Kaspersky เผย อาชญากรไซเบอร์ใช้กลวิธีใหม่โจมตีภาคอุตสาหกรรม

โดย
beer
-
Kaspersky

แคสเปอร์สกี้ (Kaspersky) เผย อาชญากรไซเบอร์ใช้กลวิธีใหม่โจมตีภาคอุตสาหกรรม หมายหัวล่าข้อมูลประจำองค์กร…

Kaspersky เผย อาชญากรไซเบอร์ใช้กลวิธีใหม่โจมตีภาคอุตสาหกรรม

รายงาน Kaspersky ICS CERT Report ฉบับล่าสุดของ แคสเปอร์สกี้ ได้เปิดข้อมูลแคมเปญสปายแวร์ชุดใหม่ที่พัฒนาอย่างรวดเร็ว โดยโจมตีองค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลก การโจมตีนี้มีลักษณะโดดเด่นต่างจากแคมเปญสปายแวร์ทั่วไป

เนื่องจากจำกัดจำนวนเป้าหมายในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์อันตรายมีอายุการใช้งานสั้นมาก รายงานระบุว่ามีการขายข้อมูลที่ถูกขโมยในตลาดมากกว่า 25 แห่ง

โดยในช่วงครึ่งแรกของปี 2564 ผู้เชี่ยวชาญ ICS CERT ของ แคสเปอร์สกี้ สังเกตเห็นความผิดปกติที่น่าสงสัยในสถิติเกี่ยวกับภัยคุกคามสปายแวร์ที่ถูกบล็อกบนคอมพิวเตอร์อุตสาหกรรม หรือ ICS แม้ว่ามัลแวร์ที่ใช้ในการโจมตีจะอยู่ในตระกูลสปายแวร์ที่รู้จักกันดีอย่าง Agent Tesla/Origin Logger, HawkEye และอื่น ๆ

แต่การโจมตีเหล่านี้กลับโดดเด่นกว่า เนื่องจากจำนวนเป้าหมายที่จำกัดในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์ที่เป็นอันตรายแต่ละรายการมีอายุการใช้งานสั้นมาก

การวิเคราะห์ตัวอย่างสปายแวร์ 58,586 ตัวอย่าง ที่ถูกบล็อกบนคอมพิวเตอร์ ICS อย่างใกล้ชิดในครึ่งปีแรกของปี 2564 เปิดเผยว่า ตัวอย่างประมาณ 21.2% เป็นส่วนหนึ่งของชุดการโจมตีแบบจำกัดขอบเขต และอายุการใช้งานสั้น โดยวงจรชีวิตถูกจำกัดไว้ที่ประมาณ 25 วัน ซึ่งน้อยกว่าอายุการใช้งานของแคมเปญสปายแวร์แบบ ดั้งเดิม

แม้ว่าตัวอย่างสปายแวร์ ที่ผิดปกติ เหล่านี้แต่ละรายการจะมีอายุสั้นและไม่ได้มีการแพร่กระจายอย่างกว้างขวาง แต่ก็มีส่วนสำคัญในการโจมตีสปายแวร์ทั้งหมด ตัวอย่างเช่น ในเอเชีย ในคอมพิวเตอร์จำนวน 6 เครื่องถูกโจมตีด้วยสปายแวร์ จะมี 1 เครื่องที่ถูกโจมตีด้วยตัวอย่างสปายแวร์ที่ ผิดปกติ นี้ (2.1% จาก 11.9%)

Kaspersky
เปอร์เซ็นต์ของคอมพิวเตอร์ ICS ที่สปายแวร์ถูกบล็อกในช่วงครึ่งหลังของปี 2564

โดยเฉพาะอย่างยิ่ง แคมเปญลักษณะนี้ส่วนมากแพร่กระจายจากองค์กรอุตสาหกรรมหนึ่งไปยังอีกองค์กรหนึ่งผ่านอีเมลฟิชชิ่งที่ออกแบบมาอย่างดี เมื่อเจาะเข้าไปในระบบของเหยื่อแล้ว ผู้โจมตีจะใช้อุปกรณ์ดังกล่าวเป็นเซิร์ฟเวอร์โจมตี C2 (คำสั่งและการควบคุม) ครั้งต่อไป อาชญากรไซเบอร์สามารถใช้อีเมลของบริษัทในทางที่ผิด และแพร่กระจายสปายแวร์มากขึ้นไปอีกด้วยการเข้าถึงรายชื่อผู้รับจดหมายของเหยื่อ

Kaspersky
อีเมลที่ส่งเป็นส่วนหนึ่งของการโจมตีที่แพร่กระจายโดยการใช้รายชื่อผู้ติดต่อของเหยื่อในทางที่ผิด

จากข้อมูลเทเลมิทรีของ แคสเปอร์สกี้ ICS CERT พบว่า องค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลกถูกโยงเข้ากับโครงสร้างพื้นฐานที่เป็นอันตราย และถูกใช้โดยกลุ่มอาชญากรไซเบอร์เพื่อกระจายการโจมตีไปยังองค์กรที่ติดต่องานและพันธมิตรทางธุรกิจ

แคสเปอร์สกี้ ประเมินว่า ผลมาจากการโจมตีเหล่านี้ มีจำนวนบัญชีบริษัทที่ถูกบุกรุกหรือถูกขโมยทั้งหมดมีมากกว่า 7,000 บัญชี ข้อมูลที่ละเอียดอ่อนที่ได้ขโมยจากคอมพิวเตอร์ ICS นั้นมักจะจบลงที่ตลาดต่างๆ ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุว่ามีตลาดมากกว่า 25 แห่ง ที่มีการขายข้อมูลประจำตัวที่ขโมยมาจากแคมเปญอุตสาหกรรมลักษณะนี้

การวิเคราะห์ตลาดดังกล่าวแสดงให้เห็นว่ามีความต้องการข้อมูลรับรองบัญชีองค์กรสูง โดยเฉพาะอย่างยิ่งสำหรับบัญชีเดสก์ท็อประยะไกล (Remote Desktop Accounts – RDP) บัญชี RDP กว่า 46% ที่ขายในตลาดที่ทำการวิเคราะห์นั้นเป็นของบริษัทในสหรัฐอเมริกา

ส่วนที่เหลือมาจากเอเชีย ยุโรป และละตินอเมริกา และพบว่าบัญชี RDP เกือบ 4% (เกือบ 2,000 บัญชี) ที่ขายเป็นของเอ็นเทอร์ไพรซ์อุตสาหกรรม

ตลาดที่กำลังเติบโตอีกแห่งคือ SpywareasaService เนื่องจากซอร์สโค้ดของโปรแกรมสปายแวร์ยอดนิยมบางโปรแกรมได้รับการเผยแพร่สู่สาธารณะ จึงพร้อมใช้งานสูงในร้านค้าออนไลน์ในรูปแบบของบริการ-นักพัฒนาไม่เพียงขายมัลแวร์เป็นผลิตภัณฑ์เท่านั้น แต่ยังรวมใบอนุญาตสำหรับตัวสร้างมัลแวร์และการเข้าถึงโครงสร้างพื้นฐานที่กำหนดค่าไว้ล่วงหน้าเพื่อสร้างมัลแวร์

Kaspersky

คิริล ครูกลอฟ ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ ICS CERT ของแคสเปอร์สกี้ กล่าวว่า ตลอดปี 2564 อาชญากรไซเบอร์ใช้สปายแวร์เพื่อโจมตีคอมพิวเตอร์อุตสาหกรรมอย่างกว้างขวาง วันนี้เราได้เห็นแนวโน้มใหม่ที่เปลี่ยนแปลงอย่างรวดเร็วในแนวทางภัยคุกคามต่อภาคอุตสาหกรรม

อาชญากรจะย่อขนาดของการโจมตีแต่ละครั้ง และจำกัดการใช้ตัวอย่างมัลแวร์แต่ละรายการเพื่อหลีกเลี่ยงการตรวจจับ โดยบังคับให้แทนที่ด้วยมัลแวร์ที่สร้างขึ้นใหม่อย่างรวดเร็ว กลวิธีอื่น ๆ ได้แก่ การใช้โครงสร้างพื้นฐานอีเมลของบริษัทในทางที่ผิดเพื่อแพร่กระจายมัลแวร์ ซึ่งแตกต่างจากสปายแวร์ที่เราเคยพบเห็นมา และเราคาดว่าการโจมตีดังกล่าวจะรุนแรงในปีหน้า

อ่านเพิ่มเติมเกี่ยวกับแคมเปญสปายแวร์ที่ “ผิดปกติ” ใน ICS CERT

https://ics-cert.kaspersky.com/publications/reports/2022/1/19/campaigns-abusing-corporate-trusted-infrastructure-hunt-for-corporate-credentials-on-ics-networks/

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับภัยคุกคามต่อ ICS และองค์กรอุตสาหกรรมในปี 2565 โปรดอ่านการคาดการณ์ภัยคุกคาม ICS สำหรับปี 2565 https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/

Kaspersky

ผู้เชี่ยวชาญแคสเปอร์สกี้ขอแนะนำมาตรการ เพื่อให้องค์กรอุตสาหกรรม การดำเนินงานเครือข่ายพันธมิตร และธุรกิจมั่นใจว่าได้รับการปกป้องอย่างเพียงพอ ดังนี้

  • การใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (two-factor authentication) สำหรับการเข้าถึงอีเมลขององค์กรและบริการเชื่อมต่ออินเทอร์เน็ตอื่นๆ (รวมถึง RDP, เกตเวย์ VPN-SSL เป็นต้น) ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงโครงสร้างพื้นฐานภายในของบริษัทและข้อมูลที่สำคัญต่อธุรกิจ
  • ตรวจสอบว่าอุปกรณ์เอ็นด์พอยต์ทั้งหมด ทั้งบนเครือข่าย IT และ OT ได้รับการปกป้องด้วยโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ทันสมัย ซึ่งได้รับการกำหนดค่าอย่างเหมาะสม และอัปเดตอยู่เสมอ
  • ฝึกอบรมบุคลากรอย่างสม่ำเสมอในการจัดการกับอีเมลขาเข้าอย่างปลอดภัย และเพื่อป้องกันระบบจากมัลแวร์ที่อาจมีในไฟล์แนบในอีเมล
  • ตรวจสอบโฟลเดอร์สแปมเป็นประจำ แทนการล้างข้อมูล
  •  ตรวจสอบการเปิดเผยบัญชีขององค์กรบนเว็บ
  • ใช้โซลูชันแซนด์บ็อกซ์ที่ออกแบบมาเพื่อทดสอบไฟล์แนบในการรับส่งข้อมูลอีเมลขาเข้าโดยอัตโนมัติ ตรวจสอบว่าโซลูชันแซนด์บ็อกซ์ที่ใช้นั้นได้รับการกำหนดค่าไม่ให้ข้ามอีเมลจากแหล่งที่ “เชื่อถือได้” ซึ่งรวมถึงพันธมิตร และองค์กรที่ติดต่องานด้วย เพราะเมื่อเกิดการละเมิดความปลอดภัยก็ไม่มีใครปลอดภัย 100%
  • ทดสอบไฟล์แนบในอีเมลขาออกเพื่อให้แน่ใจว่าระบบไม่ถูกบุกรุก
ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน