ 3 เปอร์เซ็นต์ตามลำดับ นำหน้าด้วยสหราชอาณาจักร (4%), ฝรั่งเศส (5%) และสหรัฐอเมริกา (30%)

บริษัทส่วนใหญ่ที่ได้รับผลกระทบนั้นมาจากการผลิต การศึกษา บริการทางการเงิน การดูแลสุขภาพ และการพาณิชย์ ในช่วงเวลาการตรวจสอบ จำนวนอุตสาหกรรมที่ได้รับผลกระทบจากการเข้าถึงเครือข่ายขององค์กรเพิ่มขึ้น 75% จาก 20 เป็น 35 ซึ่งบ่งชี้ว่าอาชญากรไซเบอร์เพิ่งเริ่มตระหนักถึงจำนวนและความหลากหลายของบริษัทที่เป็นเป้าหมายของพวกเขาได้ นอกจากนี้ยังสะท้อนให้เห็นในความจริงที่ว่าจำนวนประเทศที่ได้รับผลกระทบจากผู้ขายการเข้าถึงเครือข่ายองค์กรเพิ่มขึ้น 62% จาก 42 เป็น 68 ในภูมิภาคเอเชียแปซิฟิกเพียงอย่างเดียว จำนวนประเทศที่ถูกโจมตีเพิ่มขึ้น 50% จาก 10 เป็น 15 ประเทศ สิงคโปร์ อินโดนีเซีย มาเลเซีย และเกาหลีใต้

จำนวนนายหน้าการเข้าถึงเครือข่ายเริ่มต้นยังคงเพิ่มขึ้นเช่นกัน โดยจำนวนผู้ขายที่เข้าถึงได้มีจำนวน 262 รายในครึ่งหลังของปี 2020 ถึงต้นปี 2021 อย่างน้อย 229 ในจำนวนนี้เป็นมือใหม่ที่เข้าสู่ตลาด และเปรียบเทียบในช่วงเวลาเดียวกันในปีที่แล้วมีจำนวนผู้ขายเพียง 86 รายโดยจำนวนการเข้าถึงทั้งหมดที่เสนอขายอยู่ที่ 1,099 เทียบกับ 362 ในปีก่อนหน้า

อาชญากรไซเบอร์ที่ซื้อการเข้าถึงเครือข่ายองค์กรมักสร้างรายได้ด้วยความช่วยเหลือของกลุ่มโปรแกรม ransomware-as-a-service นักวิเคราะห์กลุ่ม-IB คาดว่าความต้องการแรนซัมแวร์ที่เพิ่มขึ้นจะส่งผลต่อการเกิดขึ้นของโบรกเกอร์การเข้าถึงเบื้องต้นรายใหม่และจำนวนข้อเสนอการเข้าถึงที่เพิ่มขึ้นโดยทั่วไป

Corporansom: เครื่องมือกดดันเหยื่อและ RaaS (ransomware-as-a-service)

ในช่วงการตรวจสอบ นักวิเคราะห์ของ Group-IB บันทึกโปรแกรม Ransomware-as-a-Service (RaaS) ใหม่ 21 โปรแกรม ซึ่งเพิ่มขึ้น 19 เปอร์เซ็นต์เมื่อเทียบกับช่วงก่อนหน้า ในระหว่างการตรวจสอบ อาชญากรไซเบอร์ที่เชี่ยวชาญการใช้ Data Leak Sites (DLS) ซึ่งเป็นแหล่งข้อมูลบนเว็บที่ใช้เป็นแหล่งแรงกดดันเพิ่มเติมต่อเหยื่อของพวกเขาเพื่อให้พวกเขาจ่ายค่าไถ่ภายใต้การคุกคามของการรั่วไหลของข้อมูลในที่สาธารณะ อย่างไรก็ตาม ในทางปฏิบัติ ถึงแม้ว่าจะมีการจ่ายค่าไถ่ ข้อมูลของเหยื่อยังคงอยู่ในสาธารณะและไม่ได้มีการลบออกไป จำนวนทรัพยากร DLS ใหม่เพิ่มขึ้นกว่าเท่าตัวถึง 28 เมื่อเทียบกับ 13 ในครึ่งปีหลัง 2019 ถึงต้นปี 2020 โดยรวมแล้ว ข้อมูลของบริษัท 2,371 แห่งถูกเผยแพร่บนเว็บไซต์ DLS ซึ่งเป็นการเพิ่มขึ้นอย่างไม่เคยปรากฏมาก่อน 935% เมื่อเทียบกับช่วงตรวจสอบครั้งก่อนที่ข้อมูลของเหยื่อมีเพียง 229 รายที่ถูกเปิดเผยต่อสาธารณะ

เป็นที่น่าสังเกตว่าในช่วงสามไตรมาสแรกของปีนี้ ตัวดำเนินการแรนซัมแวร์เปิดเผยข้อมูลบริษัทที่ถูกโจมตีมากกว่า 47% มากกว่าในปี 2020 โดยปกติอาชญากรไซเบอร์เปิดเผยข้อมูลเพียง 10% ของเหยื่อของพวกเขา ดังนั้นจำนวนเหยื่อที่ถูก ransomware โจมตีมีมากขึ้นกว่านั้นหลายเท่า ทั้งนี้จำนวนบริษัทที่เลือกจ่ายค่าไถ่ประมาณถึง 30%

ตามข้อมูลจากแหล่งข้อมูล DLS ภูมิภาค APAC อยู่ในอันดับที่สามในแง่ของจำนวนบริษัทที่ถูกโจมตีในปี 2020 และ 2021 นำหน้าด้วยยุโรปและอเมริกาเหนือ ในช่วงสามไตรมาสแรกของปีนี้ ส่วนของเอเชียแปซิฟิกในภูมิภาคเพิ่มขึ้นจาก 6.1% เป็น 9.1% ในปีปัจจุบัน เหยื่อโจมตีแรนซัมแวร์ที่เปิดเผยต่อสาธารณชนส่วนใหญ่ในเอเชียแปซิฟิกมีต้นทางมาจากออสเตรเลีย (41) อินเดีย (24) ญี่ปุ่น (16) ไต้หวัน (16) และอินโดนีเซีย (12)

บริษัทส่วนใหญ่ทั่วโลกที่ตกเป็นเป้าหมายของตัวดำเนินการแรนซัมแวร์ในปีปัจจุบันนั้นมาจากสหรัฐอเมริกา (49.2%) แคนาดา (5.6%) และฝรั่งเศส (5.2%) ในขณะที่องค์กรส่วนใหญ่ที่ได้รับผลกระทบอยู่ในภาคการผลิต (9.6%) , อสังหาริมทรัพย์ (9.5%) และการขนส่ง (8.2%)

จากการวิเคราะห์ DLS ของแรนซัมแวร์ในปี 2564 นักวิเคราะห์ของ Group-IB ได้ข้อสรุปว่า Conti กลายเป็นกลุ่มแรนซัมแวร์ที่คุกคามมากที่สุด ซึ่งเปิดเผยข้อมูลสาธารณะเกี่ยวกับเหยื่อ 361 ราย (16.5% ของบริษัทเหยื่อทั้งหมดที่มีข้อมูลเผยแพร่บน DLS) ตามด้วย Lockbit (251) , Avaddon (164), REvil (155) และ Pysa (118) 5 อันดับแรกของปีที่แล้วมีดังนี้: Maze (259), Egregor (204), Conti (173), REvil (141) และ Pysa (123)

การลดลงของ Carding Fraud

จากการวิเคราะห์ ตลาดของ Carding Fraud ลดลง 26% จาก 1.9 พันล้านดอลลาร์เป็น 1.4 พันล้านดอลลาร์เมื่อเทียบกับช่วงก่อนหน้า การลดลงดังกล่าวอธิบายได้จากจำนวนข้อมูลของบัตรเครดิตบนแถบแม่เหล็กที่เสนอขายลดลง ซึ่งลดลงถึง 17% จาก 70 ล้านใบเป็น 58 ล้านเนื่องจากการปิดตัวของตลาดบัตรที่ใหญ่ที่สุด Joker’s Stash ในขณะเดียวกัน ราคาเฉลี่ยของการถ่ายโอนข้อมูลบัตรธนาคารลดลงจาก 21.88 ดอลลาร์เป็น 13.84 ดอลลาร์ขณะที่ราคาสูงสุดเพิ่มขึ้นจาก 500 ดอลลาร์เป็น 750 ดอลลาร์

ในทางตรงกันข้าม การขายข้อมูลข้อความบัตรธนาคารในรูปแบบตัวอักษรเช่น (หมายเลขบัตรธนาคาร, วันหมดอายุ, ชื่อเจ้าของ, ที่อยู่, CVV): มีจำนวนเพิ่มขึ้น 36% จาก 28 ล้านรายการเป็น 38 ล้าน ซึ่งสามารถอธิบายได้ด้วยจำนวนที่เพิ่มขึ้นของแหล่งข้อมูลเว็บฟิชชิ่งที่เลียนแบบแบรนด์ดังท่ามกลางวิกฤตการณ์โควิด ซึ่งราคาเฉลี่ยสำหรับข้อมูลข้อความเพิ่มขึ้นจาก 12.78 ดอลลาร์เป็น 15.2 ดอลลาร์ ในขณะที่ราคาสูงสุดพุ่งขึ้น 7 เท่าจาก 150 ดอลลาร์เป็น 1,000 ดอลลาร์อย่างที่ไม่เคยเกิดขึ้นมาก่อน

โดยเฉพาะในภูมิภาคเอเชียแปซิฟิก ตลาด Carding Fraud ตกลงจาก 328.7 ล้านดอลลาร์เป็น 291.5 ล้านดอลลาร์ สิ่งนี้มาพร้อมกับราคาเฉลี่ยของข้อมูลการ์ดรูปแบบตัวอักษรที่เพิ่มขึ้นจาก 14.23 ดอลลาร์เป็น 20.26 ดอลลาร์และการลดลงของราคาการ์ดดัมพ์ของแถบแม่เหล็กจาก 75.17 ดอลลาร์เป็น 39.57 ดอลลาร์

โปรแกรมร่วมฟิชชิ่งและสแกม

กลุ่มอาชญากรไซเบอร์อีกกลุ่มหนึ่งที่ทำงานร่วมกันตลอดเวลาคือสแกมเมอร์ ในช่วงไม่กี่ปีที่ผ่านมา โปรแกรมร่วมฟิชชิ่งและสแกมได้รับความนิยมอย่างสูง การวิจัยที่ดำเนินการโดย Group-IB แสดงให้เห็นว่ามีโปรแกรมร่วมฟิชชิ่งและสแกมมากกว่า 70 โปรแกรม ผู้เข้าร่วมมีเป้าหมายที่จะขโมยเงิน ตลอดจนข้อมูลส่วนตัวและข้อมูลการชำระเงิน ในช่วงเวลาการรายงาน ผู้คุกคามที่มีส่วนร่วมในแผนดังกล่าวได้รับเงินทั้งหมดอย่างน้อย 10 ล้านดอลลาร์ จำนวนเงินเฉลี่ยที่สมาชิกโปรแกรมพันธมิตรหลอกลวงขโมยไปอยู่ที่ประมาณ 83 ดอลลาร์

โปรแกรมร่วมนี้มีผู้เข้าร่วมจำนวนมาก มีลำดับชั้นที่เข้มงวด และใช้โครงสร้างพื้นฐานทางเทคนิคที่ซับซ้อนเพื่อดำเนินกิจกรรมที่เป็นการฉ้อโกงโดยอัตโนมัติ ซึ่งจะช่วยปรับขนาดแคมเปญฟิชชิ่งและปรับแต่งให้เหมาะกับธนาคาร บริการอีเมลยอดนิยม ตลาดกลาง บริษัทโลจิสติกส์ และองค์กรอื่นๆ โปรแกรมพันธมิตรฟิชชิ่งและสแกม เริ่มแรกเน้นที่รัสเซียและประเทศ CIS อื่นๆ จากนั้นย้ายถิ่นทางออนไลน์ไปยังยุโรป อเมริกา เอเชีย และตะวันออกกลาง นี่คือตัวอย่างโดย Classiscam Group-IB รู้จักอย่างน้อย 71 แบรนด์จาก 36 ประเทศ ที่แอบอ้างโดยสมาชิกโปรแกรมร่วมพันธมิตร

เกี่ยวกับ Group-IB

Group-IB เป็นหนึ่งในผู้ให้บริการโซลูชั่นชั้นนำที่ทุ่มเทให้กับการตรวจจับและป้องกันการโจมตีทางไซเบอร์ ระบุการฉ้อโกงออนไลน์ สืบสวนอาชญากรรมไฮเทค และการคุ้มครองทรัพย์สินทางปัญญา ซึ่งมีสำนักงานใหญ่ในสิงคโปร์ ศูนย์ข่าวกรองและการวิจัยภัยคุกคามของบริษัทตั้งอยู่ในตะวันออกกลาง (ดูไบ) เอเชียแปซิฟิก (สิงคโปร์) ยุโรป (อัมสเตอร์ดัม) และรัสเซีย (มอสโก)

ระบบ Threat Intelligence & Attribution ของ Group-IB ได้รับการเสนอชื่อให้เป็นหนึ่งในระบบที่ดีที่สุดในระดับเดียวกันโดย Gartner, Forrester และ IDC Threat Hunting Framework ของ Group-IB (เดิมเรียกว่า TDS) ซึ่งมีไว้สำหรับการค้นหาเชิงรุกและการป้องกันภัยคุกคามทางไซเบอร์ที่ซับซ้อนและไม่เคยรู้จักมาก่อน ได้รับการยอมรับว่าเป็นหนึ่งในผู้นำใน Network Detection and Response โดยหน่วยงานวิเคราะห์ชั้นนำของยุโรป KuppingerCole Analysts AG ในขณะที่ Group-IB เองได้รับการยอมรับในฐานะผู้นำผลิตภัณฑ์และผู้นำด้านนวัตกรรม Gartner ระบุ Group-IB เป็นผู้จำหน่ายตัวแทนในการตรวจจับการฉ้อโกงออนไลน์สำหรับ Fraud Hunting Platform นอกจากนี้ Group-IB ยังได้รับรางวัล Innovation Excellence ของ Frost & Sullivan สำหรับ Digital Risk Protection ซึ่งเป็นแพลตฟอร์มที่ขับเคลื่อนโดย Al สำหรับการระบุและลดความเสี่ยงทางดิจิทัลและต่อต้านการโจมตีด้วยการเลียนแบบแบรนด์ด้วยเทคโนโลยีหลักของทางบริษัทเป็นแกนสำคัญ

ความเป็นผู้นำทางเทคโนโลยีและความสามารถด้านการวิจัยและพัฒนาของ Group-IB สร้างขึ้นจากประสบการณ์ตรงของบริษัท 18 ปีในการสืบสวนอาชญากรรมในโลกไซเบอร์ทั่วโลก และ 70,000 ชั่วโมงของการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่สะสมอยู่ในห้องปฏิบัติการนิติวิทยาศาสตร์ชั้นนำ แผนกสืบสวนอาชญากรรมที่มีเทคโนโลยีสูงและรอบด้าน CERT-GIB Group-IB เป็นผู้ทำงานร่วมกันอย่างแข็งขันในการสืบสวนทั่วโลกที่นำโดยองค์กรบังคับใช้กฎหมายระหว่างประเทศ เช่น Europol และ INTERPOL Group-IB ยังเป็นสมาชิกของกลุ่มที่ปรึกษา Europol European Cybercrime Centre (EC3) เกี่ยวกับความปลอดภัยทางอินเทอร์เน็ตที่สร้างขึ้นเพื่อส่งเสริมความร่วมมือที่ใกล้ชิดยิ่งขึ้นระหว่าง Europol และพันธมิตรชั้นนำทั่วไป

ประสบการณ์ของ Group-IB ในการไล่ล่าภัยคุกคามและข่าวกรองทางไซเบอร์ได้ถูกหลอมรวมเข้ากับระบบนิเวศของโซลูชันซอฟต์แวร์และฮาร์ดแวร์ที่มีความซับซ้อนสูง ซึ่งออกแบบมาเพื่อตรวจสอบ ระบุ และป้องกันการโจมตีทางไซเบอร์ ภารกิจของ Group-IB คือการต่อสู้กับอาชญากรรมที่มีเทคโนโลยีสูง รวมทั้งปกป้องลูกค้าของเราในไซเบอร์สเปซและช่วยให้พวกเขาบรรลุเป้าหมาย ในการดำเนินการดังกล่าว เราวิเคราะห์ภัยคุกคามทางไซเบอร์ พัฒนาโครงสร้างพื้นฐานของเราเพื่อตรวจสอบ ตอบสนองต่อเหตุการณ์ ตรวจสอบอาชญากรรมไฮเทคที่ซับซ้อน และออกแบบเทคโนโลยี โซลูชัน และบริการที่มีเอกลักษณ์เฉพาะเพื่อต่อต้านศัตรูทางไซเบอร์

ที่มา: Group-IB