“ฟอร์ติการ์ด แล็บ” เผยภัยไวรัสล้างข้อมูลอาละวาดหนักกว่าเดิมถึง 50%

นายเดเรค แมนคี หัวหน้าฝ่ายกลยุทธ์ด้านความปลอดภัยและรองประธานฝ่ายข่าวกรองภัยคุกคามจากฟอร์ติการ์ด แล็บ เปิดเผยว่า อาชญากรไซเบอร์ ยังคงมีการโจมตีและหลบเลี่ยงการตรวจจับอยู่เป็นจำนวนมาก และยังมีการพัฒนารูปแบบการโจมตีไม่น้อยหน้าการพัฒนาระบบรักษาความปลอดภัยทางไซเบอร์ที่ปกป้ององค์กรในทุกวันนี้ ปัจจุบันจะเห็นได้ว่าอาชญากรทางไซเบอร์ทั้งหลายมีการพัฒนาเทคนิคการสอดแนมที่แนบเนียนขึ้น และยังปล่อยการโจมตีที่มีความซับซ้อนเพื่อเปิดทางให้สามารถสร้างความเสียหายด้วยภัยคุกคามแบบ APT อย่างเช่นมัลแวร์ที่ใช้ลบข้อมูล (Wiper Malware) หรือไวรัสชนิดอื่นๆ ที่อาจร้ายกาจยิ่งกว่า เพื่อให้สามารถป้องกันแนวโน้มที่ซับซ้อนขึ้นได้ องค์กรจำเป็นต้องมีการพุ่งเป้าไปที่การรวบรวมระบบต่างๆ เข้าไว้ด้วยกัน มองเห็นภาพที่ชัดเจน การประสานงานที่เป็นระบบเพื่อลดความซับซ้อน และการโต้ตอบภัยคุกคามได้อย่างมีประสิทธิภาพบนอุปกรณ์รักษาความปลอดภัยที่ตรวจจับภัยคุกคามได้ ซึ่งกระจายอยู่ในส่วนต่างๆ ของระบบเครือข่าย

จากรายงาน FortiGuard Labs Global Threat Landscape Report  การแพร่กระจายของมัลแวร์ลบข้อมูล (Wiper Malware) ยังคงแสดงให้เห็นถึงวิวัฒนาการของการโจมตีทางไซเบอร์อยู่อย่างต่อเนื่อง และแพร่กระจายในวงกว้างในปี 2023 ซึ่งจากการวิเคราะห์ข้อมูลของมัลแวร์ลบข้อมูลชี้ให้เห็นแนวโน้มของอาชญากรทางไซเบอร์ที่มีการใช้เทคนิคการโจมตีแบบทำลายล้างข้อมูลกับเป้าหมาย นอกจากนี้ยังแสดงให้เห็นว่าขอบเขตของอินเทอร์เน็ตที่ขยายตัวมากขึ้น ทำให้อาชญากรทางไซเบอร์เหล่านี้สามารถที่จะปรับเปลี่ยนรูปแบบการโจมตีได้อย่างง่ายขึ้นผ่านบริการต่างๆ ในกลุ่ม Cybercrime-as-a-Service (CaaS)

ตัวอย่างในช่วงต้นปี 2022 ทางฟอร์ติการ์ด แล็บ ได้รายงานการตรวจพบมัลแวร์ลบข้อมูลนี้ ในช่วงเวลาเดียวกับ สงครามรัสเซีย-ยูเครน ซึ่งในช่วงหลังของปียังพบว่ามัลแวร์ลบข้อมูลเหล่านี้ได้แพร่กระจายไปยังประเทศอื่นๆ กระตุ้นให้พบกิจกรรมของมัลแวร์ลบข้อมูลเพิ่มขึ้น 53% เพียงแค่จากไตรมาสที่ 3 ถึง 4 ในขณะที่บางกิจกรรมนั้นก็อาจจะเกิดจากมัลแวร์ลบข้อมูลที่มีจุดเริ่มต้นพัฒนาและนำไปใช้โดยชาติที่อยู่ละแวกพื้นที่สงคราม ซึ่งถูกเลือกโดยกลุ่มอาชญากรทางไซเบอร์เพื่อนำไปแพร่กระจายต่อในแถบยุโรป และแนวโน้มการแพร่ระบาดของมัลแวร์ลบข้อมูลนี้ยังไม่มีท่าทีว่าจะลดลงแม้แต่น้อย

โดยสังเกตได้จากปริมาณที่ถูกตรวจพบในไตรมาสที่ 4 ซึ่งหมายความว่าองค์กรต่าง ๆ ยังคงตกเป็นเป้าในการโจมตี และไม่ใช่เพียงแค่องค์กรที่อยู่ในประเทศยูเครนหรือประเทศใกล้เคียงอีกด้วย ส่วนองค์กรที่ติดตั้งและใช้งาน Next-Generation Firewall (NGFWs) ซึ่งมีเทคโนโลยี in-line sandbox และบริการตรวจจับภัยคุกคามแบบเรียลไทม์จะยังคงสามารถป้องกันภัยคุกคามใหม่ๆ ที่ไม่รู้จัก รวมถึงมัลแวร์ลบข้อมูลเหล่านี้ได้ด้วย

ทั้งนี้ ภัยคุกคามแรนซัมแวร์ทั่วโลกยังคงมีการแพร่ระบาดอย่างรุนแรงโดยไม่มีท่าทีจะมีการลดลงเลย นั่นเป็นผลมาจากความนิยมในการใช้บริการ Ransomware-as-a-Service (Raas) ในดาร์กเว็บ ความจริงแล้วมีแรนซัมแวร์ เพิ่มขึ้นถึง 16% ในช่วงครึ่งแรกของปี 2022 จากทั้งหมด 99 สายพันธุ์ ที่ถูกเฝ้าสังเกตอยู่ มีแรนซัมแวร์ 5 สายพันธุ์หลัก ที่แพร่กระจายและสร้างความเสียหายถึง 37% จากแรนซัมแวร์ที่พบทั้งหมดในช่วงครึ่งหลังของปี 2022

โดยมี GandCrab ผู้ให้บริการมัลแวร์แบบ RaaS ที่ก่อตั้งในปี 2018 อยู่ในอันดับต้น ๆ ของรายชื่อ แม้ว่าผู้อยู่เบื้องหลัง GandCrab จะประกาศว่าจะวางมือหลังจากที่ทำกำไรไปได้มากกว่า 2 พันล้านดอลลาร์ แต่ยังคงเห็นชื่อของ GandCrab ติดอันดับต้น ๆ อยู่ ซึ่งน่าจะเป็นเพราะว่ามีกลุ่มอาชญากรที่สืบทอดและดำเนินการต่อ หรือไม่ก็มีการนำโค้ดไปดัดแปลงและใช้งานต่อไป ทำให้เห็นได้ชัดเจนว่ามีการร่วมมือกันระหว่างขบวนการอาชญากรระดับโลกเพื่อปฏิบัติการโจมตีหรือก่ออาชญากรรม ในการขัดขวางซัพพลายเชนของอาชญากรอย่างมีประสิทธิภาพ จำเป็นต้องอาศัยความรวมกลุ่ม ไว้ใจกันและทำงานร่วมกันระหว่างผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยทางไซเบอร์ในองค์กรและอุตสาหกรรมทั้งภาครัฐและเอกชน ในระดับองค์กรนั้น แรนซัมแวร์สามารถตรวจจับและกำจัดได้แบบเรียลไทม์ ก่อนที่ผู้โจมตีจะทำการโจมตีสำเร็จด้วยเทคโนโลยีชั้นสูงของ Endpoint Detection and Response (EDR)

อย่างไรก็ตาม การใช้โค้ดซ้ำของอาชญากรทำให้เห็นรูปแบบการทำงานที่มีประสิทธิภาพ โดยอาชญากรทางไซเบอร์มีการทำงานกันในรูปแบบธุรกิจโดยกำเนิดและมักจะมองหาการใช้ประโยชน์จากความรู้หรือการลงทุนจากการพยายามโจมตีเพื่อให้เกิดประสิทธิภาพและผลกำไรสูงสุด การนำโค้ดเดิมกลับมาใช้โจมตีใหม่คือหนึ่งในวิธีการที่มีประสิทธิภาพและสามารถสร้างรายได้ให้กับอาชญากรได้เป็นอย่างดี โดยมีการปรับปรุงรูปแบบการโจมตีเล็กน้อยเพื่อให้สามารถผ่านด่านระบบรักษาความปลอดภัยไปได้ จากที่ฟอร์ติการ์ด แล็บ วิเคราะห์ทำให้เห็นว่ามัลแวร์ที่มีการแพร่ระบาดมากที่สุดในช่วงครึ่งหลังของปี 2022 ส่วนใหญ่จะเป็นมัลแวร์ที่มีอายุมากกว่า 1 ปี

อย่างมัลแวร์ของกลุ่ม Lazarus ซึ่งมีการแพร่ระบาดอย่างหนักในประวัติศาสตร์โลกไซเบอร์รวมถึงช่วงเวลาที่ย้อนกลับไปเป็นสิบปี โดยฟอร์ติการ์ด แล็บได้ตรวจสอบมัลแวร์หลาย ๆ ตัวในตระกูล Emotet เพื่อวิเคราะห์หาร่องรอยของการยืมหรือนำโค้ดเดิมกลับมาใช้ใหม่ การวิจัยแสดงให้เห็นว่ามัลแวร์ Emotet ที่แพร่ระบาดครั้งใหญ่ไปนั้นสามารถจำแนกสายพันธุ์ตามคุณลักษณะแบบคร่าวๆ ได้ 6 สายพันธุ์ ดังนั้น อาชญากรทางไซเบอร์จึงไม่ได้แค่ออกแบบการโจมตีให้มีความอัตโนมัติเพียงอย่างเดียว แต่ยังมีการปรับปรุงการโจมตีจากความสำเร็จที่ผ่านมาเพื่อทำให้ภัยคุกคามมีประสิทธิภาพมากขึ้นอีกด้วย

สำหรับองค์กรต่าง ๆ ถือว่าเป็นเรื่องท้าทายในการติดตามภัยคุกคามใหม่ ๆ ที่พัฒนาอย่างรวดเร็ว การใช้โค้ดซ้ำและการออกแบบการโจมตีในแบบโมดูลยิ่งเป็นการส่งเสริมอีโคซิสเต็มของ CaaS ที่กำลังเติบโต แสดงให้เห็นถึงความสำคัญของระบบรักษาความปลอดภัยทางไซเบอร์ตอบสนองได้รวดเร็ว ซึ่งสามารถช่วยให้องค์กรหยุดยั้งภัยคุกคามโดยอาศัยความสามารถของ AI และการทำงานร่วมกันของระบบป้องกัน นอกจากนี้ยังต้องผสานรวมกับอุปกรณ์รักษาความปลอดภัยทั้งหมดผ่านการอัปเดตความปลอดภัย เพื่อให้องค์กรจะสามารถตรวจจับ และตอบโต้ได้ทั่วทุกพื้นที่การโจมตี ซึ่งช่วยลดความเสี่ยงโดยรวมได้มากขึ้น.