Trend Micro เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถ เป้าหมายองค์กรระดับหมื่นล้าน

Trend Micro

เทรนด์ไมโคร (Trend Micro) เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถที่ซ่อนอำพรางได้เก่งขึ้น พร้อมมุ่งเป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน…

Trend Micro เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถ เป้าหมายองค์กรระดับหมื่นล้าน

เทรนด์ไมโคร เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึกถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่าหลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับ และตอบสนองภัยคุกคามอัจฉริยะ

นั้นจะช่วยหยุดการคุกคามนี้ได้อย่างไร โดย แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้นสำหรับทีมศูนย์รักษาความปลอดภัย และทีมดูแลความปลอดภัยระบบไอทีที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้นอกจากจะกระทบถึงรายได้ และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงานที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน

Trend Micro
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด

ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า แรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูง

อย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญ ๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง

“ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียนที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม

ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าวที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง เทรนด์ไมโคร Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร” ปิยธิดา กล่าว

Trend Micro

จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลา ตั้งแต่เดือนมีนาคม 2563-มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์

อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด โดยในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบ และขั้นตอนการโจมตีดังต่อไปนี้

  • เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
  • เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
  • ระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
  • ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
  • มีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
  • หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง

ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือนถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ในขณะที่ยังคงซ่อนตัวอยู่

Trend Micro

ซึ่งพฤติกรรมนี้สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่าง ๆ ในสภาพแวดล้อมเพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น

เทรนด์ไมโคร Vision One จะตรวจสอบ และเชื่อมโยงพฤติกรรมที่น่าสงสัยที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่าไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์ และสามารถหยุดการโจมตีได้ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.freepik.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.