ไวรัสแรนซัมแวร์ เช่นเดียวกับมัลแวร์ประเภทอื่นๆ มีการพัฒนาและเปลี่ยนแปลงในช่วงหลายปีที่ผ่านมา ตั้งแต่ล็อกเกอร์ธรรมดาที่ป้องกันไม่ให้ผู้ใช้เข้าสู่ระบบ และแรนซัมแวร์ "ตำรวจ" ที่คุกคามการดำเนินคดีเนื่องจากการละเมิดกฎหมายโดยสมมติ เรามาถึงโปรแกรมการเข้ารหัส มัลแวร์เหล่านี้เข้ารหัสไฟล์ในฮาร์ดไดรฟ์ (หรือทั้งไดรฟ์) และเรียกร้องค่าไถ่ไม่ใช่เพื่อการคืนการเข้าถึงระบบ แต่เพื่อข้อเท็จจริงที่ว่าข้อมูลของผู้ใช้จะไม่ถูกลบ ขายบน darknet หรือเปิดเผยต่อสาธารณะทางออนไลน์ . นอกจากนี้การจ่ายค่าไถ่ไม่ได้รับประกันว่าจะได้รับกุญแจในการถอดรหัสไฟล์เลย และไม่ สิ่งนี้ "เกิดขึ้นเมื่อร้อยปีที่แล้ว" แต่ก็ยังเป็นภัยคุกคามในปัจจุบัน
เมื่อพิจารณาถึงความสำเร็จของแฮกเกอร์และความสามารถในการทำกำไรของการโจมตีประเภทนี้ ผู้เชี่ยวชาญเชื่อว่าความถี่และความฉลาดของพวกเขาจะเพิ่มขึ้นในอนาคตเท่านั้น โดย Cybersecurity Ventures ในปี 2016 ไวรัสเรียกค่าไถ่โจมตีบริษัทประมาณทุกๆ 40 วินาที ในปี 2019 สิ่งนี้จะเกิดขึ้นทุกๆ 14 วินาที และในปี 2021 ความถี่จะเพิ่มขึ้นเป็นการโจมตีหนึ่งครั้งทุกๆ 11 วินาที เป็นที่น่าสังเกตว่าค่าไถ่ที่ต้องการ (โดยเฉพาะอย่างยิ่งในการโจมตีแบบกำหนดเป้าหมายในบริษัทขนาดใหญ่หรือโครงสร้างพื้นฐานในเมือง) มักจะน้อยกว่าความเสียหายที่เกิดจากการโจมตีหลายเท่า ดังนั้นการโจมตีโครงสร้างของรัฐบาลในเดือนพฤษภาคมในเมืองบัลติมอร์ รัฐแมริแลนด์ สหรัฐอเมริกา จึงทำให้เกิดความเสียหายมากกว่า โดยจำนวนเงินค่าไถ่ที่แฮกเกอร์ประกาศนั้นมีมูลค่าเทียบเท่ากับ Bitcoin อยู่ที่ 76 ดอลลาร์ ก จอร์เจีย สร้างความเสียหายให้กับเมืองนี้ 2018 ล้านดอลลาร์ในเดือนสิงหาคม 17 โดยต้องเรียกค่าไถ่ 52 ดอลลาร์
ผู้เชี่ยวชาญของ Trend Micro วิเคราะห์การโจมตีโดยใช้ไวรัสแรนซัมแวร์ในช่วงเดือนแรกของปี 2019 และในบทความนี้เราจะพูดถึงแนวโน้มหลักที่รอคอยโลกในช่วงครึ่งหลัง
ไวรัส Ransomware: เอกสารสั้น ๆ
ความหมายของไวรัสแรนซัมแวร์นั้นชัดเจนจากชื่อของมัน: การขู่ว่าจะทำลาย (หรือในทางกลับกัน เผยแพร่) ข้อมูลที่เป็นความลับหรือมีคุณค่าสำหรับผู้ใช้ แฮกเกอร์ใช้เพื่อเรียกร้องค่าไถ่เพื่อกลับเข้าถึงไวรัสได้ สำหรับผู้ใช้ทั่วไป การโจมตีดังกล่าวไม่เป็นที่พอใจ แต่ไม่สำคัญ: การคุกคามของการสูญเสียคอลเลกชันเพลงหรือภาพถ่ายจากวันหยุดพักผ่อนในช่วงสิบปีที่ผ่านมาไม่รับประกันการจ่ายค่าไถ่
สถานการณ์ดูแตกต่างไปจากเดิมอย่างสิ้นเชิงสำหรับองค์กร การหยุดทำงานของธุรกิจทุกนาทีต้องเสียค่าใช้จ่าย ดังนั้นการสูญเสียการเข้าถึงระบบ แอปพลิเคชัน หรือข้อมูลสำหรับบริษัทยุคใหม่จึงเท่ากับการสูญเสีย นั่นคือเหตุผลที่จุดเน้นของการโจมตีด้วยแรนซัมแวร์ในช่วงไม่กี่ปีที่ผ่านมาได้ค่อยๆ เปลี่ยนจากการปลอกกระสุนไวรัสไปเป็นการลดกิจกรรม และย้ายไปสู่การโจมตีแบบกำหนดเป้าหมายในองค์กรในพื้นที่ของกิจกรรมที่มีโอกาสได้รับค่าไถ่และขนาดของมันมากที่สุด ในทางกลับกัน องค์กรต่างๆ ต่างก็พยายามปกป้องตนเองจากภัยคุกคามด้วยสองวิธีหลัก: โดยการพัฒนาวิธีการในการกู้คืนโครงสร้างพื้นฐานและฐานข้อมูลหลังการโจมตีอย่างมีประสิทธิภาพ และโดยการนำระบบป้องกันทางไซเบอร์ที่ทันสมัยมากขึ้นมาใช้เพื่อตรวจจับและทำลายมัลแวร์ทันที
เพื่อให้ทันกระแสและพัฒนาโซลูชันและเทคโนโลยีใหม่เพื่อต่อสู้กับมัลแวร์ Trend Micro จะวิเคราะห์ผลลัพธ์ที่ได้รับจากระบบความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง ตามเทรนด์ไมโคร สถานการณ์การโจมตีด้วยแรนซัมแวร์ในช่วงไม่กี่ปีที่ผ่านมามีลักษณะดังนี้:
ทางเลือกของเหยื่อในปี 2019
ในปีนี้ อาชญากรไซเบอร์ได้เลือกเหยื่อมากขึ้นอย่างเห็นได้ชัด โดยกำหนดเป้าหมายไปที่องค์กรที่ได้รับการคุ้มครองน้อยกว่าและยินดีจ่ายเงินก้อนใหญ่เพื่อฟื้นฟูการดำเนินงานตามปกติอย่างรวดเร็ว นั่นคือเหตุผลว่าทำไมตั้งแต่ต้นปี มีการบันทึกการโจมตีหลายครั้งในโครงสร้างของรัฐบาลและการบริหารเมืองใหญ่ รวมถึงเลคซิตี้ (ค่าไถ่ - 530 ดอลลาร์สหรัฐ) และหาดริเวียร่า (ค่าไถ่ - 600 ดอลลาร์สหรัฐ) .
เมื่อแยกตามอุตสาหกรรม เวกเตอร์การโจมตีหลักจะมีลักษณะดังนี้:
— 27% — หน่วยงานภาครัฐ;
— 20% — การผลิต;
— 14% — การดูแลสุขภาพ;
— 6% — การค้าปลีก;
— 5% — การศึกษา
อาชญากรไซเบอร์มักใช้ OSINT (ข่าวกรองแหล่งที่มาสาธารณะ) เพื่อเตรียมพร้อมสำหรับการโจมตีและประเมินความสามารถในการทำกำไร ด้วยการรวบรวมข้อมูล ทำให้พวกเขาเข้าใจรูปแบบธุรกิจขององค์กรและความเสี่ยงด้านชื่อเสียงที่อาจได้รับจากการโจมตีได้ดียิ่งขึ้น แฮกเกอร์ยังมองหาระบบและระบบย่อยที่สำคัญที่สุดที่สามารถแยกหรือปิดใช้งานได้อย่างสมบูรณ์โดยใช้ไวรัสแรนซัมแวร์ ซึ่งจะเพิ่มโอกาสในการได้รับค่าไถ่ สุดท้ายแต่ไม่ท้ายสุด สถานะของระบบความปลอดภัยทางไซเบอร์ได้รับการประเมิน: ไม่มีประโยชน์ที่จะโจมตีบริษัทที่ผู้เชี่ยวชาญด้านไอทีสามารถต่อต้านได้อย่างมีความเป็นไปได้สูง
ในช่วงครึ่งหลังของปี 2019 แนวโน้มนี้จะยังคงมีความเกี่ยวข้อง แฮกเกอร์จะค้นพบกิจกรรมใหม่ๆ ซึ่งการหยุดชะงักของกระบวนการทางธุรกิจทำให้เกิดการสูญเสียสูงสุด (เช่น การขนส่ง โครงสร้างพื้นฐานที่สำคัญ พลังงาน)
วิธีการเจาะและการติดเชื้อ
การเปลี่ยนแปลงยังเกิดขึ้นอย่างต่อเนื่องในพื้นที่นี้ เครื่องมือที่ได้รับความนิยมมากที่สุดยังคงเป็นฟิชชิ่ง โฆษณาที่เป็นอันตรายบนเว็บไซต์และหน้าอินเทอร์เน็ตที่ติดไวรัส เช่นเดียวกับการหาประโยชน์ ในขณะเดียวกัน “ผู้สมรู้ร่วมคิด” หลักในการโจมตียังคงเป็นผู้ใช้ที่เป็นพนักงานที่เปิดเว็บไซต์เหล่านี้และดาวน์โหลดไฟล์ผ่านลิงก์หรือจากอีเมล ซึ่งกระตุ้นให้เกิดการติดเชื้อในเครือข่ายทั้งองค์กรเพิ่มเติม
อย่างไรก็ตาม ในช่วงครึ่งหลังของปี 2019 เครื่องมือเหล่านี้จะถูกเพิ่มลงใน:
- การใช้การโจมตีอย่างแข็งขันมากขึ้นโดยใช้วิศวกรรมสังคม (การโจมตีที่เหยื่อกระทำการตามที่แฮ็กเกอร์ต้องการหรือให้ข้อมูลโดยสมัครใจ เช่น เชื่อว่าเขากำลังสื่อสารกับตัวแทนของฝ่ายบริหารหรือลูกค้าขององค์กร) ซึ่งช่วยลดความยุ่งยากในการรวบรวมข้อมูลเกี่ยวกับพนักงานจากแหล่งที่เปิดเผยต่อสาธารณะ
- การใช้ข้อมูลประจำตัวที่ถูกขโมย เช่น การเข้าสู่ระบบและรหัสผ่านสำหรับระบบการดูแลระบบระยะไกล ซึ่งสามารถซื้อได้บน Darknet
- การแฮ็กและการเจาะระบบทางกายภาพที่จะช่วยให้แฮกเกอร์ในสถานที่สามารถค้นพบระบบที่สำคัญและเอาชนะความปลอดภัยได้
วิธีการซ่อนการโจมตี
ด้วยความก้าวหน้าด้านความปลอดภัยทางไซเบอร์ รวมถึง Trend Micro การตรวจหาตระกูลแรนซัมแวร์แบบคลาสสิกจึงกลายเป็นเรื่องง่ายมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา เทคโนโลยีการเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรมช่วยระบุมัลแวร์ก่อนที่จะเจาะระบบ ดังนั้นแฮกเกอร์จึงต้องคิดหาวิธีอื่นในการซ่อนการโจมตี
ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีและเทคโนโลยีใหม่ของอาชญากรไซเบอร์เป็นที่รู้จักอยู่แล้ว โดยมีเป้าหมายเพื่อทำให้แซนด์บ็อกซ์เป็นกลางสำหรับการวิเคราะห์ไฟล์ที่น่าสงสัยและระบบการเรียนรู้ของเครื่องจักร การพัฒนามัลแวร์ที่ไม่มีไฟล์ และการใช้ซอฟต์แวร์ลิขสิทธิ์ที่ติดไวรัส รวมถึงซอฟต์แวร์จากผู้ขายด้านความปลอดภัยทางไซเบอร์และบริการระยะไกลต่างๆ ที่สามารถเข้าถึง เครือข่ายขององค์กร
ข้อสรุปและข้อเสนอแนะ
โดยทั่วไป เราสามารถพูดได้ว่าในช่วงครึ่งหลังของปี 2019 มีความเป็นไปได้สูงที่การโจมตีแบบกำหนดเป้าหมายองค์กรขนาดใหญ่ที่สามารถจ่ายค่าไถ่จำนวนมากให้กับอาชญากรไซเบอร์ได้ อย่างไรก็ตาม แฮกเกอร์ไม่ได้พัฒนาโซลูชันการแฮ็กและมัลแวร์ด้วยตนเองเสมอไป บางส่วนของพวกเขา เช่น ทีม GandCrab ที่โด่งดังซึ่งมีอยู่แล้ว โดยมีรายได้ประมาณ 150 ล้านดอลลาร์สหรัฐ ยังคงทำงานตามโครงการ RaaS (ransomware-as-a-service หรือ "ransomware virus as a service" โดยการเปรียบเทียบกับโปรแกรมป้องกันไวรัสและระบบป้องกันไซเบอร์) นั่นคือการแพร่กระจายของแรนซัมแวร์และ crypto-lockers ที่ประสบความสำเร็จในปีนี้ไม่เพียงดำเนินการโดยผู้สร้างเท่านั้น แต่ยังดำเนินการโดย "ผู้เช่า" ด้วย
ในสภาวะเช่นนี้ องค์กรจำเป็นต้องอัปเดตระบบรักษาความปลอดภัยทางไซเบอร์และแผนการกู้คืนข้อมูลอย่างต่อเนื่องในกรณีที่มีการโจมตี เนื่องจากวิธีเดียวที่มีประสิทธิภาพในการต่อสู้กับไวรัสแรนซัมแวร์คือการไม่ต้องจ่ายค่าไถ่และกีดกันผู้สร้างแหล่งที่มาของผลกำไร
ที่มา: will.com