Onlinenewstime.com : Trend Micro Incorporated ผู้นำด้านการรักษาความปลอดภัยไซเบอร์ เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึก เกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึก ถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่า หลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับ และตอบสนองภัยคุกคามอัจฉริยะนั้น จะช่วยหยุดการคุกคามนี้ได้อย่างไร
แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้น สำหรับทีมศูนย์รักษาความปลอดภัย และทีมดูแลความปลอดภัยระบบไอที ที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้ นอกจากจะกระทบถึงรายได้และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงาน ที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า “แรนซัมแวร์ยุคใหม่ จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น
โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูง อย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูล และปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง”
“ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียน ที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าว ที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง Trend Micro Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร” ปิยธิดา กล่าวเสริม
จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 – มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อ ที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์
อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจ ที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด
ในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบ และขั้นตอนการโจมตีดังต่อไปนี้
- เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
- เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำใ ห้ไม่สามารถใช้งานได้
- ระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
- ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
- มีการถ่ายเทข้อมูล และนำไปโพสต์บนเว็บไซต์ เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์ มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
- หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง
ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือน ถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ ในขณะที่ยังคงซ่อนตัวอยู่
ซึ่งพฤติกรรมนี้ สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่างๆ ในสภาพแวดล้อม เพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น
Trend Micro Vision One จะตรวจสอบและเชื่อมโยงพฤติกรรมที่น่าสงสัย ที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่า ไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์ และสามารถหยุดการโจมตีได้ ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร