โซฟอส เปิดรายงานสำรวจภัยคุกคามจากแรนซัมแวร์ ปี 2024 เกี่ยวกับ “Cybercrime on Main Street” และภัยคุกคามใหญ่ที่สุด SMB กำลังเผชิญ
ตามรายงานในปี 2023 พบว่าการตรวจจับมัลแวร์เกือบ 50% สำหรับธุรกิจ SMB นั้นเกิดขึ้นในรูปแบบคีย์ล็อกเกอร์ สปายแวร์ และสตีลเลอร์ ซึ่งเป็นมัลแวร์ที่ผู้โจมตีใช้เพื่อขโมยข้อมูล และข้อมูลส่วนบุคคล โดยผู้โจมตีจะใช้ข้อมูลที่ขโมยมานี้เพื่อเข้าถึงจากระยะไกลโดยไม่ได้รับอนุญาต เพื่อขู่กรรโชกเหยื่อ ปล่อยแรนซัมแวร์ และอื่น ๆ อีกมากมาย
รายงานของโซฟอส ยังวิเคราะห์ Initial Access Brokers (IABs) ซึ่งเป็นอาชญากรที่เชี่ยวชาญในการเจาะเข้าสู่เครือข่ายคอมพิวเตอร์ ซึ่งรายงานพบว่า เหล่า IABs กำลังใช้ดาร์กเว็บ (Dark Web) เพื่อโฆษณาความสามารถ และการบริการของพวกเขาในการเจาะเข้าสู่เครือข่ายของธุรกิจ SMB โดยเฉพาะ หรือขายการเข้าถึง SMBs ที่พวกเขาได้เจาะระบบเรียบร้อยแล้ว
คำอธิบายภาพ: Sophos X-Ops พบตัวอย่างการโพสต์โฆษณาในดาร์กเว็บที่สามารถเข้าถึงบริษัทบัญชีขนาดเล็กในสหรัฐฯ รวมถึงตัวอย่างเพิ่มเติมของโฆษณาในฟอรัมอาชญากรทางไซเบอร์ที่กำหนดเป้าหมายธุรกิจ SMB ตามกลุ่มอุตสาหกรรม และประเทศ จากรายงานภัยคุกคามของโซฟอส ประจำปี 2024
คริสโตเฟอร์ บัดด์ ผู้อำนวยการฝ่ายวิจัย Sophos X-Ops ของ โซฟอส กล่าวว่า มูลค่าของ ‘ข้อมูล’ เป็นเหมือนเงินที่เพิ่มขึ้นแบบทวีคูณในหมู่อาชญากรไซเบอร์ โดยเฉพาะอย่างยิ่งในธุรกิจ SMB ซึ่งมักใช้หนึ่งเซอร์วิส หรือแอปพลิเคชันต่อหนึ่งฟังก์ชันสำหรับการดำเนินการทั้งหมด
ตัวอย่างเช่น สมมุติว่าผู้โจมตีใช้การขโมยข้อมูล (infostealer) บนเครือข่ายของเป้าหมายเพื่อขโมยข้อมูลประจำตัว และนำรหัสผ่านที่ได้ไปใช้เข้าถึงบริษัทซอฟต์แวร์บัญชี ผู้โจมตีสามารถเข้าถึงข้อมูลทางการเงินของบริษัทเป้าหมาย และส่งโอนเงินเข้าสู่บัญชีของตนเอง จึงเป็นเหตุผลว่าทำไมว่า 90% ของการโจมตีทางไซเบอร์ทั้งหมดในรายงานของโซฟอส ปี 2023 ถึงเกี่ยวข้องกับการขโมยข้อมูล หรือข้อมูลส่วนบุคคล ไม่ว่าจะผ่านการโจมตีด้วยแรนซัมแวร์ การขู่กรรโชกข้อมูล การเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต หรือการขโมยข้อมูลทั่วไป
แรนซัมแวร์ ภัยคุกคามใหญ่ที่สุดสำหรับ SMB
แม้ว่าจำนวนการโจมตีด้วยแรนซัมแวร์ต่อธุรกิจ SMB นั้นค่อนข้างคงที่ แต่แรนซัมแวร์ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB ที่ไม่ควรมองข้าม ตัวอย่างเคสของธุรกิจ SMB ที่จัดการโดยหน่วยงานการตรวจจับ และวิเคราะห์ภัยคุกคามของโซฟอส (Sophos Incident Response: IR) ที่ทำหน้าที่ช่วยเหลือองค์กร
ในขณะที่การโจมตีที่เกิดขึ้น พบว่า LockBit ถือเป็นแก๊งแรนซัมแวร์อันดับต้นๆ ที่สร้างความหายนะให้แก่ธุรกิจ ตามมาด้วย Akira และ BlackCat เป็นอันดับสองและสามตามลำดับ จากรายงานพบว่าธุรกิจ SMB ยังเผชิญกับการโจมตีจากแรนซัมแวร์รุ่นเก่า และที่ไม่ค่อยมีคนรู้จัก เช่น BitLocker และ Crytox อีกด้วย
จากรายงานยังพบอีกว่าผู้ใช้แรนซัมแวร์ยังคงเปลี่ยนเทคนิคใช้แรนซัมแวร์อย่างต่อเนื่อง ซึ่งรวมถึงจากการเข้ารหัสระยะไกล และกำหนดเป้าหมายไปที่ผู้ให้บริการการจัดการ (Managed Service Providers: MSP) โดยระหว่างปี 2022 ถึง 2023 จำนวนการโจมตีแรนซัมแวร์ที่เกี่ยวข้องกับการเข้ารหัสระยะไกล ในรูปแบบที่ผู้โจมตีใช้อุปกรณ์ที่ไม่มีการควบคุม ทำการเข้ารหัสไฟล์บนระบบอื่นๆ ในเครือข่ายเพิ่มขึ้นถึง 62%
นอกจากนี้ในปีที่ผ่านมา ทีมตรวจจับและตอบสนองต่อการโจมตีทางไซเบอร์ (Managed Detection and Response: MDR) ของ โซฟอส ได้เข้าไปจัดการดูแล 5 เหตุการณ์ที่เกิดขึ้นกับธุรกิจขนาดเล็กโดยถูกโจมตีผ่านช่องโหว่ของ MSP ที่ใช้ซอฟต์แวร์การตรวจสอบ และการจัดการระยะไกล (Remote Monitoring and Management: RMM)
Social Engineering และ BEC เพิ่มมากขึ้น
นอกจากแรนซัมแวร์แล้ว การโจมตีโดยการหลอกลวงผ่านทางอีเมลธุรกิจ (BEC) ถือเป็นการโจมตีที่สูงเป็นอันดับสองที่ Sophos IR รับมือในปี 2566 ตามรายงานของโซฟอส การโจมตีแบบ BEC และการหลอกลวงต่างๆ มีความซับซ้อนเพิ่มมากขึ้น แทนที่จะส่งอีเมลพร้อมไฟล์แนบที่เป็นอันตราย ผู้โจมตีมีแนวโน้มที่จะมีปฎิสัมพันธ์กับเป้าหมายมากขึ้นโดยการส่งอีเมลสนทนาตอบกลับไปมา หรือแม้แต่โทรหาเหยื่อ
ผู้โจมตีมีความพยายามที่จะหลบเลี่ยงการตรวจจับด้วยเครื่องมือป้องกันสแปมแบบดั้งเดิม โดยปัจจุบันผู้โจมตีกำลังทดลองใช้การโจมตีรูปแบบใหม่ ๆ ที่ประกอบด้วยเนื้อหาที่เป็นอันตราย การฝังรูปภาพที่มีโค้ดที่เป็นอันตราย หรือการส่งไฟล์แนบที่เป็นอันตรายใน OneNote หรือ archive formats ต่างๆ
ยกตัวอย่างเหตุการณ์หนึ่งที่โซฟอสเข้าตรวจสอบ ผู้โจมตีได้ส่งเอกสาร PDF พร้อมภาพขนาดย่อของ “ใบแจ้งหนี้” ที่เบลอ และไม่สามารถอ่านได้ พร้อมปุ่มดาวน์โหลดโดยลิงก์ไปยังเว็บไซต์ที่เป็นอันตราย เป็นต้น
สำหรับรายละเอียดเชิงลึกเกี่ยวกับอาชญากรรมทางไซเบอร์ที่มุ่งเป้าไปยังธุรกิจ SMB เพิ่มเติม โปรดอ่านรายงานภัยคุกคามของโซฟอสปี 2024: Cybercrime on Main Street บนเว็บไซต์ Sophos.com
