Kaspersky เผย ปี 2020 คือปีแห่ง “Ransomware 2.0” ในภูมิภาคเอเชียแปซิฟิก

Kaspersky

แคสเปอร์สกี้ (Kaspersky) เผย ปี 2020 คือปีแห่ง “Ransomware 2.0” ในภูมิภาคเอเชียแปซิฟิก ย้ำองค์กรต่าง ๆ ต้องเพิ่มการป้องกันไซเบอร์…

Kaspersky เผย ปี 2020 คือปีแห่ง “Ransomware 2.0″ ในภูมิภาคเอเชียแปซิฟิก

แคสเปอร์สกี้ ระบุว่าปี 2020 เป็นปีแห่ง Ransomware 2.0″ สำหรับภูมิภาคเอเชียแปซิฟิก (APAC) ผู้เชี่ยวชาญยังได้กล่าวถึงตระกูลแรนซัมแวร์ชื่อฉาวสองกลุ่ม คือ REvil และ JSWorm ที่จับจ้องเหยื่อในภูมิภาคโดยเฉพาะ

Ransomware 2.0 หมายถึงกลุ่มอาชญากรไซเบอร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกัน เป็นการขุดเจาะข้อมูลที่ควบคู่ไปกับการแบล็กเมล์ การโจมตีที่ประสบความสำเร็จนั้นรวมถึงการสูญเสียเงินจำนวนมาก และการสูญเสียชื่อเสียง ซึ่งเกือบทุกครั้งเป็น การโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมาย ทั้งสิ้น

Kaspersky
อเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้

อเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ กล่าวว่า ปี 2020 เป็นปีที่มีประสิทธิผลมากที่สุดสำหรับตระกูลแรนซัมแวร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกันไปเป็นการฉกข้อมูลควบคู่ไปกับการแบล็กเมล์ ในภูมิภาคเอเชียแปซิฟิกนี้

เราสังเกตเห็นการเกิดขึ้นใหม่ที่น่าสนใจของกลุ่มอาชญากรไซเบอร์ที่มีการเคลื่อนไหวสูง 2 กลุ่ม คือ REvil และ JSWorm ทั้ง 2 กลุ่ม นี้กลับมาปรากฏตัวอีกครั้งในช่วงการแพร่ของโรคระบาดในภูมิภาคเมื่อปีที่แล้ว และเราไม่เห็นสัญญาณว่าจะหยุดปฏิบัติการในเร็ว ๆ นี้

Kaspersky

REvil (หรือ Sodinokibi, Sodin)

เมื่อเดือนกรกฎาคม 2019 แคสเปอร์สกี้เขียนเกี่ยวกับแรนซัมแวร์ REvil เป็นครั้งแรก หรือที่เรียกว่า Sodinokibi และ Sodin กลุ่มอาชญากรไซเบอร์นี้เริ่มแพร่กระจายตัวเองผ่านช่องโหว่ของ Oracle Weblogic และดำเนินการโจมตีผู้ให้บริการ MSP

ในขณะที่กิจกรรมของ REvil พุ่งสูงสุดในเดือนสิงหาคมของปี 2019 โดยมีผู้ตกเป็นเหยื่อ 289 ราย แต่การตรวจวัดระยะไกลของแคสเปอร์สกี้พบการตรวจจับที่น้อยลงเรื่อยๆ แต่เมื่อเดือนมิถุนายน 2020 กลุ่มแรนซัมแวร์เร่งการโจมตีจากการกำหนดเป้าหมายผู้ใช้แคสเปอร์สกี้เพียง 44 รายทั่วโลก

โซลูชั่นของแคสเปอร์สกี้ได้ปกป้องผู้ใช้ 877 รายในเดือนกรกฎาคมจากภัยคุกคามนี้ คิดเป็นการเพิ่มขึ้นสูงถึง 1893% ในช่วงเวลาเพียง 1 เดือน นอกจากนี้การตรวจสอบโดยผู้เชี่ยวชาญยังแสดงให้เห็นวิธีที่กลุ่มอาชญากรไซเบอร์นี้ได้กระจายอาวุธที่เป็นอันตรายจากภูมิภาคเอเชียแปซิฟิกไปยังภูมิภาคอื่นทั่วโลก

“ย้อนกลับไปในปี 2019 เหยื่อส่วนใหญ่มาจากเอเชียแปซิฟิกเท่านั้น โดยเฉพาะจากไต้หวัน ฮ่องกง และเกาหลีใต้ แต่เมื่อปีที่แล้ว แคสเปอร์สกี้ตรวจพบเหยื่อในเกือบทุกประเทศ และดินแดน กล่าวได้ว่าในช่วง เดือนแห่งความเงียบ นั้น ผู้สร้าง REvil ได้ใช้เวลาในการปรับปรุงคลังแสง วิธีการกำหนดเป้าหมายเหยื่อ และการเข้าถึงเครือข่ายเหยื่อ” อเล็กซี่ กล่าว

Kaspersky
ภาพแสดงการกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ REvil ในปี 2020

สิ่งหนึ่งที่ไม่เปลี่ยนแปลง ก็คือภูมิภาคเอเชียแปซิฟิกยังตกเป็นหนึ่งในเป้าหมายอันดับต้น ๆ ของ REvil

จากจำนวนผู้ใช้แคสเปอร์สกี้ที่เกือบตกเป็นเหยื่อกำหนดเป้าหมายโดยกลุ่ม REvil นี้ 1,764 ราย ในปี 2020 พบว่าบริษัท 635 ราย (36%) มาจากภูมิภาคนี้ อย่างไรก็ตาม บราซิลมีผู้ใช้จำนวนมากที่สุดที่เกือบจะโดนภัยคุกคามนี้โจมตี ตามมาด้วยเวียดนาม แอฟริกาใต้ จีน และอินเดีย

จากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์เปิดเผยข้อมูลรั่วไหล ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังสามารถแบ่งกลุ่มเป้าหมายออกเป็นประเภทอุตสาหกรรมทั่วไปได้หลายประเภท

กลุ่มเป้าหมายที่ใหญ่ที่สุดคือ วิศวกรรม และการผลิต (30%) การเงิน (14%) บริการทางวิชาชีพ และผู้บริโภค (9%) กฎหมาย, ไอที, โทรคมนาคม และอาหาร และเครื่องดื่ม ได้รับความสนใจเท่า ๆ กันที่ 7%

JSWorm (หรือ Nemty, Nefilim, Offwhite, Fusion, Milihpen และอื่น ๆ)

JSWorm เข้าสู่วงการแรนซัมแวร์ในปี 2019 เช่นเดียวกับ REvil อย่างไรก็ตามการกระจายทางภูมิศาสตร์ของเหยื่อรายแรกๆ มีความหลากหลายมากกว่า ในช่วงเดือนแรกมีการตรวจพบทั่วโลก ในอเมริกาเหนือและใต้ (บราซิล อาร์เจนตินา สหรัฐอเมริกา)

ในตะวันออกกลางและแอฟริกา (แอฟริกาใต้ ตุรกี อิหร่าน) ในยุโรป (อิตาลี ฝรั่งเศส เยอรมนี) และในเอเชียแปซิฟิก (เวียดนาม) จำนวนเหยื่อ JSWorm ค่อนข้างต่ำเมื่อเทียบกับ REvil แต่ชัดเจนว่าตระกูลแรนซัมแวร์นี้กำลังเร่งสร้างคะแนน

โดยรวมแล้วโซลูชั่นของแคสเปอร์สกี้ได้บล็อกการพยายามโจมตีผู้ใช้ 230 รายทั่วโลก แต่ยังคงเพิ่มขึ้น 752% เมื่อเทียบกับผู้ใช้เพียง 27 ราย ในปี 2019 ที่เกือบจะโดนภัยคุกคามประเภทนี้โจมตี ผู้เชี่ยวชาญจากแคสเปอร์สกี้สังเกตเห็นการเปลี่ยนความสนใจของกลุ่ม JSWorm ที่มีต่อภูมิภาคเอเชียแปซิฟิก

จากข้อมูลของ KSN ผู้ใช้ในประเทศจีนเกือบจะถูกโจมตีมากที่สุด ตามมาด้วยสหรัฐอเมริกา เวียดนาม เม็กซิโก และรัสเซีย ผู้ใช้องค์กร และบุคคลจำนวนมากกว่า 1 ใน 3 (39%) ที่กลุ่มนี้ตั้งเป้าหมายไว้เมื่อปีที่แล้วก็อยู่ในเอเชียแปซิฟิกเช่นกัน

Kaspersky
ภาพแสดงการกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ JSWorm ในปี 2020

เป็นที่ชัดเจนว่าตระกูลแรนซัมแวร์นี้มีกลุ่มอุตสาหกรรมเป้าหมายเป็นโครงสร้างพื้นฐานที่ และภาคส่วนสำคัญ ๆ ทั่วโลก การโจมตี JSWorm เกือบครึ่งหนึ่ง (41%) มีเป้าหมายโจมตีบริษัทด้านวิศวกรรม และอุตสาหกรรมการผลิต พลังงาน และสาธารณูปโภค (10%) การเงิน (10%)

บริการทางวิชาชีพ และผู้บริโภค (10%) การขนส่ง (7%) และการดูแลสุขภาพ (7%) อยู่ในอันดับต้น ๆ ของรายการด้วย โดยข้อมูลนี้อ้างอิงจากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์ข้อมูลรั่วไหล

ข้อแนะนำองค์กรและเอ็นเทอร์ไพรซ์ให้ปฏิบัติดังนี้เพื่อป้องกันภัย Ransomware 2.0

  • อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ
  • ฝึกอบรมพนักงานทุกคนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ในขณะที่ทำงานจากระยะไกล
  • ใช้เทคโนโลยีที่ปลอดภัยสำหรับการเชื่อมต่อระยะไกลเท่านั้น
  • ดำเนินการประเมินความปลอดภัยบนเครือข่ายของคุณ
  • ใช้โซลูชั่นการรักษาความปลอดภัยเอ็นด์พอยต์ด้วยการตรวจจับพฤติกรรม และการย้อนกลับไฟล์อัตโนมัติ เช่น Endpoint Security for Business
  • ไม่ทำตามข้อเรียกร้องของอาชญากรไซเบอร์ อย่าต่อสู้เพียงลำพัง ควรติดต่อหน่วยงานบังคับใช้กฎหมาย หน่วยงาน CERT ผู้ให้บริการด้านความปลอดภัยเช่น แคสเปอร์สกี้
  • ติดตามแนวโน้มล่าสุดผ่านการสมัครรับข้อมูลภัยคุกคามระดับพรีเมียม (threat intelligence) เช่น APT Intelligence Service
  • รู้จักศัตรูของคุณ ระบุมัลแวร์ใหม่ที่ตรวจไม่พบด้วย Threat Attribution Engine

Kaspersky

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.