ในโอกาสวัน International Anti-Ransomware Day 12 พฤษภาคม งานวิจัยล่าสุดของแคสเปอร์สกี้เปิดเผยภูมิทัศน์ความปลอดภัยไซเบอร์ระดับโลกที่มีแนวโน้มน่ากังวล โดยพบว่า การโจมตีด้วยแรนซัมแวร์ครองสัดส่วนเกือบ 1 ใน 3 ของเหตุการณ์ทางไซเบอร์ทั้งหมดในปี 2023 รายงานฉบับนี้ชี้ให้เห็นถึงภัยคุกคามที่ทวีความรุนแรงอีกด้วย แรนซัมแวร์แบบมีเป้าหมาย ซึ่งเพิ่มขึ้นทั่วโลกถึง 30% เทียบกับปี 2022 ควบคู่ไปกับจำนวนเหยื่อที่ทราบตัวตนเพิ่มขึ้นถึง 71%
ผลวิจัยของแคสเปอร์สกี้ปี 2022 และ 2023 เผยให้เห็นการเพิ่มขึ้นของกลุ่มโจมตีด้วยแรนซัมแวร์แบบเจาะจง (Targeted Ransomware) ซึ่งน่ากังวลทีเดียว ข้อมูลชี้ว่า จำนวนกลุ่มโจมตีประเภทนี้เพิ่มขึ้นทั่วโลกถึง 30% เมื่อเทียบกับปี 2022 ควบคู่ไปกับจำนวนเหยื่อที่ทราบตัวตนเพิ่มขึ้นถึง 71% การโจมตีแบบเจาะจงนี้ต่างจากการโจมตีแบบสุ่ม ตรงที่กลุ่มโจมตีมักกำหนดเป้าหมายเป็นหน่วยงานภาครัฐ องค์กรที่มีชื่อเสียง หรือบุคคลเป้าหมายในองค์กร ขณะที่เหล่าอาชญากรไซเบอร์พัฒนาเทคนิคการโจมตีที่ซับซ้อนและรุนแรงมากขึ้น ภัยคุกคามต่อความปลอดภัยไซเบอร์จึงทวีความรุนแรงขึ้นเช่นกัน
ปี 2023 ที่ผ่านมา Lockbit 3.0 ครองแชมป์แรนซัมแวร์ภัยคุกคามที่แพร่หลายที่สุด อาศัยช่องโหว่ที่หลุดออกมาในปี 2022 เพื่อสร้างตัวแปรที่ปรับแต่งเองออกโจมตีองค์กรเป้าหมายต่าง ๆ ทั่วโลก BlackCat/ALPHV ครองอันดับสอง และหยุดไปในเดือนธันวาคม 2023 หลังจากที่เอฟบีไอร่วมมือกับหน่วยงานอื่น ๆ ก็สามารถหยุดการทำงานของกลุ่มโจมตีนี้ได้สำเร็จ อย่างไรก็ตาม BlackCat ก็กลับมาดำเนินการได้อีกอย่างรวดเร็ว สะท้อนให้เห็นถึงความยืดหยุ่นของกลุ่มโจมตีแรนซัมแวร์นี้ได้เป็นอย่างดี อันดับสามคือ Cl0p ที่สามารถเจาะระบบการถ่ายโอนไฟล์ MOVEIt ส่งผลกระทบต่อองค์กรกว่า 2,500 แห่งถึงเดือนธันวาคม 2023 ตามข้อมูลจากบริษัทด้านความปลอดภัย Emsisoft จากนิวซีแลนด์
รายงาน State of Ransomware ประจำปี 2023 ของแคสเปอร์สกี้ ได้ระบุกลุ่มครอบครัวแรนซัมแวร์อื่นๆ ที่น่าจับตามองอีกหลายตัว อาทิ BlackHunt, Rhysida, Akira, Mallox และ 3AM ยิ่งไปกว่านั้น เมื่อภูมิทัศน์ของแรนซัมแวร์มีการเปลี่ยนแปลง กลุ่มโจมตีขนาดเล็กที่ตามจับตัวได้ยากก็เริ่มปรากฏตัวมากขึ้น ส่งผลให้การบังคับใช้กฎหมายมีความท้าทายมากขึ้น ผลวิจัยยังชี้ว่า การเติบโตของแพลตฟอร์ม Ransomware-as-a-Service (RaaS) ยิ่งทำให้ภูมิทัศน์ความปลอดภัยไซเบอร์มีความซับซ้อนมากขึ้น ตอกย้ำความสำคัญของการป้องกันเชิงรุก
ทีมรับมือเหตุการณ์ของแคสเปอร์สกี้ (Incident Response Team) ระบุว่า ในปี 2023 เหตุการณ์โจมตีด้วย แรนซัมแวร์มีสัดส่วนเกือบ 1 ใน 3 ของเหตุการณ์ด้านความปลอดภัยไซเบอร์ทั้งหมด งานวิจัยชี้ให้เห็นว่า การโจมตีผ่านตัวแทนจำหน่าย (contractors) และผู้ให้บริการ (service providers) กลายเป็นช่องทางโจมตีสำคัญที่เอื้อต่อการโจมตีขนาดใหญ่ด้วยประสิทธิภาพที่น่าวิตก กลุ่มโจมตี แรนซัมแวร์แสดงให้เห็นถึงความเข้าใจช่องโหว่ของระบบเน็ตเวิร์กอย่างแยบยล มีการใช้เครื่องมือและเทคนิคหลากหลายเพื่อบรรลุเป้าหมาย ผู้ร้ายไซเบอร์เหล่านี้ใช้เครื่องมือรักษาความปลอดภัยที่รู้จักกันดี รวมถึงช่องโหว่ที่เปิดเผยต่อสาธารณะ และคำสั่งพื้นฐานของระบบปฏิบัติการวินโดวส์ในการแทรกซึมเข้าสู่ระบบของเหยื่อ สะท้อนให้เห็นถึงความจำเป็นในการมีมาตรการรักษาความปลอดภัยไซเบอร์ที่แข็งแกร่ง เพื่อป้องกันการโจมตีด้วยแรนซัมแวร์และการยึดโดเมน
นายดิมิทรี กาลอฟ หัวหน้าศูนย์วิจัย ทีมวิจัยและวิเคราะห์ระดับโลก แคสเปอร์สกี้ กล่าวว่า “ในขณะที่ Ransomware-as-a-service (RaaS) เฟื่องฟู และเหล่าอาชญากรไซเบอร์ดำเนินการโจมตีที่ซับซ้อนมากขึ้นเรื่อยๆ ภัยคุกคามต่อความปลอดภัยไซเบอร์ก็ยิ่งทวีความรุนแรง การโจมตีด้วยแรนซัมแวร์ยังเป็นภัยคุกคามที่น่าสะพรึงจากการมุ่งโจมตีภาคส่วนสำคัญ หรือแม้แต่องค์กรขนาดเล็กโดยไม่เลือกเป้าหมาย เพื่อต่อสู้กับภัยคุกคามที่แพร่หลายนี้ บุคคลและองค์กรจำเป็นต้องมีมาตรการรักษาความปลอดภัยไซเบอร์ที่แข็งแกร่ง การติดตั้งโซลูชัน เช่น Kaspersky Endpoint Security และการนำระบบ Managed Detection and Response (MDR) มาใช้ ถือเป็นขั้นตอนสำคัญในการป้องกันภัยคุกคามจากแรนซัมแวร์ที่ไม่หยุดพัฒนาได้เป็นอย่างดี”
อ่านรายงานฉบับเต็มเรื่อง State of ransomware ได้ที่เว็บไซต์ Securelist.com
เนื่องในวันต่อต้านแรนซัมแวร์สากล – Anti-Ransomware Day – วันที่ 12 พฤษภาคมนี้ แคสเปอร์สกี้ขอแนะนำแนวทางปฏิบัติเพื่อช่วยองค์กรต่าง ๆ เสริมสร้างความปลอดภัย และป้องกันการโจมตีด้วยแรนซัมแวร์ ดังนี้
- หมั่นอัปเดตซอฟต์แวร์บนอุปกรณ์ทุกเครื่องเสมอ จะช่วยปิดช่องโหว่ที่ผู้โจมตีอาจใช้ในการรุกรานระบบเน็ตเวิร์ก
- มุ่งเน้นกลยุทธ์ป้องกันไปที่การตรวจจับการเคลื่อนไหวภายใน (Lateral Movements) และการขโมยข้อมูลออกนอกระบบเน็ตเวิร์ก (Data Exfiltration) การตรวจสอบปริมาณข้อมูลที่ออกนอกระบบ จะช่วยให้ระบุความผิดปกติที่อาจเกิดจากผู้ไม่หวังดี ที่พยายามเชื่อมต่อเข้ามาขโมยข้อมูล ทำการสำรองข้อมูลแบบออฟไลน์ (Offline Backups) ที่ผู้โจมตีไม่สามารถเข้าถึง ตรวจสอบให้แน่ใจว่าสามารถเข้าถึงข้อมูลสำรองเหล่านี้ได้อย่างรวดเร็ว เมื่อจำเป็นหรือมีเหตุฉุกเฉิน
- เปิดใช้งานฟีเจอร์ป้องกันแรนซัมแวร์บนอุปกรณ์ทุกเครื่อง แคสเปอร์สกี้มีเครื่องมือฟรี Kaspersky Anti-Ransomware Tool for Business ที่ช่วยปกป้องคอมพิวเตอร์และเซิร์ฟเวอร์จากแรนซัมแวร์และมัลแวร์ประเภทอื่นๆ ป้องกันช่องโหว่ของระบบ โดยเครื่องมือนี้ใช้งานร่วมกับโปรแกรมรักษาความปลอดภัยอื่นๆ ที่ติดตั้งไว้ได้อย่างราบรื่น
- ติดตั้งโซลูชัน Anti-APT และ EDR ซึ่งมีคุณสมบัติในการค้นหาและตรวจจับภัยคุกคามขั้นสูง รวมถึงสืบสวนหาสาเหตุ และแก้ไขปัญหาเบื้องต้นได้อย่างรวดเร็ว นอกจากนี้ ยังช่วยให้ทีมรักษาความปลอดภัย (SOC) สามารถเข้าถึงข้อมูลข่าวกรองด้านภัยคุกคามที่อัปเดต ควบคู่กับการฝึกอบรมพัฒนาศักยภาพของทีมงานอย่างสม่ำเสมอ องค์ประกอบทั้งหมดนี้มีให้บริการภายในกรอบงาน Kaspersky Expert Security framework
- จัดหาข้อมูลข่าวกรองด้านภัยคุกคามล่าสุด (Threat Intelligence) ให้กับทีม SOC โดย Kaspersky Threat Intelligence Portal เป็นศูนย์กลางสำหรับการเข้าถึงข้อมูลข่าวกรองด้านภัยคุกคามของแคสเปอร์สกี้ รวบรวมข้อมูลและแนวโน้มเกี่ยวกับการโจมตีทางไซเบอร์ ที่ทีมงานของเราได้เก็บรวบรวมมาตลอดระยะเวลากว่า 20 ปี เพื่อช่วยให้ธุรกิจต่างๆ สามารถดำเนินการป้องกันได้อย่างมีประสิทธิภาพในช่วงเวลาที่มีความผันผวนเช่นนี้ แคสเปอร์สกี้ขอเสนอการเข้าถึงข้อมูลเกี่ยวกับการโจมตีทางไซเบอร์และภัยคุกคามที่เกิดขึ้นทั่วโลก โดยไม่มีค่าใช้จ่าย ข้อมูลเหล่านี้ได้รับการอัพเดทอย่างต่อเนื่อง และมาจากแหล่งที่เชื่อถือได้ หากสนใจ สามารถขอรับสิทธิ์เข้าถึงข้อมูลข่าวกรองด้านภัยคุกคามได้ที่เว็บไซต์นี้ https://go.kaspersky.com/uchub#form